「それ危ないですよ」のTips
- 2023/06/22
- サイバーセキュリティ
- 全て
みなさんどうも、行政書士で情報安全確保支援士の池田です。
今日は、みなさんが普段やっちゃっているかも知れないな、けれどそれ危ないかも知れないなという事例について、いくつかお話したいと思います。
目次
事例1 外出先でフリーWiFiに接続して仕事をした
今やネットがないと仕事にならないだと思いますが、外出先でスマホのテザリングでネットを使うにしても通信容量が足りないとか、会社によっては個人携帯を仕事に使わせていて、ネットの通信料金が個人負担になってしまうなんて、こういうのもどうかと思う会社さんもあるように思いますが、そうなると、街中で開放されているフリーWiFiに接続して仕事をする、なんてこともありますよね。
例えばAさんの事例。
| 入ったカフェにFree-CafeっていうWiFiが用意されていたので、壁に貼られていたパスコードを入力して接続した。会社のサイトにアクセスするとパソコンのウイルススキャンソフトを更新しろと表示されたので、表示されたボタンをクリックしてソフトを更新した。営業レポートを作成して社内ファイルサーバにアップロードし、ついでにコンサートのチケット代金の振込日が今日までだったことを思い出して、ネットバンクにアクセスして振込処理をしておいた。 |
カフェが用意してくれているWiFiは、利用者へのサービスの一貫ということで、カフェのWiFi運用者が何か悪さを企んでいる、なんてことは百歩譲ってないとしましょう。でも、Aさんが接続したWiFiは、本当にカフェのものだったのでしょうか?
もしかすると悪人が、カフェのWiFiと同じ名前のFree-CafeというWiFiアクセスポイントを立ち上げて、Aさんのようなカモが接続してくるのを待っていたのかも知れません。そんなことができるのかって、できます。あなたのPCは同じ名前のアクセスポイントが複数あるからといって、警告を出したり、接続をやめたりせず、ただ電波の強度が強かったり、たまたま先に繋がった方と通信を始めます。
こういうWiFiを「悪魔の双子」って言うんです。
「悪魔の双子」に捕まると、悪人にやりたい放題されてしまう恐れがあります。
Aさんの事例で言えば、ウイルススキャンソフトの更新画面は、本当に本物だったのでしょうか?悪者が用意した偽画面で、ダウンロードしたソフトは、Aさんのパソコンを自由に操るための遠隔操作ソフトだったのかも知れません。
そしてその結果、会社のファイルサーバにアップした営業レポートには、マルウエアがしかけられてしまって、会社の中にまん延してしまった恐れもあります。
更に、ネットバンキングで振込までしていますが、そのサイトも悪者に誘導されたフィッシングサイトを使ってしまった可能性もあります。間違った金額を違う口座に振り込んでしまったのかも知れません。
ではAさんはどうすればよかったのでしょうか?
フリーWiFiは使わない、というのが一番の安全策ではありますが、どうしても使わざるを得ないという場合、
1 アプリをダウンロードする、インストールするというのはやめておきましょう。
それから
2 会社のサイトとか接続先との通信はHTTPSなど暗号化通信を使いましょう。そして接続先のURLを慎重にチェックして、正しい接続先であること、ブラウザのアドレスバーにちゃんと鍵マークが表示されていること、ブラウザにはHTTPSのワーニングエラーが表示されることなく接続ができていることを確認しましょう。
この2点を守るだけでも、相当にリスクを低減化させることができるはずです。
さてそれでは、次の事例はどうでしょうか?
事例2 スマホの通信はVPN利用が安全だというので、フリーのアプリをインストールして利用している。
先程フリーWiFi接続のリスクを低減化させる手段として、通信を暗号化しましょうという提言をしました。そこでAさんはこうした対策を早速打ってきたわけです。VPN利用というのはまさに、通信を暗号化してやり取りするものなので、まさに適任ですね。
VPNというと、自宅と会社とか、営業所と本社とかの間の、指定された拠点や人の間を安全にかつ情報を他者に盗聴できないように接続するネットワークを思い浮かべる方が多いと思いますが、スマホなどのアプリにあるVPNは、中継ネットワークでの盗聴を防止したり、アクセス先の規制を回避するために利用される、ちょっとさっきのVPNとは違う用途のものとして用意されています。某国内ではアクセスが禁止されているTwitterとか、ニュースサイトとかにアクセスするためには、このようなVPNが必要なんですね。
ところで、「中継ネットワークでの盗聴を防ぐ」というけれど、その中継ネットワークの終点はどうなっているのでしょう?
Aさん、そこを全く気にしていなかったのですが、Aさんが使い始めたスマホのVPNアプリの利用規約を改めて見てみると、
「VPN上で通信されているデータについては、〇〇社のVPN運用、あるいは営業活動等の用途に利用させていただくことがあります。」
なんて書いてある。このVPNの中継ネットワークの終点は、VPN運用会社が運用するサーバであって、自分が通信している相手先ではないので、そのVPN運用会社の運用サーバでは、通信している中身を盗聴しようと思えばできるわけです。まさに先程の「悪魔の双子」の悪者と同じなんですね。
スマホのVPNアプリがどれも、そんなダメダメなものだと言いたいわけではありませんが、
1 タダのものには代償がつく(可能性がある)
2 利用規約はきちんとチェックしましょう(特にタダのものの利用では)
この2点は肝に銘じておきましょう。
またこれらは、スマホのVPNアプリに限らず、使おうとしているソフトウエアとかサービスとか全般に言えることです。いちいち利用規約なんてチェックしないよ、っていうのが皆さんの本音なのでしょうが、使い始めているものでも、なんとなく心配、って思ったらちょっと時間を割いて見てみましょう。それで不安が解消されるのならよいのですが、まだ不安に思うのであれば、思い切って利用をやめるというのもよい決断だとおもいますよ。
一方で、有料サービスの場合には、それを商売にしている以上おかしなことはしないだろうという一定の信頼を置くことができます。100%信頼していいわけではありませんが、サポート窓口も用意されているはずですから、心配事があれば問い合わせてみるのがよいでしょう。