Vol.04 フリーWi-Fiは使っていいの？新人エンジニアが知っておくべき通信の安全性

この記事であなたがやるべきこと

• フリーWi-Fiを使うときはVPNをなるべく利用する

• 通信が暗号化されているか（https:// など）を必ずチェックする

• 二要素認証（2FA）をできる限り導入し、万が一の漏洩を防ぐ

• 自分のスマホ回線やテザリングなど、フリーWi-Fi以外の選択肢も考える

• フリーWi-Fi名（SSID）が本物かどうか、店員さんや案内表示で必ず確認する

「カフェやコンビニの無料Wi-Fi、超便利だからついつい使っちゃう。そんなに危ないの？」

新人エンジニアとしては、先輩やセキュリティ担当から「フリーWi-Fi、あまり使わないほうがいいよ」と言われたことはありませんか？ でも、「今どきのWi-Fiは暗号化されているって聞くし、それなら問題ないのでは？」と思ってしまうかもしれません。

確かに暗号化はされていることが多いですが、残念ながら“絶対に安全”とは言い切れないのです。実際に、フリーWi-Fiに接続していた人がSNSアカウントを乗っ取られたり、メールが勝手に送信されるようになったりするトラブルが後を絶ちません。

特に、MITM（Man In The Middle）攻撃と呼ばれる手法によって、通信が途中で盗み見られたり、改ざんされたりする危険があります。一見難しそうな言葉ですが、この記事ではできるだけやさしく、その仕組みと対策を紹介します。これを読めば、「なんとなくフリーWi-Fiが怖いと言われる理由」がはっきりイメージできるはずです。対策をとらないまま使い続けると、知らないうちに大きなリスクを抱えてしまうかもしれません。

どうぞ最後までお付き合いください。「フリーWi-Fiを全否定する」のではなく、「こう使えばちょっとは安心だよ」という方法もあわせて提案します。一緒に“賢いネット利用”を目指しましょう！

1. フリーWi-Fiはなぜ危険？

(1) 誰でも入ってこられるネットワーク

フリーWi-Fiは文字どおり「誰でも無料でつながれるWi-Fi」です。カフェに入り、パスワードが貼り出してあればすぐに接続できますよね。あるいはパスワード不要の完全オープンWi-Fiの場合もあり、そこではあなたが知らないどこの誰かも、同じネットワークに入っています。

例えば、あなたが自宅やオフィスでWi-Fiを使う場合、接続できるのは家族や会社の人など限られた範囲ですが、フリーWi-Fiはそうではありません。不特定多数の人と一緒の部屋にいるようなものだとイメージしてください。もちろん大多数の利用者は善良でしょうが、悪意を持った人が混ざっていてもおかしくないわけです。

(2) 暗号化されていても“共通パスワード”を使うだけの場合が多い

「このWi-Fi、WPA2って書いてあるから安心！」と思うかもしれません。しかし、フリーWi-FiのWPA2はたいてい全員が同じパスワードを使います。そのパスワードが店内に貼りだされていたり、スタッフに聞けば誰でも教えてもらえる形式だったりすれば、**事実上“鍵が公開されている”**のと変わりません。

暗号化そのものは大切ですが、「共通の鍵を使っている」という状況では、暗号化の強度を十分に発揮しきれないケースが多いです。さらに、設定が甘いときや、そもそもパスワードすらかかっていないオープンWi-Fiの場合はもっと危険度が上がります。

(3) 運営者や機器を完全に信用できる？

フリーWi-Fiはカフェやホテルなどで運営されていますが、その運営者が必ずしも詳しいわけではありません。古いルーターを放置していたり、初期設定のままにしている場合もあります。また、運営者自身に悪意がなくても、機器が勝手にウイルス感染していて利用者のデータを抜いている可能性もゼロではないのです。普通の利用者がそこまで深く確認する方法はないので、「安心です」と書いてあっても本当に大丈夫かどうか、判断がつかないのが現実です。

2. MITM攻撃（中間者攻撃）って何？

「MITM攻撃（Man In The Middle attack）」という言葉を耳にしたことがあるでしょうか。直訳すると「通信の真ん中に人が入り込む攻撃」です。以下では、専門用語をできるだけ使わず、イメージだけを伝えます。

(1) 真ん中に割り込んで通信をのぞく・改ざんする攻撃

あなたのパソコンやスマホが、「カフェのWi-Fi → インターネット」とやりとりしている最中、その“間”に攻撃者がこっそり入りこめば、やり取りされている情報を見たり、すり替えたりすることができます。具体的には、次のようなシナリオがあり得るのです。

• パスワードが盗まれる

  もし暗号化されていないページ（http://～）や、不十分な設定の暗号化ページを使っていた場合、ログイン時のパスワードがそのまま攻撃者に見えてしまいます。

• アクセス先をすり替えられる

  本当は「https://～」の安全なサイトに行ったつもりが、途中で攻撃者がその通信を変えてしまい、「http://～」の偽サイトに誘導されるかもしれません。見た目はそっくりでも、そこにパスワードを入力すると丸ごと盗まれてしまうわけです。

(2) どうしてそんなことができるの？

フリーWi-Fiは、不特定多数が同じネットワークに入れる状態だからです。インターネット上の攻撃だと、世界中を飛び回る複雑なルートをたどる必要があるイメージかもしれませんが、**実は同じネットワークにいる方がよほど“近い”**のですね。身近な例で言えば、家のWi-Fiに家族がみんなで繋いでいると、お互いの端末を認識できるのと同じように、カフェのWi-Fiでも他の接続者の端末を探りに行ける可能性があります。

しかも、ネットワーク機器や設定の甘い部分を狙って、「私がルーターですよ」と偽装することで、あなたの通信がまず攻撃者のところに流れるように操作することも不可能ではありません。これがいわゆる「中間者攻撃」の本質です。専門的にはいろいろ名称がつけられていますが、ざっくり言えば**“攻撃者が勝手に通信の仲介役を名乗って、覗き見や改ざんをする”**ということになります。

(3) 「偽物のWi-Fi」を立てられる場合もある

あなたが接続したWi-Fi自体が実は本物じゃない……という手口も代表的です。お店のWi-Fi名とそっくりなものを攻撃者が設定し、「あ、これがカフェのフリーWi-Fiか」と勘違いして繋ぐと、最初から「攻撃者の端末」が入り口になってしまいます。暗号化されていても、その暗号鍵を設定しているのが攻撃者本人なら、いくらでも好き放題できるわけです。

3. MITM攻撃で実際に起こり得る怖い話

(1) SNSが乗っ取られた！

SNSアカウントを乗っ取られた経験談はわりと耳にします。たとえば「出先のフリーWi-Fiに繋いだ翌日から、SNSに変な投稿が連発されるようになった」「パスワードを変えようにも、もうログインできない」という悲惨なケースです。SNSのログイン時に入力したパスワードが、MITM攻撃で盗まれていた可能性があります。

SNSそのものの被害も痛いですが、そこに登録している電話番号やメールアドレス、さらにクレジットカードやビジネス関連の情報を紐づけていると、それらが芋づる式に抜かれてしまうことも。乗っ取り被害は、想像以上に影響が広がります。

(2) クレジットカード情報や決済情報の流出

フリーWi-Fiでネットショッピングや振り込みをしようとするとき、相手が偽サイトだったら……と考えるだけでも恐ろしいですよね。たとえ本物のサイトにアクセスしたつもりでも、途中で“すり替え”を受けて見た目だけ本物そっくりのページに誘導されれば、カード番号やセキュリティコードまで全部盗まれてしまいます。

そのまま不正利用されて、気づいたときにはクレジットの請求額がとんでもないことに……なんて事態も起きかねません。個人レベルの金銭被害はもちろん、もし会社の経費用カードでやってしまったら、さらに責任問題に発展するかもしれません。

(3) 業務アカウントを突破され、会社に大打撃

エンジニアとして怖いのは、開発に使っているGitリポジトリのアカウントや、クラウドサービスの管理画面が乗っ取られることです。プライベートなソースコードや会社の重要データ、顧客情報などが漏れてしまったら、重大なインシデントです。スタートアップ企業などでは、エンジニア一人が広い権限を持っているケースも多く、そこを狙われると会社全体が機能停止してしまう恐れすらあります。

4. 具体的な対策：こうすれば少しは安心！

「フリーWi-Fi怖すぎる！ じゃあ絶対使うなってこと？」と思う方もいるかもしれませんが、必ずしも禁止しなくても構いません。以下のような対策をしっかり行えば、リスクを減らせるので、どうしても使いたい場合の参考にしてください。

(1) VPNを使う

一番おすすめなのがVPN（Virtual Private Network）という仕組みを利用することです。VPNは簡単に言えば、あなたの端末とVPNサーバーの間を強力に暗号化してくれる技術です。

• 同じネットワーク内にいる攻撃者が通信をのぞこうとしても、VPNのおかげで中身がわからない状態にできる。

• “鍵”を共有しているのはVPNサービスとの間だけなので、フリーWi-Fiの共通パスワードとは別物です。

• 有料で月額数百円～数千円くらいのサービスも多いですが、安心を買うと思えばそこまで高くないと思います。

(2) HTTPSやSSHによる暗号化通信を徹底する

• Webサイトを開くときは、アドレスが必ず「https://」で始まっているかチェック。暗号化されていない「http://」だと、入力した情報が丸見えになる危険があります。

• エンジニア向けですが、Git操作やリモートログインはSSH（鍵認証）を使いましょう。これだけでもパスワードが平文で流れないようにできます。

• もしブラウザに「セキュリティ証明書がおかしい」などの警告が出たら要注意。MITM攻撃で通信をすり替えられている可能性もあるので、無理に進まずにいったん接続を切りましょう。

(3) フリーWi-FiのSSIDが本物かどうか確認する

• カフェの店員さんやホテルのスタッフに「こちらのSSIDで合ってますか？」と聞いてみるのは大事な習慣です。

• ちょっと名前が似ているだけのWi-Fiが複数飛んでいるなら、偽物を疑いましょう。

• 以前と同じカフェでも、ちゃんと店内の案内と同じWi-Fi名かどうか都度確認し、もし変な名前が増えていたら接続しない方がいいです。

(4) 機密情報やクレジットカード情報はフリーWi-Fiで扱わない

• 重要なログイン、金銭のやりとり、顧客データのアクセスなどはフリーWi-Fiを避けるのが最善です。

• どうしても急ぎなら、スマホのテザリングやポケットWi-Fiを使う方がリスクが低いです。

• 会社の情報や社内システムにアクセスする場合も、会社指定のVPNを利用したり、本当に安全な環境に戻ってから作業したりするのがオススメ。

(5) 二要素認証（2FA）を導入する

• 万が一パスワードが抜かれても、**2FA（2段階認証）**を設定していれば、不正ログインされるハードルが一気に上がります。

• メールサービス、SNS、クラウドサービス、Gitリポジトリなど、大手のサービスはほぼ対応していることが多いです。

• 少し手間はありますが、一度設定してしまえばログイン時の安心感が段違いです。

(6) OSやアプリを最新の状態に保つ

• 古いバージョンのOSやアプリには脆弱性が残っており、そこを突かれるとフリーWi-Fiの問題以前に攻撃されるリスクがあります。

• こまめなアップデートは意外と大事。セキュリティパッチを適用するだけで防げる攻撃も多いです。

5. フリーWi-Fiをどう使う？ まとめと私の体験談

これまで読んでいただき、「フリーWi-Fiって、思ったより危険なんだな……」と感じたかもしれません。でも、一方で「自分は大丈夫でしょ」と思ってしまうこともあるでしょう。私自身、最初はそう思っていました。しかし、知人がフリーWi-Fi利用後にSNSを乗っ取られてしまったというのを目の当たりにしてから考え方が変わりました。

私のちょっとした失敗談

以前、どうしても外で作業しなければいけないときに、カフェのフリーWi-Fiに接続してしまい、Gitリポジトリにプッシュをしてしまったことがあります。あとから「あれ？ ちゃんとSSH鍵設定してたかな？ httpsでアクセスしてたかも……」と思い出して冷や汗。それ以来、必ずVPNをオンにするか、スマホのテザリングに切り替えるようにしました。

もしそのとき、悪意のある人が同じ店内にいて、パスワードや認証情報を抜き取られていたら……と考えると恐ろしいですよね。幸い大事には至りませんでしたが、「うまくいけば問題ない」ではなく、「最悪のケース」を常に考えておくべきだと痛感しました。

結論：自己防衛意識が大事

• 「暗号化されいてるから大丈夫」ではなく、「誰でも入れるネットワーク」という前提を忘れない

• MITM攻撃で通信を盗み見られる可能性がある

• VPNや2FAなどで対策すれば被害リスクはグッと下がる

• 本当に大事な情報は、可能な限り自分が管理できる回線や、安全なネットワークで扱う

フリーWi-Fi自体を「全部ダメ」と一概には言いませんが、少なくとも新人エンジニアとしては「ここには人がいる」「もしかしたら盗み見しようとしている人がいるかもしれない」というイメージを持っておくと、実務でもトラブルを回避しやすくなります。

6. よくある疑問（Q&A）

Q1. WPA2/WPA3のWi-Fiなら安全じゃないの？

A. 暗号化方式としては強力ですが、フリーWi-Fiの場合は共通パスワードが使われるのが一般的です。誰でも同じ鍵で入れてしまうため、思ったほど安全性は担保されません。また、運営者がどこまでセキュリティの知識を持っているかにも左右されます。

Q2. MITM攻撃って、そうそう起きるものなの？

A. 実際にどれだけ頻繁に起きているか正確な統計はありませんが、「フリーWi-Fiを利用する層が多い駅前やカフェで、不特定多数を狙う攻撃者が存在することは十分あり得る」と考えられます。誰か個人を名指しで狙うより、不特定多数をまとめて狙う方が効率が良い、というわけです。

Q3. VPNって導入がめんどくさそう…

A. 最近はアプリをインストールして、ワンクリックで有効にできるVPNサービスが増えています。無料サービスは安全面で微妙なので、有料の信頼できるVPNを探してみるとよいでしょう。数百円～数千円の月額費用で自分の通信を守れるなら、コスパが悪くありません。

Q4. HTTPSって書いてあれば完全に大丈夫？

A. HTTPSは平文通信よりはるかに安全ですが、攻撃者がうまく中間に入って証明書を偽装すると、注意深くないユーザーは騙される可能性もあります。アドレスバーの警告や表示された証明書情報（鍵マークなど）をチェックし、不審な表示が出る場合はアクセスを止めましょう。

Q5. 二要素認証はやっぱり面倒じゃない？

A. 最初の設定やログイン時の追加操作が面倒に感じるのは確かです。でも、一度慣れるとそれほど苦になりませんし、大事なアカウントが守られるなら割に合うと思います。特にエンジニアとしては、仕事用のアカウントを乗っ取られたときのリスクを想像すると、導入しておいて絶対に損はありません。

7. まとめ：新人エンジニアとして“自分を守る習慣”を身につけよう

フリーWi-Fiは、確かに便利でありがたい存在です。でも、そこには常に攻撃者が潜む余地があります。「MITM攻撃」という言葉を聞くと怖そうに思えますが、基本的なイメージは**「通信の真ん中に勝手に入り込んで、やり取りを覗いたり書き換えたりする」**ことです。これが意外にも簡単に実行できるケースがあるのが、フリーWi-Fiの怖いところといえます。

とはいえ、「じゃあフリーWi-Fiなんて絶対使うな」という極端な話にする必要はないでしょう。外出先でちょっと調べものをする程度なら、そこまでリスクは大きくないかもしれません。ただし、仕事の機密情報やクレジットカード情報をやり取りしたり、ログインが必要なサービスを使ったりするなら話は別です。VPNを利用したり、2FAを導入したり、できるだけ安全策をとりましょう。

新人エンジニアこそ「セキュリティって難しそう」と思いがちですが、実践できる対策のハードルは意外と低いものです。まずは以下をやってみてください。

• 使えるならVPNを導入して、フリーWi-Fiで通信する際は必ずVPNをオン。

• HTTPSのサイトを優先し、「http://」のサイトでは個人情報を入れない。

• 2FAを設定して、パスワードが漏れてもすぐにはログインされないようにする。

• フリーWi-Fi自動接続を切るなど、怪しいネットワークにうっかり繋がらない工夫。

• テザリングや自分のモバイル回線で大事な作業をした方が無難。

時間がないときほど「まぁ大丈夫でしょ」と思いがちですが、もし被害に遭ったら時間どころか大変な損害に発展する可能性だってあるのです。セキュリティに詳しい先輩たちが「フリーWi-Fiは注意しろ」と言う理由を、今回の記事で少しでもご理解いただけたら幸いです。

ぜひ自分の身を守るために、そして会社や顧客を守るためにも、今日から「フリーWi-Fiを使うときは慎重になろう」という意識を持ってみてください。ほんの少しの心がけが、大きなトラブルを未然に防いでくれます。最後までお読みいただき、ありがとうございました。