暗号化してないフリーWi-Fiに繋げる危険性

この記事であなたがやるべきこと

• 「暗号化してないフリーWi-Fiの隠れた危険」 を理解する

• 「暗号化されていないサイトの危険さ」を意識するようになる

はじめに

カフェや空港、駅など、どこに行ってもWi-Fiが使える時代になりました。例えば、マックやスタバで「繋げてみようかな」と思ってWi-Fiに接続したことがある方も多いのではないでしょうか。無料でインターネットに接続できるのは便利ですが、その便利さにうっかりセキュリティ面を見落としてしまうことも少なくありません。そこで、今回は社内に「暗号化なしフリーWi-Fi」を設置して接続してみて、その背後に潜むリスクを確認してみました。暗号化なしフリーWi-Fiを使うことで、どんな危険にさらされる可能性があるのか、一緒に見ていきましょう。

社内に暗号化なしWiFiを設置してみた

1. ルーターをネット回線を引いているモデムに接続して WiFiに接続してみる

以下の写真のようなモデム（インターネット回線を引き込む装置）が、皆さんのご家庭や会社にもあるかと思います。

モデムの背面にある「LAN」ポートと、ルーターの「INTERNET」ポートをLANケーブルで接続します。

その後、ルーターの裏に記載されているSSID（Wi-Fiの名前）と暗号化キー（パスワード）を使って、Wi-Fiに接続します。

2. 実際に暗号化なしでWiFiを設定してみる

今回使用しているWi-FiルーターがBuffaloなので192.168.11.1の初期設定のIPアドレスにアクセスします。このIPアドレスを入力することで、Wi-Fiルーターの設定画面を表示できます。

ブラウザー（Edge、Safari、Chromeなど）のURL欄に「192.168.11.1」または「http://192.168.11.1/」を入力します。

またルーターによってこのアドレスは違うと思いますので調べてみてください。

ログイン画面が表示されたら、ユーザー名とパスワードを入力します。

設定画面が開くので「無線LAN」設定を選択します。

暗号化モードを「暗号化なし」に変更し、SSIDを設定します。

設定して再起動すると、暗号化なしフリーWiFiとして認識されるので設定したSSIDで鍵なしのWiFiのマークをタップし接続します。

実際に暗号化なしフリーWiFiを使って通信内容を傍受してみた

では、実際に暗号化なしフリーWi-Fiに接続した際の通信内容はどのように見えているのでしょうか？暗号化なしフリーWi-Fiは便利ですが、その仕組みを知らないまま使うと、大きなリスクを伴うことがあります。今回は、実験的に社内で設置した暗号化なしWi-Fiを使い、どのような情報が傍受される可能性があるのかを確認してみました。

1. Wiresharkでネットを監視する

Wiresharkというアプリでネットワークを監視する。監視対象としてWi-Fiを選択すると同じWi-Fiのありとあらゆる通信が見れます。

今回はhttpという文字でフィルターをかけて監視対象を絞ります。 httpとは主にWebページを見るときに使われる通信のことで、今回はそれのみを監視します。

2.同じWi-Fiに接続してある端末で阿部寛のWEBページを見てみる

httpで有名な阿部寛のURL(http://abehiroshi.la.coocan.jp/top.htm)を携帯で叩いてみる

Wiresharkの方でGETというサーバーに情報を要求する通信が確認できます。 その詳細を見てみると [Full request URI: http://abehiroshi.la.coocan.jp/top.htm] という形で、どのURLにアクセスしているのかが 誰でも簡単に確認できる状態 になっています。

またこちらのアドレス（http://abehiroshi.la.coocan.jp/top.htm）にPCでアクセスしてみると携帯で開いていた画面と同じことが確認できます。

基本的にHTTPで暗号化されていないウェブサイトを閲覧すると、どのページを見ているのか、どのな内容を見ているのかなど、その内容が誰でも簡単に見えてしまいます。 一見、ただページを見ているだけなら問題ないように思えるかもしれませんが、問題は「情報を送信する時」です。

3.実際に入力フォームに情報を送信してその内容を傍受してみる

例として今回は、スタバやマックの暗号化なしフリーWi-Fiに接続したときに出るようなフォームを作成して情報を送信してみました。

メールアドレスは「ista@test.co.jp」

パスワードは「ista-test」を入力し、登録を押します。

するとWiresharkの方でPOSTというサーバーに情報を送信する処理が確認できます。 その詳細を見てみると Form item: "email" = "ista@test.co.jp" Form item: "password" = "ista-test" Form item: "confirm-password" = "ista-test" となっていて送った内容が簡単に確認できます。

このように、どのURLにアクセスしているかだけでなく、送信されている内容も誰でも簡単に確認できる状態になっていたのです。今回は実装していませんが、仮にキャプティブポータルを利用して暗号化なしフリーWi-Fiに接続したユーザーを強制的に入力フォームに誘導する仕組みを作った場合、リテラシーが低い人々にとっては非常に危険な状況が生まれます。

これにより、攻撃者が個人情報を盗んだり、不正アクセスを試みたりすることができてしまいます。実際には、こうした攻撃は「フィッシング攻撃」や「中間者攻撃（Man-in-the-Middle）」と呼ばれ、非常に多くの人々が気づかぬうちに被害に遭っています。

暗号化なしフリーWi-Fiで安全に情報を送信できる方法

暗号化なしフリーWi-Fiを使って情報を送信すること自体が常に危険というわけではありません。通信内容が暗号化されていない場合は送信した情報が第三者に簡単に傍受される可能性が高くなります。暗号化されていない通信とは、URLが「http」で始まる以下のようなサイトで行われる通信のことです。

しかし、暗号化されている通信、例えば「https://」で始まるウェブサイトであれば、情報は暗号化されて送信されるため、第三者による傍受は困難になります。

つまり、通信が暗号化されている場合（httpsで始まるウェブサイト）には、たとえ暗号化なしWi-Fiを利用していても、送信する情報が安全に保護されているため、リスクを最小限に抑えることができます。そのため、インターネットを利用する際には、必ずhttpsでの通信を心がけることが非常に重要です。

まとめ

暗号化なしWi-Fiを利用する際には、暗号化されていないHTTPサイトを避けることが非常に重要です。HTTP通信では、送信した情報が第三者に簡単に傍受されるリスクが高いため、注意が必要です。しかし、現在ではほとんどのウェブサイトがHTTPSに対応しており、送信される情報は暗号化されて安全に保護されています。

特に、最近のフォームやオンラインサービスではHTTPSが標準となっており、セキュリティ面で大きく強化されています。インターネットを利用する際は、必ず「https://」で始まるサイトを選んでアクセスすることが重要です。これにより、たとえ暗号化なしフリーWi-Fiを利用していても、通信内容が安全に保護され、リスクを最小限に抑えることができます。

さらに、よくわからない暗号化なしフリーWi-Fiには接続しないことが非常に重要です。公共の場にあるWi-Fiには、悪意のある第三者が設定したものも存在する可能性があります。そのため、信頼できるネットワークのみを選ぶことが必要です。これらの対策を講じることで、インターネット利用時のセキュリティを強化でき、誰でも簡単に自分のデータが盗まれるリスクがあることを認識することが、セキュリティ教育の第一歩と言えるでしょう！