「無料Wi-Fi」の対価はSNSアカウントのパスワード？

英語に「タダ飯なんてものはない（there’s no such thing as a free lunch）」ということわざがあります。日本のことわざで言えば「タダより高いものはない」。そんなことは頭ではわかっているのですが、「タダ飯」ならぬ「タダ乗り」となると、ほいほいとつられてしまう人がいます。今回は無料Wi-Fiについてお話しします。「タダ乗り」できるWi-Fiを探していると、かなりの確率で個人情報（SNSの認証情報など）が意図せず第三者に渡ってしまうことでしょう。

「タダ飯」の誘惑に負けてはいけないことを示す実例は、山のようにあります。最新の例を1つ挙げてみましょう。サンクトペテルブルクに本拠を置くロシア企業Smart WiFiが、カフェ向けに提供している無料Wi-Fiホットスポットにまつわる話です。興味を持った人たちが、Smart WiFiネットワークにログインするとどうなるのかを数本の動画に収め、YouTubeに投稿しました。

話の顛末はSiliconrus.comに掲載されていますが（ただし、ロシア語です。オンライン翻訳サービスをご利用ください）、技術的なことを少し説明しましょう。Smart WiFiネットワークに接続すると、SNSアカウントのプロフィールで認証するように求められます。ロシアで最も有名なSNSといえばVKontakteなので、VKontakteのアカウントを使った人は多かったことでしょう。

ところが、ログインIDとパスワードの入力先はvk.comのページではなく、Smart WiFiのWebサイトです。しかも、接続は暗号化されていません。Webサイトにログインする際のセキュリティ条件としては、最悪です。

「無料」 #Wi-Fi の代償はSNSアカウントの #パスワード

Tweet

つまり、VKのプロフィールを使ってログインすると、vk.comのパスワードはSmart WiFiのプロバイダーに渡り、同時に、ラップトップを手にして近くに潜む悪人の手にも渡ってしまうというわけです。

Smart WiFiに関しては、何が行われていたかを明らかにする記事（と前述の動画）があります。Smart WiFiは入力された認証情報を保存しており、これを使って同Wi-Fiを利用した人のvk.comページに広告を投稿したりしていました。それだけでなく、vk.comのプロフィールに、非常に幅広い権限（さまざまな個人情報へのアクセスや、ユーザーの代わりに投稿するなどの行為を認める権限）を持つアプリをインストールしていた例もありました。

1つめの例では、「ウォール」に広告を投稿するという警告が表示されますが、2つめの例にあるアプリのインストールは、当人がまったく気づかないうちに行われます。このアプリを見つけるには、Vkontakteアプリの一覧を確認しなければなりません。言うまでもなく、定期的にアプリをチェックするような人はごくわずかです。

サイバー犯罪の手口の中で最も使われている手口は、フィッシングです。なぜ、フィッシングに引っかかってしまう人が後を絶たないのでしょうか？ http://t.co/n0MVcC5bZ6

— Kaspersky Labs Japan (@kaspersky_japan) October 8, 2014

SNSやオンラインバンキングのログインページをまねたWebページは、珍しくありません。実際、これは広くまん延する「フィッシング」という詐欺行為の足掛かりとなるページです。フィッシングでは、正規のページであるかのように装った偽のWebページを作成し、利用者をだまして認証情報を入力させようとします。入力された認証情報は、サイバー犯罪者が後で悪用します。たとえば、これを使ってプライベートなデータに不正アクセスする、などです。

今回の件が本当の意味でニュースなのは、サービスプロバイダーがこのような行為を働くという、非常にきわどい手口であったという点です。このプロバイダーが悪意を持って意図的に計画したことだとは思えませんが、とにかく、今でも利用者のデータは盗難の危険にさらされています。

フィッシングとは、人の信頼感を逆手に取る詐欺です。信頼関係を基盤とするFacebookでは特にフィッシングが横行しやすい… というわけで、被害に遭わないための対策、7つ。 http://t.co/d0NgHnzssp pic.twitter.com/oJdJWSXiKP

— Kaspersky Labs Japan (@kaspersky_japan) April 8, 2015

過去に起きたフィッシングの事例と同様、効果的な解決方法が1つあります。それは予防と警戒です。いつもお伝えしていることですが、WebサイトのURLが実際はどうなっているのか、常に注意を払ってください。想定していたURLと異なる場合は、認証情報を入力してはいけません。また、SNSサイトやオンラインバンキングサービスはすべて、安全なHTTPSプロトコルへの移行が済んでいるため、通信は暗号化されています。もし、Webページのヘッダーに小さな錠前のアイコンが表示されていなければ、パスワードを入力しないようにしてください。

なお、最新のカスペルスキー インターネット セキュリティ（カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム）は、危険なWi-Fiネットワークを検知し、このようなホットスポットに接続しないように警告する機能を備えています。