悪い奴らがあなたを見ている(ノーガードなWi-Fi越しに)

2014年6月18日

スマートフォンの世界が進歩を遂げ、さまざまな用途のモバイルアプリが登場した今、スマートフォンやタブレットで重要なデータを扱うことが増えています。LinkedInに登録した職歴、WhatsApp、Viber、LINEなどのアプリを使って送ったプライベートな写真、オンラインバンキング用のワンタイムパスワード…こうしたデータがモバイルデバイスで送受信されているのです。しかし、見られたくないデータが、10m向こうに座っている知らない人に読み取られる可能性があります。それがどのように簡単で、どのように頻繁に行われているのか、実感している人は残念ながらほとんど居ません。

wifi

こうした盗聴が起こる主な要因は、保護されていないWi-Fiと、モバイルアプリ自体のセキュリティの欠如です。モバイルデバイスからのインターネット通信は高額なことが多く、海外を旅行しているとなればなおさらです。そのため、空港やカフェやホテルでWi-Fiを使いたくなるものです…セキュリティのことは脇に置いて。サッカーワールドカップの直前、Kaspersky Labのエキスパートは、Wi-Fiでどのような暗号化が使われているのか調査しました。結果、4つに1つのネットワークがオープン標準(暗号化なし)を採用していることがわかりました。

オープン標準を使っているネットワークでは、誰でも通信を盗み見て、流れているデータを見ることができます。暗号化されているといっても、WEPの場合、解読には5分もあれば十分です。つまり、世界中のネットワークの多くは基本的に、数秒でデータを盗み見できるようになる状態なのです。

wifisaopaulo_ja

お勧めしたいのは、WPA2を使っているネットワークだけに接続することです。しかし現実には、そうではないネットワークに接続せざるを得ないことも多々あります。さらに、オープンな接続を通じて送られるものを、自分ではコントロールできません。
ブラウザーを使う場合は、アドレスバーに南京錠のアイコンがある(HTTPSプロトコルが使われている)ことを確認できます。

暗号化せずにデータを送信したり、暗号化に関する問題があっても警告しなかったりするモバイルアプリは、数多くあります

ところが、モバイルアプリを使う場合は話が違います。アプリでどんな通信プロトコルが使われているか、わかりません。セキュリティエキスパートの調べでは、いまだに多くのアプリがオープンプロトコルを使ってサーバーと内部通信しています。つまり、HTTPSではなくHTTPを使っているのです。ご存じのとおり、HTTPではセッションの乗っ取りやパスワード窃盗や通信内容の盗聴が可能です。たとえばメッセンジャーでメッセージを送る場合、会話の内容は平文で読み取り可能です。モバイルアプリにも同じ問題があります。GoogleやFacebookやTwitterですら、2011年、モバイルアプリでSSLを使っていなかったために問題を抱えることになりました。WhatsApp も、2012年夏までは、暗号化されていない状態でデータをやりとりしていました。Yahoo!メッセンジャーやICQの場合は、まだプレーンテキストのプロトコルを使っていてチャット内容は暗号化されないため、オープンなWi-Fi環境では簡単に盗聴可能です。Aクラスの企業ですら、暗号化を取り入れていないことがあるくらいですから、どれだけのアプリケーションでプレーンテキストプロトコルが使われているのか、見当もつきません。

insecureapps

少し技術的な話になりますが、多くのモバイルアプリはSSL証明書に問題があっても警告を表示しません。そのため、中間者攻撃に気づくことができません。

「取扱注意なデータを扱うときは、モバイルアプリを使わないでください」…こんなアドバイスをするのは簡単ですが、なかなかそのとおりにはいかないものです。そうしようと思ったら、はるか昔に戻らねばなりません。そこで、もう少しマイルドなアドバイスをしたいと思います。

–          公共の場でネットワークに繋ぐ必要があるときは、Wi-Fiではなく3G/4G接続を使う

–          WPA2で暗号化されたWi-Fi接続を利用する

–          モバイルデバイスではVPNを使う

–          公共の場では、慎重に行うべき操作(たとえばオンラインバンキング)をしない。また、そういった操作には、信用できないネットワークを使わない(きちんと構成された自宅のネットワークやオフィスのネットワーク以外は、信用できないネットワークといえる)