西日本豪雨の深刻な被害が伝えられていた7月9日、内閣サイバーセキュリティセンターのTwitterアカウントで1件の注意喚起が行われた。災害時に無料開放されるWi-Fiアクセスポイント「00000JAPAN」に関して、「偽のアクセスポイントをつかった情報の奪取などの危険性」があるというものだ。

内閣サイバーセキュリティセンターによる注意喚起の投稿

 Wi-Fiアクセスポイントにはユーザーが好きな名前を付けることができるため、市販のアクセスポイントに、災害時用と同じネットワーク名の「00000JAPAN」を設定し、任意の場所で公開することは誰でも可能だ。もちろん、このようなことはすべきではないし、実際にアクセスポイントのなりすましによる被害が表面化したわけではないが、技術的に可能である以上、そのネットワークが危険なものであるリスクは想定すべきということだ。

 内閣サイバーセキュリティセンターでは「緊急時のやむを得ない安否確認や情報収集のみに利用し、ID、パスワード、個人情報の入力、お金が関係するサービスの利用は極力避けて下さい」とアナウンスしていたが、一部では携帯電話も不通になったほどの大規模災害時、何が「やむを得ない」通信にあたり、逆にどんな使い方はすべきでないのか、注意深く取捨選択できるユーザーは少ないと考えられる。

 個人情報の入力は極力避けるべきといっても、安否や緊急の連絡を行う際、名前や住所、電話番号、メールアドレス等の個人情報を伝えなければいけない場面がしばしば発生する。一方、あまり想像したくないことではあるが、悪意をもつ犯罪者や、災害に乗じてデマを飛ばす不道徳者であれば、そのような緊急性の高い通信内容ほど、盗み見ることへの動機が高まるだろう。

 「暗号化・パスワードなしのWi-Fiは危険」という啓蒙が進んでいることから、政府が00000JAPANに関して暗号化を指示すべきだという声もあるが、これも得策ではない。同じパスワードを全国民に通知していたら、攻撃者にとっては暗号化をしていないも同然だし、事前に個別のユーザー登録が必要なサービスだとしたら、大規模災害という非常時には役に立たないだろう。

 そこであらためて意識しておきたいのが、ウェブブラウザによる警告表示だ。00000JAPANを利用する場合に限らず、アドレスバーにカギマークが表示される(httpsで始まる)サイトを利用する場合以外、閲覧中のサイトとの間で送受信する情報は、どこかで盗み見られる可能性が常にある。これが大前提だ。

 カギマークなし(httpで始まる)サイトを利用する際、暗号化なしのWi-Fiで接続していた場合は、どのサイトのどのページを見たか、入力フォームから何を送信したか、周囲のユーザーにリアルタイムでばらまいているようなものだ。

 ただ、仮に暗号化ありのWi-Fiや有線での接続だったとしても、通信経路に悪意のユーザーやマルウェアに感染した機器が介入し、通信内容を傍受している可能性は否定できない。バケツリレー方式で情報を運ぶインターネットの仕組み上、これは避けられないリスクであることをあらためて認識する必要がある。

 では、カギマークありのサイトを利用する場合はどうか。この場合、送受信される情報は暗号化されるので、誰かが途中で盗み見たとしても、わかるのはどのサイトとの間で通信を行っているかだけで、通信の中身である個人情報や口座番号などを読まれるおそれはない。ただし、それも「本当に正しいサイトと通信を行っていれば」の話である。

 もしニセモノの00000JAPANが設置されたとすると、ユーザーと正規のサイトとの間に割り込む形で、サイバー攻撃者が情報を盗む可能性がある。正規サイトに似せてつくった「フィッシングサイト」とは異なり、攻撃者が通信に割り込みながらもユーザーの画面には正規サイトが表示されるので、ユーザーは通信内容を盗まれていることに気付きにくい。httpsで始まるサイトだから安心と思いきや、入力した個人情報は正規サイトに届く前に攻撃者の元に渡っているというわけだ。

ユーザーは「警告無視」に慣れすぎている

 このように、暗号化はされているものの、通信の相手が正しさが確認できない場合、ウェブブラウザは警告を表示する。最近のブラウザであれば、単なるエラーメッセージよりもかなり目立つデザインで、しかも「情報が盗まれる可能性があります」といったように、リスクの具体的な中身まで表示されることが多い。
 
iPhoneのSafariでの警告表示の例
 
Google Chromeでの警告表示の例

 これが表示された場合、通信経路の途中に攻撃者がいたり、偽のサイトに誘導されていたりする可能性があるので、それ以上の利用はやめたほうがいい。

 ところが、これだけ目立つ警告表示があっても、サイトの閲覧を継続するユーザーは後を絶たない。実際には攻撃者は存在せず、単にウェブサーバーの設定が適切でないだけでも同様の警告は表示されるほか、企業の内部で使われる業務システムなど、限られたユーザーが安全なネットワークからアクセスすることがわかっているサイトの場合、警告表示を無視して先へ進むことが正規の利用手順とされていることがあるからだ。
 
このように警告を無視してサイトの閲覧を継続したことのある人は多いはずだ

 少し知識があるユーザーからみれば危険をはらんでいることは明らかだが、警告を無視すればとりあえずサイトを閲覧できるので、この操作に慣れきっているユーザーは少なくない。一刻も早く連絡を取りたいと考えている非常時、「情報漏えいのおそれがあるから、ネットにつなぐときは安全なWi-Fiを見つけてからにしよう」と冷静に判断するのは難しい。

 今回、00000JAPANの大規模な運用が行われたことで、なりすましに関する注意喚起が行われたが、決してこれは災害時特有のリスクではない。普段から「カギマークなしのサイトでは情報は筒抜け」「カギマークありでも、警告表示が出たら漏えいのおそれあり」という基本的な意識をもつことが、被害の回避につながる。また、ウェブサイトの管理者には、ユーザーが「警告無視」を当たり前のことだと考えないよう、サーバー証明書等の適切な設定をお願いしたい。(BCN・日高 彰)