先日、こんなメールが来た。
このログインには心当たりがあったのだが、場所が縁もゆかりもない岐阜市になっていて、距離もかなり離れているので気持ち悪さがあるのだが、これまでも似たことはTwitter以外でも時々あり、都度パスワードを変更していたら、やがて自分で自分のパスワードの使い分けがこんがらがり始めてしまったので、パスワードの変更にも躊躇を感じるようになっていたところだったので、一度普通にネットを利用する際のセキュリティについて整理してみようと思い整理してみた。
わたしは、ネットの専門家ではないから検索頼りでまとめることになるが、自分が納得できるということを中心に整理してみた。
モバイル環境下でのネット接続が必須な現代で、わたしはポケットwifiを使っていて月の容量が7GBで、節約するためにモバイルでの動画視聴などは極力使用しないようにしていても、容量をオーバーし回線速度に制限が入ることをたびたび経験したので、フリーでwifiが使える場合は時々利用するようになった。
昔から、フリーのwifiには魑魅魍魎がうごめいていてアカウントを乗っ取られるなどと言われていて気持ちだけは警戒していたが、実質的には何もしてないのと同じ状態だった。
そこで、フリーwifiの環境では何が起きてるのかを確認してみた。
ちなみに、次の相談に対する回答は2013年のもの。
危ないのは公衆無線 LAN とか言われているヤツに接続する場合で、無線 LAN の親機がセキュリティを考慮して設定してないと丸見えになります。スター◯ックスの無線 LAN に接続していたら丸見えになっていた、と言うのは有名な話です。
ただ、ここで言う 『 丸見え 』 とは 『 Windows の共有フォルダが丸見えだったwww 』 とは違い 『 ウェブサービスにログインする際の ID とパスワードが丸見え 』 になってしまうことで、積極的に通信をしていなければ見られることはありません ( あくまでスマホの場合です ) 。
また、ウェブページなどを閲覧する際にhttp://~ではなく、 https://~という暗号化通信をすればパスワード等が丸見えになることはありません。しかし https に対応していないページもあります。
これって、恐ろしいことが起きているのか、それとも恐れる必要がないのかがわかりにくいのです。
丸見えになるとはどういう状態なのだろうか?
無線LANのメール丸見え 成田・関西・神戸の3空港 2014/8/26 日本経済新聞
調査は7月下旬に実施し、無料で入手できるネットワーク解析ソフトとパソコン2台を用意した。2台とも無線LANに接続し、1台目のパソコンから自分宛てにメールを送信、2台目のパソコンの解析ソフトでメールの内容などを確認できるかどうか調べた。
関西空港では、件名に「こんにちは」、本文に「おげんきですか」と打ち込んだメールを1台目から送信。数秒後、2台目の解析ソフトに同じ件名と本文、送信先のアドレスが表示された。1台目のパソコンでサイトを閲覧すると、2台目の解析ソフトに閲覧サイトのURLが表示された。
成田、神戸の2空港も同様の結果だった。
この記事に出てくる解析ソフトが何なのかは不明だが、似た機能を持つソフトはフリーソフトとしても出回っていて、誰でも入手可能なものもあるらしい。
これらの解析ソフトの本来の目的は、デバイスのメンテナンスを遠隔で行うためのものだが、これらの機能が悪用されるとアカウントの乗っ取りが可能になるのだ。
上記の回答から5年以上が経過した現在の事情を踏まえつつ、ここから先は、何を恐れれば良いのかと具体的な対策に移りたいが、専門的になりすぎるとわたしの理解も追いつかないし、かえってわかりづらくなりそうなので簡単に表現する。
大きく分けて3つ。
- 入力作業が発生しないニュース閲覧等は心配ない
- 最も重要なことは、発信目的のhttps化
多くのメジャーなサービスはhttps化へ対応してる可能性が高いが、https化へはユーザー側からのひと手間が必要な場合がある。
はてなブログも昨年からhttps化に対応してるがやはりひと手間必要だ。
やり方は『はてな、https化』で検索するとたくさん出てくる。
ちなみに、https化されてない状態で上記の解析ソフトを使われるとIDやパスワードが丸見えとなるらしいが、https化されてると見えないらしい(らしいと書いたのは今のところと言う意味で)。
ユーザーレベルでできることとしてhttps化は必須だ。
また、メールアプリはフリーでもGメールのようにhttps化されてれば現在は心配ないと言われてる。
- VPNを勧める人も多いが、速度が遅いため使い勝手が悪そうで、使いたいという気持ちにはなりにくい。
以上の3つが代表的で実効性があると言われる対策だが、これで不安や不満が拭えない場合は、有料のサービスを利用する必要となりそうだ。
ちなみに、わたしの場合ただの気休めだろうがネットに繋がってる必要がない場合はできるだけwifiをoffにしている。
ちなみに冒頭で伝えたTwitterの件だが、結構頻繁にあるようで多くの場合は心配ないようだが、気にすべきポイントがいくつかあるという話をわかりやすく説明していたのが次のサイトだった。
「Twitterへの新規ログインがありました」がきた時に確認すべきこと
ネット上のサービスは、フリーだからこそ魅力が感じられるものが多い。
タダだからありがたいと言うだけでなく、フリーには身軽でストレスが少ないと言うニュアンスが感じられる。
有料と引き換えの安心には秘匿性がないとバランスが取れないような気がするが、いろいろなことがオープンなネットの世界では隠したいことは個人情報くらいかもしれない。
オープンにすることに抵抗がなければセキュリティ意識は低くなるからそこに盲点が生まれそうだ。
セキュリティ意識は被害に遭わないと目覚めない場合が多いが、被害に遭う前に目覚めた方が賢明なのは言うまでもないだろう。
個人情報の取り扱いには慎重になった方が良さそうだが、賢明さと取り越し苦労は紙一重でもある。
使い勝手以外では個人情報への意識でフリーと有料の使い分けが選択されてると思われる。