公共Wi-Fi、Bluetooth、NFCのセキュリティ対策
コロナ禍で、テレワークは日々のビジネスの重要な一部分になりました。
カフェ、コワーキングスペース、ホテルなど公共の場のWi-Fiスポット(公衆無線LAN)を使って業務をすることもあるかと思います。
他方で、公共Wi-Fiのセキュリティリスクは以前から指摘されており、
◆危険な公共ネットワークを判別すること
◆公共の場でも、最善の対策を行うこと
が必要になっています。
またコロナ感染対策に関連して、
Bluetoothを使った接触追跡アプリや、非接触型の決済方法が利用されており、
ワイヤレス通信のセキュリティ対策はますます重要になっています。
この記事では
✅公共Wi-Fi
✅Bluetooth
✅非接触型決済などで使用されるNFC(近距離無線通信)
を使う上で、気をつけたいポイントを整理します。
今回の記事は、
米国の国家安全保障局(NSA)が公開している、
公共の場でワイヤレスデバイスを使用する際のセキュリティ対策を参考にして作成しました。
(これらの対策は、安全性を100%保証するものではありません。)
公共Wi-Fi
公共Wi-Fiは、できるだけ利用しない
できるだけ公共Wi-Fiには接続せず、強力な認証や暗号化を備えた企業や個人のWi-Fiスポットを利用しましょう。
公共Wi-Fiには以下のようなリスクがあります。
公共Wi-Fiの危険性
◆公共Wi-Fi(特に、パスワード不要のオープンWi-Fi)は、情報流出・不正操作の可能性大
◆パスワードが必要であっても、通信が暗号化されていない場合には傍受される恐れがある
…暗号化されていない通信、容易に解読できる通信は、オープンソース(=誰でも無料で入手可能な)ツールで傍受できる
◆悪意のある者が、安全でないプロトコルや古い暗号化アルゴリズムをネットワークに使用させることもある
◆悪意のある者が、偽のアクセスポイントを作る可能性も
…この場合、悪意のある者はネットワーク上でやりとりされる全てのデータにアクセス可能
なおNSAは、
Wi-Fi使用の際にVPNでトラフィックを暗号化することを推奨しているほか、
httpsサイトのみアクセス可能とするなどの、セーフブラウジングも行う必要があると指摘しています。
httpsを使ったサイトには、
“https://” から始まるURLや鍵マークが表示されます。
以上を踏まえ、注意すべきポイントをまとめると次のようになります。
注意すべきポイント
・できるだけ、強力な認証と暗号化を備えた個人・企業のワイヤレス・ホットスポットに接続する
・使用していないときは、Wi-Fiを無効にする
・デバイスが正しいネットワークに接続されていることを確認する
(Wi-Fiネットワークの自動接続は無効にする)
・公共Wi-Fiへの接続が、どうしても必要な場合は…
(1)安全な公共Wi-Fiに接続する
…安全な公共Wi-Fiには通常、パスワードなどの認証が必要であり、接続できる人が限られている
…最低でもWPA2で暗号化されたネットワークにのみ接続する
(2)使い終わったら、公共Wi-Fiのネットワークからログアウトし、アクセスポイントを「消去」する
(3)使用されていないWi-Fiネットワークを消去する
(4)IPsec-VPNを使用する
(5)HTTPSブラウジングプロトコルを使用する
(6)必要なWebサイトやアカウントのみを閲覧・利用する
・オープンなWi-Fiホットスポットに接続しない
・サイトやアプリケーションで、最も重要なアカウントのパスワードを入力しない。 個人データ(銀行口座、医療など)へのアクセスを避ける
・慎重に扱うべき内容に触れる会話をしない。オンライン・ショッピングや金融取引をしない
・思いがけないリンク、添付ファイル、ポップアップをクリックしない
ノートパソコン向け
・公共ネットワーク上では、ファイルやプリンタの共有をオフにする
・(可能な場合は)仮想マシン(VM)を使用してセキュリティを強化する。これにより、外部からの信頼できないデータを処理するドライバー(Wi-Fiドライバーなど)やアプリケーション(Webブラウザなど)を封じ込める
…仮想マシン(VM)は、危険な敵対者の行為を制限します。VMは侵害された場合、削除することができます
・公共Wi-Fiネットワークを、信頼できるネットワークとして設定しない
・デバイスの管理者アカウントを使用してインターネットを閲覧しない
Bluetooth
Bluetooth機能を、公共の場でオンのままにしておくことは危険です。
Bluetooth信号がスキャンされ、デバイスの情報が不正にアクセスされる可能性があります。
公共の場で脅威となるBluetooth攻撃の技術(例)
Bluejacking(ブルージャッキング)
他人のBluetoothデバイスを探り当てて、不要なメッセージを送りつけること。
参考:https://www.techopedia.com/definition/5045/bluejacking
Bluesnarfing(ブルースナーフィング)
Bluetoothを悪用して情報を盗み取ること。
参考:https://www.techslang.com/definition/what-is-bluesnarfing/
Bluebugging(ブルーバギング)
Bluetoothを悪用して傍受や盗聴を行うこと。デバイスを乗っ取ることも可能。
参考:https://www.techslang.com/definition/what-is-bluebugging/
Bluetoothの脆弱性「Blueborne(ブルーボーン)」
Bluetoothの脆弱性「Blueborne」を悪用すると、他人のBluetoothデバイスを完全に制御できるようになる恐れがあります。これにより、企業のデータやネットワークへのアクセスを、悪意のある者に許してしまう恐れもあります。
NSAによると、「Blueborne」を悪用するためのツール(エクスプロイト)は、すでに公開されています。
参考:
情報処理推進機構(IPA)
Bluetooth の実装における複数の脆弱性について(最終更新日:2017年9月14日)*国立国会図書館インターネット資料収集保存事業(WARP)サイトに遷移します。
注意すべきポイント
・現在どのような機器がデバイスに接続されているかを定期的に確認し、Bluetooth接続を監視する
・使用していないときはBluetooth機能を無効にする
・Bluetoothが有効になっていて検出が必要ないときに、デバイスが検出可能モードのままになっていないことを確認する
・デバイスのBluetooth機能を使用できるアプリケーションの許可リストまたは拒否リストを使用する
・パスワードや秘密データの通信にBluetoothを使用しない
・予期しないペアリングを受け入れない
NFC(近距離無線通信)
NFCとは、非接触型の決済や、その他デバイス間の緊密なデータ転送を可能にする技術です。
使用していないときは無効にすることが重要です。
注意すべきポイント
・(可能であれば)使用していない時にはNFCの機能を無効にする
・他の詳細不明な電子デバイスに、自分のデバイスを近づけない(自動接続を引き起こす可能性があるため)
・パスワードや秘密データの通信にNFCを使用しない
その他の対策
ワイヤレスデバイス関連
・ソフトウェアやアプリケーションにパッチ(*)を適用して、最新の状態を保つ
*パッチ=ソフトウェアやアプリの脆弱性を修正するプログラムのこと
・ウイルス対策ソフト、マルウェア対策ソフトを使用する(該当する場合)
・使える場合は、多要素認証(MFA)を使用する
…多要素認証を使用することで、パスワードハッシュが盗まれないよう、アカウントやデバイスのセキュリティを強化できます。
・定期的に再起動する。特に、信頼できないWi-Fiを使用した後の携帯電話は再起動する
・デバイスを、公共の場に放置しない。
・デバイスの名前に個人情報を使用しない(例:「山田太郎/花子のコンピューター」はNG)
ノートパソコン向け
・ファイアウォールを有効にして、アプリケーションごとに受信と送信の接続を制限する
Windowsノートパソコン向け
・リンクローカル・マルチキャスト名前解決(LLMNR)を無効にする(該当する場合)
・Netbiosネームサービス(NBT-NS)を無効にする
・Webプロキシ・オートディスカバリー・プロトコル(WPAD)を設定し、企業のプロキシサーバーのみを使用する(併せて、Autodetect Proxy Settingsを無効にする)
その他対策
・デバイスの位置情報機能を制限・無効化する
・強力なデバイスパスワードを使用する
・信頼できるメーカーから購入した付属の充電コードなど、信頼できるデバイスアクセサリを使用する
まとめ
公共Wi-Fi、Bluetooth、非接触型決済は、どれも非常に便利なものですが、上記のようにリスクもあります。
コロナを経て、日常生活や仕事に欠かせない技術となった今こそ、
危険性を意識した上で、上手な付き合い方を徹底したいものです。
なお、マキナレコードでは、セキュリティチャット相談サービス「街かどセキュリティ相談室」を提供しています。ご興味のある方は、以下のページをご覧いただければ幸いです。
また、不定期で各種セミナーを実施していますので、順次告知して参ります。
参考サイト
[外部リンク]
National Security Agency
Cybersecurity Information Sheet, Securing Wireless Devices in Public Settings(2021年7月30日)
(PDF)
https://media.defense.gov/2021/Jul/29/2002815141/-1/-1/0/CSI_SECURING_WIRELESS_DEVICES_IN_PUBLIC.PDF