公衆Wi-Fiはなぜ危険?図解で解説
カフェや空港の無料Wi-Fiはなぜ危険なのか。盗み見・偽アクセスポイント・中間者攻撃・偽サイト誘導の4つの手口を初心者向けに図解で整理し、HTTPSの限界とVPN常時ONによる対策まで解説します。
監修: VPN選び.jp 編集部
カフェで席についてノートPCを開き、店名の入った無料Wi-Fiにつなぐ。空港の搭乗待ちでスマホをフリーWi-Fiにつなぎ、メールをざっと確認する。どれもごく日常の動作で、私自身もつい数年前まで何も考えずにやっていました。
ただ、上の図解を見ていただくと分かるとおり、公衆Wi-Fiの「危なさ」は、目に見える形では一切現れません。画面はいつもどおり表示され、通信速度も落ちず、警告も出ない。だからこそ多くの人が無防備のまま使い続けてしまう、という構造があります。
この記事では、「なぜ公衆Wi-Fiは危険なのか」という一点に絞って、初心者の方にも分かるように、実際に使われる攻撃の手口を4つに整理して解説します。煽るためではなく、仕組みを知っておくと「どこを守ればいいか」がはっきりするからです。
そもそも「見られてしまう」とはどういうことか
家のWi-Fiと公衆Wi-Fiでは、同じネットワークにいる人の顔ぶれがまったく違います。自宅なら、パスワードを知っているのは家族数人だけ。一方、カフェや空港のWi-Fiは、その場にいる見ず知らずの数十人〜数百人が同じネットワークの中にいます。
通信が暗号化されていない場合、ネットワーク上を流れるデータは、技術的には「同じ部屋で大声で会話している」のに近い状態です。普通の人にはその会話は聞こえませんが、専用の道具(盗聴用のソフトやアプリ)を持った人には拾えてしまう。この「拾う」作業を、専門用語ではスニッフィング(盗み見)と呼びます。
ここで誤解されやすいのですが、攻撃する側は、特定のあなたを狙っているとは限りません。人が多く集まる場所のWi-Fiでデータをひたすら拾い、その中からログインに使えそうな情報を機械的により分けている、というのが実態に近いです。狙い撃ちではなく「網にかかった魚」というイメージのほうが正確かもしれません。
公衆Wi-Fiで実際に使われる4つの手口
危険の中身を、初心者の方にも分かるよう4種類に分けて説明します。どれも特別に高度な技術が要るわけではなく、道具さえあれば成立してしまうのが厄介な点です。
① 通信の盗み見(暗号化されていない通信のスニッフィング)
もっとも基本的で、もっとも多いのがこれです。暗号化されていないWi-Fi、あるいは暗号化が弱いWi-Fiにつないだ通信は、同じネットワーク内の第三者が専用ソフトで拾えることがあります。
拾われて困るのは、ログインIDとパスワード、クレジットカード番号、そしてどのサイトを見ていたかという閲覧内容です。後述するHTTPS(鍵マーク)のページであれば中身まで読まれることは減りますが、「いつ・どのサイトに・どれくらいアクセスしたか」といった通信の輪郭は残ります。
② なりすましアクセスポイント(悪魔の双子/Evil Twin)
これは少し巧妙です。攻撃者が、本物そっくりの名前のWi-Fi電波を自分で飛ばしておく手口で、英語ではEvil Twin(悪魔の双子)と呼ばれます。たとえば本物が Cafe_FREE_WiFi のところに、Cafe-FREE-WiFi や Cafe_Free_WiFi_2 といった、ぱっと見では区別のつかない名前を立てる。
利用者は電波の強いほう、名前のそれっぽいほうを選びがちなので、知らずに偽のアクセスポイントにつないでしまう。すると、その人の通信はすべて攻撃者の機材を経由することになり、①の盗み見が一気にやりやすくなります。必要な機材はWi-Fiルーター程度のもの1台で、ロビーや席の隅に置いておくだけで成立してしまいます。
③ 中間者攻撃(通信のあいだに割り込む)
中間者攻撃は、あなたとサイトのあいだに攻撃者がこっそり割り込み、通信を素通しさせながら中身を覗いたり書き換えたりする手口です。英語ではMan-in-the-Middle、略してMITMと呼ばれます。
②の偽アクセスポイントとセットで使われることが多く、利用者から見ると、いつもどおりサイトが開き、いつもどおりログインできる。けれど、その裏で入力したID・パスワードが攻撃者にも渡っている、ということが起こりえます。表面上まったく異常が見えないのが、この攻撃のいちばん怖いところです。
④ 偽の同意画面・偽サイトへの誘導
無料Wi-Fiにつなぐと、最初に「利用規約に同意」「メールアドレスを入力してください」といった画面が出ることがあります。あれ自体は正規のサービスでもよくある仕組みですが、この同意画面そのものを偽装する手口があります。
入力したメールアドレスやSNSアカウントがそのまま攻撃者に渡ったり、「続けるにはアプリを更新してください」と偽の更新ファイルを踏ませて不正なソフトを入れさせたり。さらに、よく使うサイトにアクセスしたつもりが、見た目だけそっくりの偽サイトに飛ばされ、そこでパスワードを入力させられる、という誘導もあります。
ありがちなシーン:カフェ・空港・ホテル
具体的な場面を想像してみると、リスクが身近に感じられると思います。
カフェでは、長居する人が多く同じネットワークに人が滞留しやすいため、②③のような仕掛けを置くのに都合がよい環境です。空港は不特定多数が短時間で大量に入れ替わるので、①の「網で拾う」タイプの盗み見と相性がいい。ホテルは宿泊客全員が同じパスワードを共有する構造上、内部からの覗き見が起きやすいという別の事情があります。
場所ごとの細かい違いと対策は、それぞれの記事にまとめてあります。
- カフェ特有の注意点 → カフェWi-Fiのリスク
- ホテル特有の注意点 → ホテルWi-Fiのリスク
- 外出先での使い方の実例 → 公衆Wi-Fiを使う場面
実際、私の知人(30代の会社員)は、空港のラウンジでフリーWi-Fiに繋いでSNSを開いた数日後に、身に覚えのない場所からのログイン通知が届いて青ざめた、という経験をしています。本人いわく「鍵マークも出ていたし、まさか自分が」とのことでした。
「HTTPSだから大丈夫」はどこまで本当か
ここ数年でほとんどのサイトがHTTPS(アドレス欄の鍵マーク)に対応し、通信の中身は以前よりずっと読まれにくくなりました。これは事実で、HTTPSのページに限れば、①の盗み見でパスワードまで丸見えになるケースは減っています。
ただ、HTTPSにも守れない範囲があります。
- どのサイトに接続しているかという「接続先」の情報は、HTTPSでも一部漏れることがあります。
- ②の偽アクセスポイントや④の偽サイトに誘導されると、そもそも偽物に対してHTTPSで安全に通信しているだけ、という本末転倒が起こりえます。
- 古いアプリやサイトの中には、いまだにHTTPSが徹底されていないものも残っています。
つまりHTTPSは「あれば望ましいが、それだけでは公衆Wi-Fiの危険を全部はカバーできない」というのが正直なところです。鍵マークの有無を確認するのは大切な習慣ですが、それを過信するのは少し危ういと考えています。
本命の対策はVPN、しかも常時ONで
では何が決め手になるのか。結論としては、自分の通信を端末側でもう一段暗号化してしまうのが、いちばん確実です。それを担うのがVPNです。
VPNをつなぐと、端末からVPNサーバーまでの通信が暗号化されたトンネルを通ります。たとえ同じWi-Fiに盗聴者や偽アクセスポイントがいても、中を流れているのは暗号化された塊なので、拾われても中身は読めません。①②③のいずれに対しても、入り口の段階で効くのが強みです。VPNがそもそも何をしているのかは、VPNの仕組みをやさしく解説で図とともに説明しています。
注意したいのは、VPNを入れていても「ONにし忘れた数十秒」のあいだは無防備だという点です。だからこそ、ON/OFFの判断を自分の記憶に頼らず、自動で常時ONにしておくのが安全側になります(常時ONの設定、「使うときだけON」では守れない理由)。
公衆Wi-Fiで身を守るためにやっておきたいこと
設定としては、出先に出る前に一度やっておけば長く効くものが中心です。
- VPNを常時ONにする。アプリを入れて自動接続を有効にしておけば、つなぎ忘れを防げます。
- アドレス欄の鍵マーク(HTTPS)を確認する。とくにログイン画面とカード入力画面は必須と考えてください。
- Wi-Fiの自動接続をオフにする。似た名前の偽アクセスポイントに勝手につながる事故を防げます。
- ファイル共有・AirDropなどの共有設定をオフにする。外出先では受け取り側を開けっ放しにしない。
- ネットバンキングの送金など重要な操作は、できればモバイル回線で。失敗できない操作はWi-Fiを避けるだけで安心感が違います。
このうち最初のVPN常時ONさえ押さえておけば、残りは補強という位置づけです。自分に合うVPNの選び方はVPN選びの5つのポイントに整理しました。
無料Wi-Fiの危険と、無料VPNの危険は別の話
ここはよく混同されるので補足します。「公衆Wi-Fiが危ないなら、無料のVPNアプリを入れれば解決では?」と考える方がいますが、無料VPNには無料VPN特有のリスク(通信ログの収集・転売、速度制限、怪しい運営元)があり、別問題として注意が必要です。詳しくは無料VPNは危険?にまとめてあります。公衆Wi-Fi対策としては、月数百円程度の有料VPNから検討するのが、結局は無難という印象です。
まとめ:見えないからこそ、入り口で防ぐ
公衆Wi-Fiの危険は、盗み見・偽アクセスポイント・中間者攻撃・偽の誘導という4つに整理できます。共通しているのは、どれも画面上は何も起きていないように見える、という点です。被害に気づくのは数日後・数週間後ということもあり、その時には原因の特定が難しくなっています。
だからこそ、何かが起きてから対処するより、入り口の通信を最初から暗号化しておくほうが、手間も精神的な負担も小さく済みます。VPNを常時ONにし、鍵マークを確認し、自動接続と共有設定をオフにする。この程度の準備で、公衆Wi-Fi由来のリスクの大半は下げられます。
自分がどのくらい対策すべきか分からない、という方は、まずあなたに合うVPN診断で、使い方に合った備えのレベルを確認してみてください。公衆Wi-Fiをよく使う人向けのおすすめは公衆Wi-Fi向けVPNランキングにまとめています。
公衆Wi-Fiで身を守る手順 所要時間の目安:約5分
-
1
VPNを常時ONにする
VPNアプリを入れて自動接続を有効にし、Wi-Fiにつないだ瞬間から暗号化が効くようにしておきます。つなぎ忘れの数十秒を防げます。
-
2
HTTPS(鍵マーク)を確認する
アドレス欄に鍵マークが出ているかを見ます。とくにログイン画面とカード番号の入力画面では必須と考えてください。
-
3
Wi-Fiの自動接続をオフにする
端末のWi-Fi設定で自動接続を切ります。似た名前の偽アクセスポイント(悪魔の双子)に勝手につながる事故を防げます。
-
4
ファイル共有・AirDropなどの共有設定をオフにする
外出先では受け取り側を開けっ放しにしません。共有機能を切っておくことで、同じネットワーク内からの不要なアクセスを減らせます。
-
5
大事な操作はモバイル回線で行う
ネットバンキングの送金や管理者ログインなど失敗できない操作は、公衆Wi-Fiを避けてモバイル回線やテザリングに切り替えます。
よくある質問
- Q 公衆Wi-Fiにつなぐと、具体的に何を見られてしまうのですか? ▼
- Q HTTPS(鍵マーク)が出ていれば公衆Wi-Fiでも安全ですか? ▼
- Q 「悪魔の双子(Evil Twin)」とは何ですか? ▼
- Q 公衆Wi-Fiを使わずスマホの回線だけにすれば対策は不要ですか? ▼
- Q 公衆Wi-Fi対策に無料のVPNアプリを使ってもいいですか? ▼