2026年4月3日

飲食店などの店舗内やショッピングモール・空港・ホテルなどで不特定多数の人が無料で利用できるWi-Fi（公衆Wi-Fi）は、コロナ禍で一時的に利用が減ったものの、最近では利用者が急回復しているそうです[1]。公衆Wi-Fiは便利な反面、セキュリティ上の懸念があるという意見もあるため、利用をためらう方も多いのではないでしょうか[2]。本稿では公衆Wi-Fiを利用する上で考えられる危険性について考察します。

エグゼクティブサマリー

目次

公衆Wi-Fiの2つの方式

さまざまなところで利用できる公衆Wi-Fiですが、そのしくみは様々です。大きく分けて以下の2通りの方式があります。

認証を行う理由としては、利用者の利用を制限する（カフェなどで長居されないように1時間などの制限時間を設けるなど）、犯罪などに悪用された際にあとから誰が利用したかを調査する手掛かりにするなどが考えられます。認証のない公衆Wi-Fiサービスでは利用者の利用を制限することができず、また悪用されても利用者の特定が困難ですので、サービス提供者側としては認証のない公衆Wi-Fiサービスを提供した場合のリスクの一つとして知っておくとよいでしょう。

公衆Wi-Fiを利用する上で考えられる危険性

それでは、利用者が公衆Wi-Fiを利用する際に考えられるリスクにはどのようなものがあるのでしょうか。ひとつは盗聴、もうひとつは偽の（悪意のある）アクセスポイントへの接続が考えられます。

盗聴（スニッフィング・パケットキャプチャ）

まず考えられるのが、そもそも暗号化がされていない場合で、この場合はアクセスポイントに接続しなくとも電波の届く範囲であればだれでも通信の内容を盗聴することが可能です。次にWi-Fiの暗号化が行われていても、共通のSSID/パスワードが利用されている場合は同じWi-Fiアクセスポイントを利用する他の利用者に通信内容を傍受される可能性があります[3]。

なお、Wi-Fiアクセスポイントによっては端末間の通信を遮断し、各端末はインターネットのみに接続可能とするような設定（クライアント分離）ができる場合があります。サービス提供者側はWi-Fiアクセスポイントにどのようなセキュリティ機能があるかを確認し、利用者のリスクを減らす設定が可能な場合は有効にするとよいでしょう。

ただし、クライアント分離が行われていても同じアクセスポイントに接続している他の機器に対して中間者攻撃などを行うことが可能な攻撃手法「AirSnitch」[4]が発表されるなど、こうした独自機能にセキュリティ上の問題がある可能性については留意すべきでしょう。

偽のなりすましアクセスポイント（evil twin）による中間者攻撃やマルウェア配布

その次に考えられるのが偽のなりすましアクセスポイントで、これは本物のアクセスポイントと同じSSIDやパスワード、本物に似せた偽のキャプティブポータルなどを攻撃者が用意し、利用者を騙して接続させるというものになります。

偽のなりすましアクセスポイントに接続してしまうと、中間者攻撃による暗号通信の盗聴、フィッシングサイトへの誘導によるマルウェア感染といった可能性があります。参考情報として、公衆Wi-Fiではないのですが、ISPのキャプティブポータルを利用した中間者攻撃の事例として、ロシアを背景とする攻撃者グループ「Secret Blizzard」によるモスクワの各国大使館を標的としたサイバースパイ活動[5]が挙げられますので、参照いただければと思います。

偽のなりすましアクセスポイントは本物そっくりであることが多く、見破るのも難しいかと思いますので、公衆Wi-Fiを利用する場合のリスクとして常に意識して、少しでも違和感があれば偽のなりすましアクセスポイントに接続してしまっている可能性を疑い、接続を切断しましょう。また可能であればVPNを利用することで盗聴を防ぐことが可能なほか、偽のなりすましアクセスポイントに接続している場合にはVPNの接続が失敗するため、怪しいと気づくことができます。

対策

いままでのまとめとして（繰り返しになる部分もありますが）、利用者が公衆Wi-Fiを利用する際に気を付けるべきことを以下にまとめます。なお、今後も新たな攻撃手法が登場する可能性もありますので、これらを実施すれば必ず安全に利用できるということを保証するものではありません。

以上は利用者としての対策となりますが、サービス提供者側としてはWi-Fiアクセスポイントのセキュリティ機能（クライアント分離など）を有効にする、Wi-Fiアクセスポイントの脆弱性情報に注意してパッチが提供されたらすぐに適用する、Wi-Fiアクセスポイントを可能な限り物理的にアクセスされないようにする、偽のアクセスポイントが設置されていないか注意するなど、利用者が安全に利用できるように可能な限り対策を行いましょう。

また気軽に提供できるSSID/パスワード方式の公衆Wi-Fiでは利用者を特定できないリスク（犯罪に利用された場合の責任問題に発展する可能性）があることは知っておくとよいでしょう。

おわりに

公衆Wi-Fiは便利な反面、危険性もあります。利用する場合はどのような危険性があるかは十分把握しておき、不審に思ったらただちに利用を中止しましょう。特に大規模災害時などに利用できる「00000JAPAN」という公衆Wi-Fi[6]は災害時には重宝しますが、利用する際にはリスクもあることを知っておくとよいでしょう。また公衆Wi-Fiに限った話ではありませんが、ClickFixのようなソーシャルエンジニアリングの攻撃手法や、空港などでの偽USB充電ポートによるデータ侵害など、新たな攻撃手法は常に出てきますので、最新の攻撃手法には常に注意を払い、把握しておきましょう。またサービス提供者側は悪用のリスクを把握することと、可能な限り利用者のリスクを低減する施策（偽のアクセスポイントがないか検出するなど）を行うようにしましょう。

参照文献

[1] 2023年 公衆無線LANサービス利用者動向調査｜ICT総研
[2] 「フリーWi-Fiを『むやみに使わないように』と言われてきたので、今でも不安です」～ネットの疑問をIIJに聞きました - INTERNET Watch
[3] 
[4] AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks - NDSS Symposium
[5] Frozen in transit: Secret Blizzard’s AiTM campaign against diplomats | Microsoft Security Blog
[6] 総務省｜電気通信政策の推進｜電気通信事業者等による公衆無線LANの無料開放（災害用統一SSID「00000JAPAN（ファイブゼロ・ジャパン）」