検索
ニュース

FBIが「ホテルのWi-Fiリスク」について注意喚起サイバー攻撃のリスクに用心

米連邦捜査局(FBI)は、ホテルのWi-Fiをテレワークで利用する際は、セキュリティリスクに注意するよう米国民に呼び掛けた。日本でホテルを利用する場合にも十分当てはまる内容だ。

Share
Tweet
LINE
Hatena

 米連邦捜査局(FBI)は2020年10月6日(米国時間)、ホテルの無線ネットワーク(Wi-Fi)をテレワークに利用する際には注意するよう米国民に呼び掛けた。日本でホテルを利用する場合にも十分当てはまる内容だ。

 FBIが注意を喚起した背景には、自宅以外にホテルでテレワークをする傾向が出始めていることがある。大都市のホテルを中心に、静かな執務環境を求める利用客を対象として、日中の部屋予約を募る広告が目立ってきている。

 ホテルでのテレワークは魅力的な選択肢かもしれない。だがホテルのWi-Fiから機密情報にアクセスするのは、自宅のWi-Fiからアクセスする場合よりもセキュリティリスクが高いと、FBIは警告する。ホテルではWi-Fiのセキュリティ対策に一貫性がなかったり、甘かったりすることが背景にある。利用客のセキュリティへの無関心を悪用して、サイバー犯罪者がビジネスデータや個人データを侵害する恐れがあるという。

 その結果としてユーザーが使用するビジネスネットワークに不正アクセスされる可能性がある。こうなるとビジネスデータを盗まれたり、ランサムウェアを含むマルウェアをアップロードされたりしてしまう。

ホテルのWi-Fiにはどのような危険性があるのか

 FBIはホテルのWi-Fiの危険性として、次の4点を挙げている。

  1. 同じ無線ネットワークを不特定多数が利用する
     不特定多数の利用者が限られた場所で同じWi-Fiを使うホテル環境には特有の危険性がある。サイバー犯罪者がWi-Fiユーザーのインターネット閲覧を監視したり、Wi-Fiユーザーを偽のログインページにリダイレクトしたり、ホテルのネットワークと似た名前の悪意あるネットワークを運用したりする恐れがある。
  2. 不十分なセキュリティ
     ホテルのネットワークは、堅牢(けんろう)なセキュリティよりも利用客の利便性を優先する傾向がある。小規模ホテルではWi-Fiアクセスのパスワードを記したプラカードをサービスコーナーに掲示した上、パスワードをほとんど変更しない場合も少なくない。
  3. 見当違いなセキュリティ
     ホテルのWi-Fiにアクセスするには通常、部屋番号とパスワードの組み合わせが必要だ。だがこれではWi-Fiにアクセスするデバイスを限定できるだけだ。Wi-Fiが安全なインターネット接続を提供するとは限らない。
  4. 対策が十分かどうか確認できない
     ホテルがWi-Fiを適切に保護しているという保証がない。さらにWi-Fiへの攻撃を適切に監視しているという保証もない。

 4番目の危険性に関連して、FBIはホテルのネットワークインフラの大部分に対して利用客のコントロールが全く及ばないことにも注意を促している。利用客は一般に、ホテル内の無線アクセスポイントの物理的な場所や使われているネットワーク機器の使用年数の他、ホテルが機器のファームウェアをどのような頻度で更新しているか、機器のデフォルトパスワードを変更しているか否かについても、知るすべがないとしている。脆弱(ぜいじゃく)性が残ったままの機器に対してホテル側が何の対策も打っていない可能性がある。

攻撃にはわずかな予兆がある

 高度なサイバー攻撃には予兆がないものも多い。ハリウッド映画が描写するサイバー攻撃とは似ても似つかない。それでも以下のような挙動が見られた場合はサイバー攻撃を疑うに足りる。

 ハードウェアについてはモバイルデバイスが突然遅くなったり、データ使用量が突然増加したりする。バッテリーの残り容量が通常よりも素早く減少することもある。

 ソフトウェアではユーザーがアクセスしようとしたWebサイトから自動的にリダイレクトしたり、ポップアップ広告が増加したりする。さらにはカーソルが勝手に動き始めたり、モバイルデバイスが操作もしていないのにアプリケーションを起動したりする。ユーザーが操作していないのに、携帯電話が発信したり、テキストや電子メールが送られたりする。

ホテルのWi-Fiのリスクを軽減するための12の推奨事項とは

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
ページトップに戻る