FBIが「ホテルのWi-Fiリスク」について注意喚起:サイバー攻撃のリスクに用心
米連邦捜査局(FBI)は、ホテルのWi-Fiをテレワークで利用する際は、セキュリティリスクに注意するよう米国民に呼び掛けた。日本でホテルを利用する場合にも十分当てはまる内容だ。
米連邦捜査局(FBI)は2020年10月6日(米国時間)、ホテルの無線ネットワーク(Wi-Fi)をテレワークに利用する際には注意するよう米国民に呼び掛けた。日本でホテルを利用する場合にも十分当てはまる内容だ。
FBIが注意を喚起した背景には、自宅以外にホテルでテレワークをする傾向が出始めていることがある。大都市のホテルを中心に、静かな執務環境を求める利用客を対象として、日中の部屋予約を募る広告が目立ってきている。
ホテルでのテレワークは魅力的な選択肢かもしれない。だがホテルのWi-Fiから機密情報にアクセスするのは、自宅のWi-Fiからアクセスする場合よりもセキュリティリスクが高いと、FBIは警告する。ホテルではWi-Fiのセキュリティ対策に一貫性がなかったり、甘かったりすることが背景にある。利用客のセキュリティへの無関心を悪用して、サイバー犯罪者がビジネスデータや個人データを侵害する恐れがあるという。
その結果としてユーザーが使用するビジネスネットワークに不正アクセスされる可能性がある。こうなるとビジネスデータを盗まれたり、ランサムウェアを含むマルウェアをアップロードされたりしてしまう。
ホテルのWi-Fiにはどのような危険性があるのか
FBIはホテルのWi-Fiの危険性として、次の4点を挙げている。
- 同じ無線ネットワークを不特定多数が利用する
不特定多数の利用者が限られた場所で同じWi-Fiを使うホテル環境には特有の危険性がある。サイバー犯罪者がWi-Fiユーザーのインターネット閲覧を監視したり、Wi-Fiユーザーを偽のログインページにリダイレクトしたり、ホテルのネットワークと似た名前の悪意あるネットワークを運用したりする恐れがある。 - 不十分なセキュリティ
ホテルのネットワークは、堅牢(けんろう)なセキュリティよりも利用客の利便性を優先する傾向がある。小規模ホテルではWi-Fiアクセスのパスワードを記したプラカードをサービスコーナーに掲示した上、パスワードをほとんど変更しない場合も少なくない。 - 見当違いなセキュリティ
ホテルのWi-Fiにアクセスするには通常、部屋番号とパスワードの組み合わせが必要だ。だがこれではWi-Fiにアクセスするデバイスを限定できるだけだ。Wi-Fiが安全なインターネット接続を提供するとは限らない。 - 対策が十分かどうか確認できない
ホテルがWi-Fiを適切に保護しているという保証がない。さらにWi-Fiへの攻撃を適切に監視しているという保証もない。
4番目の危険性に関連して、FBIはホテルのネットワークインフラの大部分に対して利用客のコントロールが全く及ばないことにも注意を促している。利用客は一般に、ホテル内の無線アクセスポイントの物理的な場所や使われているネットワーク機器の使用年数の他、ホテルが機器のファームウェアをどのような頻度で更新しているか、機器のデフォルトパスワードを変更しているか否かについても、知るすべがないとしている。脆弱(ぜいじゃく)性が残ったままの機器に対してホテル側が何の対策も打っていない可能性がある。
攻撃にはわずかな予兆がある
高度なサイバー攻撃には予兆がないものも多い。ハリウッド映画が描写するサイバー攻撃とは似ても似つかない。それでも以下のような挙動が見られた場合はサイバー攻撃を疑うに足りる。
ハードウェアについてはモバイルデバイスが突然遅くなったり、データ使用量が突然増加したりする。バッテリーの残り容量が通常よりも素早く減少することもある。
ソフトウェアではユーザーがアクセスしようとしたWebサイトから自動的にリダイレクトしたり、ポップアップ広告が増加したりする。さらにはカーソルが勝手に動き始めたり、モバイルデバイスが操作もしていないのにアプリケーションを起動したりする。ユーザーが操作していないのに、携帯電話が発信したり、テキストや電子メールが送られたりする。
ホテルのWi-Fiのリスクを軽減するための12の推奨事項とは
関連記事
- テレワーク/リモートネットワークアクセスから始めるゼロトラスト技術の導入
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、テレワークで露呈したVPNの限界と、解決策となるゼロトラスト技術の導入について。 - 新型コロナによるリモートワークとセキュリティ上の脅威
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、リモートワークとセキュリティについて。 - テレワーク方式を8つに分類し、それぞれの特徴を解説 総務省がテレワークセキュリティに関する手引きを公表
総務省は、テレワークを実施するに当たって最低限のセキュリティを確実に確保するための手引き「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」と、設定内容を解説する資料を公表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.