5年前より安心よ 2024年の「00000JAPAN」:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(44)
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第44列車は「00000JAPAN(再び)」です。※このマンガはフィクションです。
「こうしす!」とは
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!@IT支線」とは
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
第44列車:2024年の「00000JAPAN」
井二かけるの追い解説
マンガのテーマは、「00000JAPAN(再び)」です。
災害時には、災害用統一SSID「00000JAPAN」で公衆無線LANサービスが無料で提供されます。年明けに発生した令和6年能登半島地震においても「00000JAPAN」が提供され話題を呼びました。
以前も本連載で、「00000JAPAN」の利用について以下の注意点を述べました。
それから5年以上経過した現在では、少し状況が変わっています。今回はその点を解説します。
大前提 「00000JAPAN」のセキュリティリスクについて
まず大前提として、さまざまなリスクを考慮した上で期待されるメリットがデメリットを上回るからこそ、災害時の無線LANアクセスポイントの無料開放が実施されています。
情報セキュリティリスクよりも生命のリスクの方が優先度が高いことはいうまでもありません。その意味において、生命を守るために必要な局面においても「セキュリティリスクがあるから使用しない」というのは考えものです。この点は当時もいまも変わりません。
注意するべきポイント
ただし、WebブラウザでのWebサイトの閲覧に限定すれば、常時HTTPS(TLS)の普及が進み、上記のような注意点の多くはリスクが低くなりつつあります。現在、強いて注意すべき点は以下の4つです。
- ブラウザの警告が出ていないことを確認する
- パスワードはパスワードマネジャーでパスワードを自動入力する。自動入力できないときは、ドメイン名が正しいことを確認する
- 重要な情報は、上記を確認した上で、正常にログインできたところでしか入力しない
- 「00000JAPAN」に自動接続する設定にしない、もしくは、使った後は接続設定を削除する
公衆無線LANサービスを使用するか否かを問わず、安全にWebを閲覧する上で注意すべき点とそれほど変わりません。
「4」について補足すると、通常よりもセキュリティが低いことは確かですし、Web閲覧以外の通信や、端末に対する直接攻撃のリスクがあるので、自動的につながる設定は避ける方が望ましいと筆者は考えています。
変化の理由
このように変化した理由は幾つかあります。
1 HTTPS対応サイトが標準的になり、ブラウザのアドレスバーの仕様が変化した
現在では多くのWebサイトが常時HTTPS(TLS)で暗号化されるようになりました。
以前はブラウザのアドレスバーなどに南京(なんきん)錠マークが表示されたり、「https」の文字が緑色で強調されたりするのが一般的でした。しかしHTTPSの普及に伴い現在では、非HTTPS接続のときや暗号化に問題があるときにのみ警告が表示される仕様が一般的になりました。
例えば「Googie Chrome」では、非HTTPS通信のときにのみ以下の警告が表示されるように仕様が変化しています。
執筆時点のGoogle Chromeではさらに、「https://」などのURLスキームの表示を省略するようになっています。
そのため、安全な通信であることを確認するために「URLが https:// から始まること」をチェックするよりも、「ブラウザに警告が表示されていないこと」を確認することが先決になりました。
また、一部のブラウザには「HTTPS 優先モード」(Google Chrome)、「HTTPS-Only モード」(Mozilla Firefox)など、非HTTPSのWebサイトを表示しようとすると、ページ全面に警告を表示するモードが搭載されています。そうした機能を使うことも有効な対策になるでしょう。
2 パスワードマネジャーや二要素認証が普及してきた
パスワードマネジャーについて以前は、信頼できるかどうか、保存方法が安全かどうかに議論があり、推奨するには至らない次善の策と考えられていました。
それでも現実問題として、パスワードの使い回しを避けるためにパスワードマネジャーでパスワードを自動生成する方が望ましく、紛らわしいドメイン名を人の目で見抜くことは限界があるのでパスワードマネジャーに判定させる方がリスクが低いと考えられるようになってきています。
パスワードマネジャー自体の信頼性に関していえば、ブラウザが信頼できなければ何も信頼できないという意味において、どの製品を使用すればいいのか判断できないのであればブラウザ搭載のパスワードマネジャーを用いた方が無難であるともいえるでしょう。
リスクを低減するためには、まず同期パスフレーズを使用することも有効です。
また、現在では二要素認証も普及が進んでいます。二要素認証を組み合わせることで、万が一パスワードマネジャーからパスワードが漏えいしても、認証を突破されるリスクは低くなります。
3 VPN使用はリスクが増加する
暗号化されていない通信については、VPN(仮想プライベートネットワーク)を使用することにより、公衆無線LANサービスの提供者が通信の内容を盗聴することは困難になります。しかしVPN事業者に悪意があれば、内容を盗聴したり改ざんしたりできることに留意が必要です。また、えたいの知れないVPNアプリをインストールすること自体がリスクとなる可能性があります。
そして何より、HTTPS(TLS)通信は、VPNを使用しなくても盗聴や改ざんは困難ですから、利用する意味がありません。
災害時の情報収集において、通信の秘匿や改ざん防止の目的でVPNを使用することは、リスクを減らす面では特に効果的とはいえず、かえってリスクが増加するといえます。
Webサービス運営者の責任
このような状況となってきた現在、むしろ、公衆無線LANサービスを利用した程度で盗聴され、利用者が被害を受けるのは利用者だけの責任とはいえなくなってきています。
Webサービス運営者の責任というべき問題として、以下が挙げられます。
- HTTPSに対応していない
- HSTS(Hypertext Strict Transport Security)を設定していない
- パスワードマネジャーを正常に使用できない
- CookieにSecure属性を付けていない
- 利用者に対して、ブラウザの警告を無視するように案内する(論外)
HSTSは「このサイトはHTTPS専用です」という情報をブラウザに記憶させることで、非HTTPSでのアクセスを抑止するものです。HTTPの応答ヘッダにStrict-Transport-Securityヘッダを含めることで設定が可能です。
HSTSの設定により、「非HTTPSの通信に誘導して中間者攻撃を行う」などの攻撃手法を防止できます。これはまさに偽無線LANアクセスポイントで考えられる攻撃手法の一つですから、HSTSの設定は有益といえます。
しかし、金融機関のWebサイトでさえHSTSに対応していないサイトが多いのが現状です。
Webサービス運用者には、利用者に注意を喚起するだけでなく、利用者が安全にWebサービスを利用できるように運用していくことが求められるでしょう。
筆者プロフィール
原作:井二かける
アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。
著書:「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)
「ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」(京姫鉄道出版)
dアニメストアにて、アニメ『こうしす!EE』配信中。
- Twitter:@k_ibuta
解説:京姫鉄道
「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。
原作:OPAP-JP contributors
オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。
- Twitter:@opap_jp、@kosys_pr
- 公式サイト:Open Process Animation Project Japan(OPAP-JP)
- 貢献者一覧:こうしす!/クレジット
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
似非関西弁は見抜けても、似非アクセスポイントは見抜きにくいねん
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第9列車は、悪意あるアクセスポイントへの注意喚起です。
パスワードマネジャーのパスワードは、どうやって管理すればいいの?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第41列車は「漏えいとパスワードの使い回し」です。※このマンガはフィクションです。
イマドキの小学生は「多要素認証」を正しく使いこなすらしい
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第10列車は「多要素認証」です。※秋の特別列車、3両編成です。