米連邦捜査局(FBI)はホテルの無線ネットワーク(Wi-Fi)をテレワークに利用する際には注意するよう米国民に呼び掛けた。日本でホテルを利用する場合にも十分当てはまる内容だ。
FBIが注意を喚起した背景には、自宅以外にホテルでテレワークをする傾向が出始めていることがある。大都市のホテルを中心に、静かな執務環境を求める利用客を対象として、日中の部屋予約を募る広告が目立ってきている。
ホテルでのテレワークは魅力的な選択肢かもしれない。だがホテルのWi-Fiから機密情報にアクセスするのは、自宅のWi-Fiからアクセスする場合よりもセキュリティリスクが高いと、FBIは警告する。ホテルではWi-Fiのセキュリティ対策に一貫性がなかったり、甘かったりすることが背景にある。利用客のセキュリティへの無関心を悪用して、サイバー犯罪者がビジネスデータや個人データを侵害する恐れがあるという。
その結果としてユーザーが使用するビジネスネットワークに不正アクセスされる可能性がある。こうなるとビジネスデータを盗まれたり、ランサムウェアを含むマルウェアをアップロードされたりしてしまう。
ホテルのWi-Fiにはどのような危険性があるのか
FBIはホテルのWi-Fiの危険性として、次の4点を挙げている。
- 同じ無線ネットワークを不特定多数が利用する
不特定多数の利用者が限られた場所で同じWi-Fiを使うホテル環境には特有の危険性がある。サイバー犯罪者がWi-Fiユーザーのインターネット閲覧を監視したり、Wi-Fiユーザーを偽のログインページにリダイレクトしたり、ホテルのネットワークと似た名前の悪意あるネットワークを運用したりする恐れがある。 - 不十分なセキュリティ
ホテルのネットワークは、堅牢(けんろう)なセキュリティよりも利用客の利便性を優先する傾向がある。小規模ホテルではWi-Fiアクセスのパスワードを記したプラカードをサービスコーナーに掲示した上、パスワードをほとんど変更しない場合も少なくない。 - 見当違いなセキュリティ
ホテルのWi-Fiにアクセスするには通常、部屋番号とパスワードの組み合わせが必要だ。だがこれではWi-Fiにアクセスするデバイスを限定できるだけだ。Wi-Fiが安全なインターネット接続を提供するとは限らない。 - 対策が十分かどうか確認できない
ホテルがWi-Fiを適切に保護しているという保証がない。さらにWi-Fiへの攻撃を適切に監視しているという保証もない。
4番目の危険性に関連して、FBIはホテルのネットワークインフラの大部分に対して利用客のコントロールが全く及ばないことにも注意を促している。利用客は一般に、ホテル内の無線アクセスポイントの物理的な場所や使われているネットワーク機器の使用年数の他、ホテルが機器のファームウェアをどのような頻度で更新しているか、機器のデフォルトパスワードを変更しているか否かについても、知るすべがないとしている。脆弱(ぜいじゃく)性が残ったままの機器に対してホテル側が何の対策も打っていない可能性がある。
攻撃にはわずかな予兆がある
高度なサイバー攻撃には予兆がないものも多い。ハリウッド映画が描写するサイバー攻撃とは似ても似つかない。それでも以下のような挙動が見られた場合はサイバー攻撃を疑うに足りる。
ハードウェアについてはモバイルデバイスが突然遅くなったり、データ使用量が突然増加したりする。バッテリーの残り容量が通常よりも素早く減少することもある。
ソフトウェアではユーザーがアクセスしようとしたWebサイトから自動的にリダイレクトしたり、ポップアップ広告が増加したりする。さらにはカーソルが勝手に動き始めたり、モバイルデバイスが操作もしていないのにアプリケーションを起動したりする。ユーザーが操作していないのに、携帯電話が発信したり、テキストや電子メールが送られたりする。
ホテルのWi-Fiのリスクを軽減するための12の推奨事項とは
ホテルWi-Fiのリスクを軽減するために、次のような対策を取ることをFBIは推奨している。個々の対策だけでは万全とは言えないが、組み合わせることによって危険度が下がる。
- 可能であればテレワークの際に評判の良いVPN(仮想プライベートネットワーク)を使ってネットワークトラフィックを暗号化する。こうすればオンライン行動をサイバー犯罪者が傍受することが難しくなる
- ホテルが提供するWi-Fiではなく、自分のスマートフォンで契約している無線ホットスポットに接続する
- リモートワークを始める前にPCやスマートフォンなどのOSやソフトウェアにパッチを適用して最新の状態にする。重要データはバックアップし、信頼性の高い最新のセキュリティ対策アプリケーションをインストールし、動作させておく
- ホテルのWi-Fiを利用する前に、正確なネットワーク名(SSID)を確認してから、Wi-Fiに接続する
- ホテル内からアクセスできたとしても、自分が契約したネットワークとホテルが提供するWi-Fi以外のネットワークに接続しない
- パブリックWi-Fi設定を使って接続し、ホテルではネットワークへの自動再接続を無効にしておく
- インターネット閲覧時は常にHTTPS接続になっているかどうかを確認する(アドレスバー近くの鍵アイコンで確認できる)
- 金融機関のWebサイトなど機密情報に関わるWebサイトへのアクセスを避ける。個人データ(社会保障番号など)の入力が必要なWebサイトは使わない
- ホテルのWi-Fiに接続するデバイスは他から検出できない設定(パブリックネットワーク設定)にする他、使っていないときはBluetoothを無効にする
- 無線ネットワークに関する勤務先のセキュリティポリシーと手続きに従って利用する
- 機密データを扱うアカウントにログインする必要がある場合は、多要素認証を使う
- ログイン通知を有効にして、不審なアカウント活動に関する通知を受けられるようにする