最近のトラックバック

2017年9月
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Google AdSense2

« JRの回数券で初めて知ったこと | トップページ | MPC-BEのシークプレビューの設定 »

無料Wi-Fiによる悪用という番組がやっていたが...

さっき無料Wi-Fiへのアクセスは悪用されたら、スマホが乗っ取られるみたいな番組がやっていた。

実演として「スマホが乗っ取られた状態」を前提に、乗っ取られたスマホを使って遠隔操作をしてスマホを起動させたり、周囲の音声を盗んだりしていた。

素人判断ではあるが、おかしなことを言っていると感じた。

確かに、無料Wi-Fiにアクセスした結果、悪用されることはあるだろう。
まず、スマホがどのサイトに繋いだかはバレてしまうだろう。
パケット情報が盗まれることもあるだろう。この際、暗号化していない文章などの場合は、覗き見されることも間違いないだろうし、暗号化されていたとしても解読された結果、Eメールの内容やサイトに入力したパスワードなどが覗き見される危険もあるだろう。
更に、「スマホが乗っ取られた場合」には、遠隔操作やスマホの中身を丸裸にもできるだろう。

だが「スマホを乗っ取る」ってのは容易ではない。
不正なアプリをダウンロードして、インストールする必要があるからだ。

だが、Wi-Fiのアクセスポイントに送られたパケットを覗き見することと、スマホに向かって、不正にダウンロードを強要して、不正なアプリを不正にインストールするのは次元が異なる話だ。

基本的に、パケット通信はスマホのアプリ(やOS)から、「このデータを持ってきて」と命令をして、「スマホに届いたデータ」を「このデータは自分(アプリ)が頼んだものだから使いますよ」という、承認が必要だ。
このパケット通信の仕組みを考えれば、意図しないデータを無料Wi-Fiのスポットから、スマホに送ることはできないはずだ。

また、アプリをインストールするのには基本的には正規の手順が必要である。
例えば、アプリストア経由でダウンロードするのは手動だし、自動的にアプリをネットからダウンロードさせる場合もインストール済みのアプリからの命令が必要だ。
ブラウザ等のセキュリティーホールを狙ったり、不正なアプリをイントールしていれば話は別だが、偶々繋がった無料Wi-Fiからアプリをダウンロードされる可能性も、不正なアプリがインストールされる危険性も、殆ど無いと思っていいだろう。

さらに言えば、セキュリティー系のソフトを入れていれば、不正なダウンロードや不正なアクセスを行うアプリは高確率で引っかかる。

つまるところ、Wi-Fiのアクセスポイントから、勝手にアプリをダウンロードさせることはできないし、そのアプリを勝手にインストールすることも出来きないということだ。
※ブラウザ等のセキュリティホールを狙う等の例外的な状況を除けばの話ではあるが…。

つまり番組で前提としていた「スマホが乗っ取られた状態で…」という状態までが、非常に厳しいのだ。

もちろん、「スマホを乗っ取るアプリをブラウザなどのセキュリティーホールを狙って、不正にインストールする」「以前に不正なサイトにアクセスした結果、不正なアプリがインストール済みであった」などの例外はあるため、スマホを乗っ取られることは100%ないはいいきれはしない...

だが、前述のような厳しい前提を話さず、「無料Wi-Fiにつなげる→遠隔操作される可能性がある」というのは、因果が飛びすぎているのだ。
この考えをそのまま自宅のPCのインターネット環境に例えると、「自宅のPCでインターネットに繋げる→遠隔操作される可能性がある」と言っているのと大差がない。
「知らない私道を歩けば、大怪我する可能性がある」ぐらいには因果が飛んでいる。

正しくは、無線Wi-Fiは関係なく、「何らかの方法で不正なアプリがインストールされた→スマホが遠隔操作される可能性がある」のという因果が正しいはずだ。
決して、無料Wi-Fiに繋げたことが問題ではない。

前提を無視して番組を流されると、無料Wi-Fiを提供している地下鉄や空港とか、マクドナルドとかだって繋いじゃ駄目ということになるのが、わからないのだろうか?


上記に書いたが、無料Wi-Fiを経由することによって覗き見をされる可能性はある。
無料のWi-Fiが使っているアクセスポイントに流れたパケットデータはアクセスポイントが自由に(?)見ることが出来るからだ。
無料Wi-Fiを悪用するならば、難易度の高い遠隔操作ではなく、難易度が低い覗き見のほうが主体になるだろう。

ただし、少しでも有名なサイトへのセキュリティが必要なページヘの閲覧や、有名なアプリを使ったインターネットへの接続の場合、暗号化されていない事のほうが珍しいので、通信内容をそう簡単には覗き見されることはない。
暗号化の解読はとんでもないパワーが必要である。
国家機密ならともかく、個人情報の解読では費用対効果の視点から割にあわない筈だ。
URLの最初に、https://という文字ものをみたことがあるだろう。
これはHTTP通信と呼ばれるインターネットへのアクセスに用いられる通信が暗号化されていることだ。

ただ、個人サイトとか安全性を考慮していない企業サイト、海外サイトの閲覧では、暗号化されたhttpsではなく、暗号化されていないhttpでやりとりすることが多い。
また、あまりメジャーでないアプリケーションによるインターネット通信なども暗号化されていない可能性はあるため注意したい。

まぁ大抵の場合は、通信内容が覗き見されたからといって、ちょっと恥をかく位のものしか無いだろうけどねぇ~。


あと、Yahooなどの検索サイトでの検索単語は暗号化されないようなので、検索した単語はバレると思った方がいい。
これは検索サイトによって対応が異なるのかな?
これについても、大抵の場合はバレても、ちょっと恥をかく位のものしか無い気がする。

« JRの回数券で初めて知ったこと | トップページ | MPC-BEのシークプレビューの設定 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/532391/61130001

この記事へのトラックバック一覧です: 無料Wi-Fiによる悪用という番組がやっていたが...:

« JRの回数券で初めて知ったこと | トップページ | MPC-BEのシークプレビューの設定 »

Google AdSense


  • ---

Amazon ウィジェット

  • ウィジェット

@niyo_naのツイート

無料ブログはココログ

Google Analytics