カフェでWi-Fiに接続しようとしたとき、ふと思いました。
「公衆Wi-Fiは危険」とよく聞くけれど、実際どのくらい危ないのだろう。
というのも、最近のインターネット閲覧ではHTTPSがほとんどで、送受信される情報は暗号化されているからです。
一方で電車内を見渡すと、多くの人がスマートフォンを操作しています。
後ろから画面が丸見えの状態で、ロックの解除などをしている人もいます。
ここに温度差があるように感じます。
1. 公衆Wi-Fi経由の被害統計を探してみた
公衆Wi-Fi経由を使って、情報漏えいにあった被害件数はどれぐらいあるのでしょうか。
まず警察庁のサイバー犯罪統計を確認しました。
2024年の報告では、ランサムウェア被害が222件、インターネットバンキングの不正送金が約24億円という数字があります1。
しかし、たとえばランサムウェアの攻撃経路を見ると「VPN機器からの侵入63%」「リモートデスクトップからの侵入18%」という内訳です2。
ただし、「公衆Wi-Fi経由の被害」としては、記載がありません。
1.1. 漠然とした不安と注意喚起
セキュリティ企業などの報告書もいくつか読んでも、「危険性」や「リスク」については詳しく書かれていますが、やはり「公衆Wi-Fiで何件の被害が出た」という統計は出てきません。
総務省は2025年2月版の「公衆Wi-Fi利用者向け簡易マニュアル」を公開しています3。
これも、暗号化されていないWi-Fiの危険性や、偽アクセスポイントへの注意が書かれていますが、「実際に何件の被害が出ているか」という記載はありません。
興味深かったのは、利用者の意識調査です。
公衆Wi-Fiを使わない理由として「セキュリティ上の不安」を挙げる人が最も多く、そのうち約4割が「漠然とした不安」と答えていました。
具体的な根拠があって避けているわけではないようです。
2. F-Secure実験(2014-2016年)とHTTPS普及
確かに2010年代前半までは、公衆Wi-Fiの危険性は現実的なものでした。
当時はHTTP(暗号化なし)の通信が主流で、同じWi-Fiに接続している人の通信内容を見ることも可能でした。
たとえば、2010年ごろには「Firesheep」というブラウザ拡張機能があり、同じWi-Fiネットワーク上の暗号化されていないセッション情報をかんたんに盗めたという記録も残っています4。
あるいは、偽アクセスポイントを設置して、接続したユーザーから情報を盗み取る実験も有名です。
たとえば、セキュリティ企業F-Secureは2014年と2016年にロンドンで公衆Wi-Fi実験を実施しました5。
2016年の実験では150時間で196台のデバイスから約770万パケットを傍受し、オンラインデートアプリの画像108枚、個人情報などを取得しました。
ただし、これらの傍受された情報には条件があることです。
- HTTP(暗号化なし)で通信するアプリ
- HTTP Basic認証(Base64エンコードのみ)
- 暗号化なしで送信されたCookie
2.1. 非HTTPSは警告表示されるようになった
これは、2024年現在の状況と大きく異なります。
2014年にGoogleが「HTTPSをランキング要因にする(つまり、暗号化なしのサイトは検索結果に表示されにくくなる)」と発表し、2015年にはLet’s Encryptが無料SSL証明書の提供を始めました6。
2018年にはChromeがすべての非HTTPSサイトに「保護されていません」と表示するようになりました7。
その結果、現在のHTTPS普及率を調べると、2023年には主要企業でほぼ100%という数字が出てきます8。
HTTPSで保護された通信を傍受するには、偽サイトを用意するか、偽の証明書をインストールさせる必要があります。
しかし、偽の証明書のインストールは、現代のブラウザは大きな警告を表示するため、一般利用者が誤ってすることはほぼありません9。
つまり、気をつけるべきは偽サイトで、これは基本的には公衆Wi-Fi以外でも同じです。
F-Secure実験は「2010年代前半の技術環境」におけるリスクを実証したものであり、HTTPS普及後の2024年に同じ実験を行っても、同様の結果は得られないでしょう。
技術的な前提は、この10年で大きく変わっているのです。
それにもかかわらず、「現在の公衆Wi-Fiのリスク」として引用され続けている点に、構造的な問題があります。
2.2. 偽アクセスポイントの攻撃コスト
暗号化されていないWi-Fiはほとんど見られなくなりましたし、かんたんに避けることができます。
ただし、偽アクセスポイントには注意が必要です。
そのものが通信を傍受するというよりも、DNSの改ざんによって偽サイトに誘導されるリスクがあるからです。
これは正しいアドレスでも気づかないうちにフィッシング被害になってしまうことがあります。
しかし、これは大掛かりな攻撃です。
攻撃する側から見て、公衆Wi-Fiの偽アクセスポイントはどれぐらい割に合うのか。
たとえば、小さな施設で利用者は数人で、滞在時間は数十分のような場合、誰が来るかわからず、どんな情報を扱うかも不明です。
しかも、労力をかけても価値のある情報が得られる保証はありません。
機材を準備し、現地で待機するぐらいなら、企業のVPNを狙った方が、はるかに効率的です。
これは「食べられる魚のいない釣り堀で釣りをする」ようなものです。
時間と労力を使う理由がありません。
研究者は大学の予算と時間を使って数時間から数日間待機し、データが取れれば「成功」ですが、実際の攻撃者にとって、機材費、時間コスト、検挙リスクを考慮すると、公衆Wi-Fi攻撃は経済的に合理的な選択肢とは言えないのです10。
つまり、一般利用者の公衆Wi-Fi利用は、基本的には攻撃対象として割に合わないと考えられます。
実際、警察庁の統計でも、攻撃の主流は企業のVPNやリモートデスクトップへの侵入です。
3. 社会はゼロリスクで動いていない
ここで考えたのは、リスクの受け入れ方についてです。
私たちは日常的に、様々なリスクを受け入れています。
車に乗れば事故のリスクがあり、餅を食べれば窒息のリスクがあります。
それでも、リスクを管理しながら利用しています。
これらのリスクには統計データがあります。
交通事故死は年間約2,600人、餅による窒息死は年間100〜150人という数字です。
公衆Wi-Fiについては、そのデータがありません。
しかし、なぜか「理論的に可能性がある」というだけで、一律に危険視されています。
3.1. ショルダーハッキングとの比較
では、セキュリティ分野では「ゼロリスク基準」なのでしょうか。
しかし、それなら、電車内でスマートフォンを利用する方がよっぽどリスクがあります。
たとえば、満員電車では、後ろから画面が丸見えです。
パスワード入力も、メールの内容も見えます。
これは「ショルダーハッキング」と呼ばれる手口で、特別な技術は要りません。
目視だけで情報を盗めます。
公衆Wi-Fiへの攻撃には技術と時間が必要で、成功率も不確実です。
一方、ショルダーハッキングはコストがゼロで、確実に情報を得られます。
にもかかわらず、公衆Wi-Fiばかりが警告されているんですよね11。
3.2. リスク評価の構造的な問題
公衆Wi-Fiのリスク評価は、本当に合理的なのでしょうか。
- 第一に、被害の統計データがありません。
「理論的に可能」と「実際に起きている」の区別がされていません。 - 第二に、技術的な前提が変わったのに、警告が更新されていません。
2010年代前半の危険性が、そのまま語られ続けています。 - 第三に、攻撃コストの視点が欠けています。
攻撃者も時間と労力に制約があり、割に合わない標的は避けるという発想がありません。 - 第四に、他のリスクとの比較がありません。
ショルダーハッキングのような、より簡単で確実な攻撃手段が放置されています。
警告はたくさんあるのに、実際の被害データが見当たらない。
技術的な前提は変わったのに、言説は更新されていない。
他のリスクとの比較もされていない。
この状態は、健全なリスク評価を妨げているのではないでしょうか。
3.3. なぜこの状態が続くのか
では、なぜこの状態が続いているのでしょうか。
それは、誰も「実際のリスクは低い」と説明するメリットやインセンティブがないからです。
- 行政は「安全になった」と発表したのに被害が起きたら、責任問題になります。
- 教育現場では、一度作られた教材が使い回されがちです。
- メディアは「危険」という記事の方が読まれます。
- セキュリティ企業にとって、不安な方がVPNやセキュリティソフトを販売できます。
現在のHTTPS普及率を前提とした場合、実際の攻撃成功率はどの程度なのか。
一般利用者が短時間の閲覧をする場合、攻撃者にとってのコストと見返りはどう釣り合うのか。
他のリスク(ショルダーハッキング、フィッシング詐欺など)と比較して、優先度はどう評価されるべきなのか。
もし、これらが明らかになれば、より合理的なリスク評価ができるはずですが、なかなか進みません。
4. 過度に恐れる必要はない
もちろん、リスクがゼロだと言いたいわけではありません。
金融取引や重要な業務操作をする場合は、慎重になるべきです。
ただ、これは公衆Wi-Fiに限らず、どこでも同じです。
しかし、ニュースサイトを見る、メールを確認する、といった一般的な利用については、過度に恐れる必要はないのかもしれません。
重要なのは、「ゼロか百か」で考えないことです。
リスクには濃淡があります。
すべてを「危険」の一言で片付けるのではなく、何をどのように使うかで判断することが大切だと思います。
- 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(2025年3月)によると、2024年のランサムウェア被害は222件で、前年に続き高水準で推移している。 – 警察庁が2024年のサイバー犯罪統計を発表、中小企業のランサム被害件数は37%増
- 2023年の警察庁調査では、ランサムウェアの感染経路は有効回答数115件のうち約63%(73件)がVPN機器からの侵入、約18%(21件)がリモートデスクトップからの侵入となっている。 – サイバーセキュリティ2024
- 総務省は公衆Wi-Fiの安全な利用のために「公衆Wi-Fi利用者向け 簡易マニュアル(令和7年2月版)」を公開し、接続先の確認やHTTPS通信の確認などのセキュリティ対策を解説している。 – 無線LAN(Wi-Fi)の安全な利用(セキュリティ確保)について
- 2010年にリリースされたFirefoxの拡張機能「Firesheep」は、同じWi-Fiネットワーク上の暗号化されていないセッション情報を簡単に傍受できるツールとして、公衆Wi-Fiのセキュリティリスクを広く認知させるきっかけとなった。 – 公衆Wi-Fiサービスに潜む7つの危険性と回避策
- F-Secure(2014年)はロンドンで30分の実験を実施し、1つのユーザー名とパスワードを平文で傍受。2016年の拡大実験では150時間で196台のデバイスから約770万パケットを傍受し、HTTPで通信するオンラインデートアプリの画像108枚、HTTP Basic認証の認証情報、個人情報などを取得した。ただし、これらはHTTPS普及前の技術環境における結果である – Why do people use unsecure public Wi-Fi?
- Googleは2014年8月に「HTTPSをランキングシグナルに使用する」と発表。2015年にはLet’s Encryptが無料SSL証明書の提供を開始し、HTTPS化が加速した。 – SSLの最新トレンド
- Chrome 68(2018年7月リリース)より、HTTPSで暗号化されていないすべてのページを閲覧した際に、アドレスバーに「保護されていません」と警告が表示されるようになった。 – わかりやすい 常時 SSL 化とは?
- Firefoxテレメトリーデータによると、2019年9月時点で日本のSSL普及率は約76%。2023年7月の調査では、国内主要企業の約10割が常時SSL化に対応している。 – 楽して常時SSL化対応する方法、Webサイトの常時SSL化対応調査
- HTTPS通信の傍受には中間者攻撃(MITM)が必要だが、これには利用者に偽の証明書をインストールさせる必要がある。しかし現代のブラウザ(Chrome、Firefox、Safari等)は証明書エラー時に明確な警告を表示し、一般利用者が誤って進むことを防いでいる – Man-in-the-Middle Attacks without Rogue AP: When WPAs Meet ICMP Redirects
- ハニーポット実験は技術的可能性を示すが、経済的合理性は検証されていない。研究者は研究予算で実施するが、実際の攻撃者にとっての時間コスト、機材費、検挙リスクは考慮されていない。犯罪経済学の観点では、公衆Wi-Fi攻撃は期待利益が低く、コストとリスクが高いため、合理的な攻撃者は選択しない可能性が高い – Situational Awareness and Public Wi-Fi Users’ Self-Protective Behaviors
- 総務省の調査では、公衆Wi-Fi非利用者の40%が「なんとなく不安」を理由に挙げているが、同じ調査で電車内でのスマートフォン使用に対する不安は測定されていない。ショルダーハッキングは技術不要・コストゼロで実行可能であるにもかかわらず、公衆Wi-Fiほど警告されていない – 総務省 公衆無線LAN利用に関する調査