無線LAN(Wi-Fi)セキュリティ(その3)とアプリの問題

※記事内にアフィリエイト広告を含みます。

しばらく間が空いてしまいました。Wi-Fiセキュリティに関して前回のおさらいをしますと、公衆無線LANを利用する際の注意事項として、

  1. 公衆無線LANに接続する場合には、接続ポイントを見極める(出来るだけ暗号化されているWi-Fiサービスを利用する。得体の知れない野良Wi-Fiには接続しない)。
  2. 接続する場合には、必ずTLS(SSL)やVPNなどの暗号化通信を利用する。
  3. ネットバンキングやカードを使ったネット通販の利用、IDとパスワードを入力してログインが必要なサービスの利用を控える。

ということを述べました。ですが、よくよく考えてみると、そもそも暗号化通信を自分でしようとした場合に、実際にどうやれば良いのかがよくわかりません。よくブラウザのアドレスのところに鍵のマークが付いていたり、http:ではなくてhttps:で始まる場合にはSSL通信だというのは聞いたことがあると思います。

ただ、我々がインターネット通信する場合には、必ずしもブラウザを使うわけではありません。メールを送る場合にはメールアプリを使うでしょうし、LINEなどのSNSを利用する場合には、専用のアプリを使うことになるでしょう。そうなると、確認しようにもそもそもアドレス欄がありません(LINEに関しては、他にもアカウント乗っ取りによる詐欺被害などもありますが、それはまたの機会に)。

そう考えると、アプリをインストールする段階で、その都度それがセキュアなものかどうかを確認する必要がありそうです。ただ、アプリの場合は、それ自体がスパイウェアまがいのものもあります。さらに日々更新されていますから、アップデートされる時にも、余計な権限を必要としていないかをチェックする必要があるでしょうね。その上で、そのアプリが使用して安全なものかを判断する必要がありそうです。

しかし、このアプリの判断というのが、素人ではなかなか出来ません。Google Playのアプリストアのレビューに関しても、それなりのスキルを持った人がしてくれるなら良いですが、どうも子供が感情的に書き込んでいるのではないかと思うものも散見されて、本当に真っ当な評価なのか疑わしく感じることさえあります。

そもそも、そのアプリを調べるためのセキュリティアプリ自体に、ウィルスが潜んでいたなんてこともありました。それではと、ネットで色々評価の高かったものを調べてみました。すると、TrustGoのAntivirus & Mobile Securityというのが、ウィルスの検出率も高くて推してるサイトも多いんですが、このTrustGoという会社、元はアメリカの会社なんですが、中国のBaidu(百度)に買収されているんですよね。

AV-TESTで毎回優秀な成績を収めるTrustGoはBaiduに買収されていた – ちむどろいど

去年ニュースになったので、ご存知の方も多いと思いますが、このBaiduの日本語入力ソフトが悪さをしていて、利用者が知らない間に情報を送信していたという事件がありました。

中国製の日本語入力ソフト 入力情報を無断送信  NHK「かぶん」ブログ

その会社のソフトだからというわけでもないですが(いや、だからこそですが)、個人情報が駄々漏れになるんじゃないかという不安を抱かせます。先にリンクしたブログに「/sdcard領域にbaiduフォルダが出来る」とありますが、試しにインストールしてみたら確かにフォルダが作られていました。ただ、どのタイミングで作られていたのかがわからないんですよね。いずれにしろ、怪しくてしょうがないのですぐにアンインストールしましたが、どんなにウィルスの検出率が高くて多くの人が推薦してたとしても、おじさんとしては常駐させたいとは思いません。もちろん、選ぶのは個人の自由ですし、それならお前はどれが信用出来るというのかと聞かれたら、無料版はやたら広告が多くて、実際にどれが良いのやら私にもわかりません。ただ、こんなに日本語のおかしいアプリは正直使いたくないという、いわば信条的なものですね。

さて、だいぶ話がアプリ寄りになってしまいました。ついでなので、格安simユーザーで使っていない人は殆どいないのではないかと思われるGmailアプリですが、iPhone用のアプリには通信が傍受される危険性があると言われています。

iOS向けGmailアプリで通信傍受の恐れ、セキュリティ対策の不備か

最近simフリーのiPhoneも売りだされていますから、格安simユーザーも気をつけないといけませんね。

さらには、今月の頭にこんな注意も飛び込んで来ました。

プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を

これはなんなのかというと、簡単に言えばSSLの偽装ということになるのだと思いますが、上に掲げたリンクの挿絵を見てもらうとわかりやすいと思います。こうなってくるとSSLなら安全とは言い難く、利用者としては脆弱性が発見されたアプリはアンインストールするか、アップデートを速やかに行うかしかないのでしょう。もっとも、アップデートされるかどうかは作者任せなので、自衛するためには、どれが危険なのかは把握しておく必要はありそうです。

Android apps that fail to validate SSL

英語なのでわかりづらいですが、対処法は下の方が書かれたNOTEに載っています。

複数の Android アプリに SSL 証明書を適切に検証しない脆弱性

なかなかセキュリティは難しいですが、難しいから放っておくのではなく、自分が分かること、あるいは出来ることからやっていくしかないのだろうと思います。

コメント