「フリーWi-Fiって、本当に使って大丈夫なんだろうか」と不安に感じたことはありませんか。
カフェやホテルのフリーWi-Fi、自宅や会社のWi-Fi。 私たちは毎日当たり前のようにWi-Fiを使っていますが、接続しただけで通信内容や個人情報を盗み見られる被害が、国内外で実際に起きています。
しかも厄介なことに、Wi-Fi経由の情報漏洩は本人が気づかないまま進行するケースがほとんどです。
偽のアクセスポイントに接続してしまっても、見た目は普通にインターネットが使えるため、漏えいに気づいたときには被害が拡大していたということも珍しくありません。
そこでこの記事では、Wi-Fiによる情報漏えいの流れや対策について解説します。
Wi-Fiから情報漏洩は起こる?漏れる仕組みと狙われる理由
結論から言うと、Wi-Fi経由の情報漏洩は実際に起こります。 Wi-Fiは電波で通信する仕組みのため、有線LANと違って通信が壁の外まで届き、条件がそろえば第三者に傍受されてしまうからです。
まずは「なぜ漏れるのか」「何が漏れるのか」を整理します。
この章で解説する内容
・Wi-Fi通信は条件によって盗聴されるリスクがある
・Wi-Fi経由で漏れる情報の種類
・攻撃者がWi-Fiを狙う理由
Wi-Fi通信は条件によって盗聴されるリスクがある
Wi-Fi(無線LAN)は、ルーターやアクセスポイントと端末の間を電波でつなぐ通信方式です。電波は目に見えず、室内だけでなく建物の外にも届きます。
そのため、通信が暗号化されていない、または暗号化が古い方式の場合、電波の届く範囲にいる第三者が通信内容を盗聴できてしまいます。
旧式の暗号化方式である「WEP」は、すでに解読方法が知られており、安全とはいえません。
総務省も「無線LAN(Wi-Fi)のセキュリティに関するガイドライン」を公開し、盗聴や不正アクセスのリスクについて公式に注意喚起しています。
Wi-Fi経由で漏れる情報の種類
「漏れるといっても、大した情報は流れていないのでは」と思うかもしれません。 しかし実際には、次のような重要情報がWi-Fiの通信に乗っています。
| 漏えいする情報 | 悪用される例 |
|---|---|
| ID・パスワード | アカウントの乗っ取り、不正ログイン |
| クレジットカード情報 | 不正決済、不正送金 |
| メール・SNSのやり取り | なりすまし、詐欺への悪用 |
| 閲覧しているサイト | 行動の監視、プライバシーの侵害 |
| 仕事のファイル・機密情報 | 企業の情報漏えい、取引先への被害拡大 |
一度漏れた情報は取り戻せません。 そして漏れた情報は、不正送金・なりすまし・フィッシング詐欺といった二次被害の入口になります。
攻撃者がWi-Fiを狙う理由
Wi-Fiは攻撃者にとって、比較的少ない手間で利用者を狙える手段の一つです。
偽のアクセスポイントを設置して待っているだけで、利用者のほうから次々に接続してきてくれるためです。
ウイルスを添付したメールを送りつけるような手間がかからず、市販の機器や公開ツールを用いて比較的低コストで実行できるケースがあります。
実際にどのような被害が起きているのか、次の章で具体的な事例を見ていきましょう。
Wi-Fiの情報漏洩で実際にあった事例5選
「Wi-Fiから情報が漏れる」イメージが付きやすいように、実際に起きた事例を5つ紹介します。
この章で解説する事例
・空港・機内に偽のフリーWi-Fiが設置された事件(オーストラリア)
・高級ホテルの宿泊客を狙った「ダークホテル」攻撃
・家庭用Wi-Fiルーターが乗っ取られサイバー攻撃に悪用
・脆弱性のあるルーターが攻撃の踏み台にされた
・悪意あるWi-Fiスポットで通信内容が盗み見られ続けた
事例①空港・機内に偽のフリーWi-Fiが設置された事件(オーストラリア)
2024年、オーストラリアで空港や旅客機の機内に正規そっくりの偽フリーWi-Fi(通称:悪魔の双子/Evil Twin)を設置した男が、オーストラリア連邦警察(AFP)に逮捕・起訴されました。
捜査のきっかけは、2024年4月に航空会社の従業員が国内線の機内で不審なWi-Fiネットワークを発見し、通報したことです。
男はポータブル型の無線アクセス装置を使って偽のWi-Fiを設置し、接続した利用者にメールやSNSのログイン情報を入力させる偽ページを表示して、認証情報を盗み取っていました。
被害のデータはパース・メルボルン・アデレードの空港や国内線の機内で確認されており、男には2025年11月、懲役7年4カ月の判決が言い渡されています。
「空港の公式Wi-Fiだと思って接続したら偽物だった」という、誰にでも起こりうる手口です。
事例②高級ホテルの宿泊客を狙った「ダークホテル」攻撃
「Darkhotel(ダークホテル)」は、ホテルのWi-Fiを悪用した標的型攻撃です。
攻撃者はアジア太平洋地域の高級ホテルのネットワークに侵入し、宿泊した企業の経営幹部や研究開発責任者を狙いました。
宿泊客がホテルのWi-Fiに接続すると、ソフトウェアの更新を装った画面が表示され、従うとバックドア(遠隔操作用の不正プログラム)がインストールされ、機密情報が盗まれる仕組みです。
出張の多いビジネスパーソンにとって、他人事ではない事例です。
事例③家庭用Wi-Fiルーターが乗っ取られサイバー攻撃に悪用
2023年4月、警視庁は家庭用ルーターの不正利用について異例の注意喚起を行いました。
サイバー攻撃事案の捜査の過程で、一般家庭のルーターが攻撃者に外部から不正操作され、サイバー攻撃に悪用されていたことが判明したためです。
この手口では、攻撃者がルーターのVPN機能などを勝手に有効化するため、一度設定を変えられると従来の対策だけでは解消されず、永続的に不正利用される状態になってしまいます。
警視庁は、初期パスワードの変更やファームウェアの更新といった従来の対策に加えて、「見覚えのない設定変更がないか定期的に確認すること」を新たな対策として呼びかけています。
事例④脆弱性のあるルーターが攻撃の踏み台にされた
外部への攻撃の踏み台として、ルーターが悪用される事例もあります。
脆弱性(セキュリティ上の欠陥)のあるルーターでは、アクセスを許可されていない第三者がルーターの内部に侵入できてしまいます。
つまり、自分が被害者になるだけでなく、知らないうちに「加害者側のインフラ」にされてしまうということです。 古いルーターを放置している家庭・会社ほど、このリスクは高くなります。
事例⑤悪意あるWi-Fiスポットで通信内容が盗み見られ続けた
パスワード不要で無料接続できるWi-Fiスポットを近所で見つけた利用者が、日常的にそのWi-Fiを使ってネットを利用していた事例です。
ところがそのWi-Fiスポットは、他人の情報を盗むために悪意で設置されたもので、通信内容はずっと盗み見られていました。
「タダで使えてラッキー」と思ったWi-Fiが、実は罠だったというケースです。
パスワード不要のWi-Fiは、誰でも接続できる代わりに、悪意ある第三者によって悪用される可能性があります。
今のWi-Fi、セキュリティは大丈夫ですか?
通常、Wi-Fiルーターには、セキュリティ機能が備わっていないケースが多いです。
セキュリティAPなら製品仕様に基づき、マルウェアの拡散兆候を検知し、条件に応じて通信を制御できます。
【シーン別】Wi-Fiで情報漏洩が起こる原因と危険性
Wi-Fiの危険性は、利用するシーンによって種類が異なります。
ここでは「フリーWi-Fi」「自宅」「ポケットWi-Fi・テザリング」「会社・店舗」の4つのシーン別に、漏えいの原因を整理します。
この章で解説する内容
・フリーWi-Fi|暗号化なし・なりすましアクセスポイントのリスク
・自宅Wi-Fi|初期設定のままの古いルーター
・ポケットWi-Fi・テザリング|パスワードの使い回しと無断共有
・会社・店舗のWi-Fi|来客用と業務用の分離不足
フリーWi-Fi|暗号化なし・なりすましアクセスポイントのリスク
フリーWi-Fiの中でも、特に危険なのは次の3種類です。
| 危険なフリーWi-Fi | 何が危ないか |
|---|---|
| 暗号化されていないWi-Fi | 通信内容がそのまま盗聴できる状態になっている |
| 提供者不明の「野良Wi-Fi」 | 誰が何の目的で設置したかわからない |
| 正規そっくりの「なりすましWi-Fi」 | 接続すると偽ページで認証情報を盗まれる |
事例①のオーストラリアの事件はまさに「なりすましWi-Fi」の手口でした。 SSID(Wi-Fiの名前)は誰でも自由に付けられるため、名前だけで本物かどうかは判断できません。
カフェやホテルでのID・パスワード入力、ネットバンキングの利用は、フリーWi-Fi上では避けるのが原則です。
自宅Wi-Fi|「買ったときのまま」の古いルーターが狙われる
「自宅のWi-Fiなら安全」と思われがちですが、設定次第では自宅も危険です。
自宅のWi-Fiでやってはいけないことを整理します。
自宅Wi-Fiで避けたい行為
・管理画面のパスワードを初期設定のまま使い続ける
・WEPなど古い暗号化方式のまま使う
・ファームウェア(ルーターの内部ソフト)を更新しない
・メーカーのサポートが終了した古いルーターを使い続ける
事例③・④で見たとおり、初期設定のままの古いルーターは、乗っ取り・踏み台化の標的になり得ます。
また、パスワードが推測されやすいと第三者に「ただ乗り」され、通信を盗み見られたり、犯罪に悪用されて自分が疑われたりするリスクもあります。
ポケットWi-Fi・テザリング|パスワードの使い回しと共有に注意
持ち運びできるポケットWi-Fiやスマホのテザリングも、油断はできません。
ポケットWi-Fiは、初期設定のまま使用すると、機種や設定が推測されやすくなる場合があります。本体に記載されたパスワードを不特定多数に教えてしまうケースも、情報漏えいの原因になります。
また、会社のPCを私物スマホのテザリングでネット接続するのは要注意です。
会社のセキュリティ管理が及びにくくなり、リスク把握が難しくなる場合があります。業務でのテザリング利用は、会社のルールを確認してから行いましょう。
会社・店舗のWi-Fi|来客用と業務用の分離不足が漏洩を招く
企業のWi-Fiで多いのが、来訪者に業務用Wi-Fiのパスワードを安易に教えてしまうケースです。
業務用Wi-Fiに外部の端末が接続すると、社内ネットワークへの侵入口になりかねません。 来客用には必ず別のゲストWi-Fiを用意し、社内ネットワークと分離することが基本です。
さらに見落とされがちなのが、「つないだ後」の監視です。 一般的なWi-Fi機器には、接続端末の異常通信を監視する機能が搭載されていないことが多いです。
万が一マルウェアに感染した端末が1台接続されると、ネットワーク設計や対策状況によっては、感染が社内ネットワークへ拡大する恐れがあります。
この課題への対策は、後ほど「8つの対策」の中で詳しく解説します。
Wi-Fiが不正利用されていないか確認する方法
「うちのWi-Fi、もう誰かに使われているかも」と不安になった方のために、不正利用を確認する方法を3つ紹介します。
この章で解説する内容
・ルーターの管理画面で接続中の端末を確認する
・身に覚えのない設定変更・ログイン履歴を確認する
・乗っ取り・漏洩が疑われるサインを知っておく
ルーターの管理画面で接続中の端末を確認する
まずは、ルーターの管理画面で「今、誰が接続しているか」を確認しましょう。
確認手順
1.ルーター本体に記載されたIPアドレス(管理画面のURL)にブラウザでアクセスする
2.管理者IDとパスワードでログインする
3.「接続機器一覧」「DHCPクライアント一覧」などの項目を開く
4.自分や家族・社員の端末以外に、心当たりのない機器がないか確認する
最近のルーターは、スマホの専用アプリで接続機器を一覧表示できるものも増えています。 心当たりのない端末があった場合は、Wi-Fiのパスワードをすぐに変更してください。
身に覚えのない設定変更・ログイン履歴を確認する
警視庁が注意喚起した乗っ取り手口では、攻撃者がルーターの設定を勝手に書き換えます。 そのため、設定が変わっていないかの定期確認が重要です。
チェック項目
・「VPN機能」「DDNS機能」が勝手に有効化されていないか
・見覚えのないVPNアカウントが追加されていないか
・インターネット側からルーターの管理画面に接続できる設定になっていないか
あわせて、各種Webサービスのログイン履歴・クレジットカードの利用明細・SNSの投稿履歴に、身に覚えのないものがないかも確認しましょう。
乗っ取り・漏洩が疑われるときのサイン
次のようなサインがあれば、不正利用を疑ってください。
注意すべきサイン
・通信速度が以前より明らかに遅くなった
・身に覚えのない通信量・請求がある
・ブラウザが意図しないサイトに飛ばされる
・セキュリティソフトの警告が頻繁に表示される
・ルーターの設定が変わっている
サインに気づいたら、ルーターを初期化し、ファームウェアを最新に更新したうえで、管理パスワードとWi-Fiパスワードを複雑なものに変更するのが基本の対処です。 あわせて、重要なサービスのパスワードもすべて変更しておきましょう。
Wi-Fiの情報漏洩を防ぐ8つの対策
ここからは、Wi-Fiの情報漏えいを防ぐ具体的な対策を8つ紹介します。 ①〜③は自宅・会社のWi-Fi設定、④〜⑥は外出先での使い方、⑦〜⑧は仕事でWi-Fiを使う方向けの対策です。
この章で解説する内容
・暗号化方式はWPA2・WPA3を選ぶ
・ルーターの管理パスワードを推測されにくいものに変更する
・ファームウェアを最新に保ち、古いルーターは買い替える
・フリーWi-Fiでは個人情報・決済情報を入力しない
・「https」のサイトだけを利用する
・Wi-Fiの自動接続をオフにする
・外出先での業務利用はVPNを使う
・会社のWi-Fiは「セキュリティアクセスポイント」に置き換える
①暗号化方式はWPA2・WPA3を選ぶ
まず確認すべきは、Wi-Fiの暗号化方式です。
総務省のガイドラインでは、セキュリティ方式として「WPA2またはWPA3」を選ぶことが推奨されています。 旧式のWEPはすでに解読方法が知られているため、使用は避けてください。
設定は、ルーターの管理画面の「無線設定」や「セキュリティ設定」の項目から確認・変更できます。 購入時にWPA2/WPA3になっている機種が多いですが、古いゲーム機などのためにWEPの電波を併用している場合もあるため、一度確認しておくのが安心です。
②ルーターの管理パスワードを推測されにくいものに変更する
ルーターには「Wi-Fi接続用のパスワード」と「管理画面用のパスワード」の2種類があります。 見落とされがちなのが、管理画面用のパスワードです。
初期パスワードのまま使っていると、機種名から初期値を調べられて侵入される恐れがあります。 英大文字・小文字・数字・記号を組み合わせた、推測されにくいパスワードに変更しましょう。
また、SSID(Wi-Fiの名前)に会社名や個人名を入れるのも避けるのがポイントです。 「誰のWi-Fiか」がわかると、標的として狙われやすくなります。
③ファームウェアを最新に保ち、古いルーターは買い替える
ルーターのファームウェアには、脆弱性の修正が随時配信されています。 更新を放置すると、事例④のように脆弱性を突かれて侵入・踏み台化される原因になります。
自動更新機能がある機種は有効にして、ない機種は定期的に手動で更新してください。
注意点として、メーカーのサポートが終了したルーターは、脆弱性が見つかっても修正されません。 警視庁・総務省ともにサポート終了機器の買い替えを推奨しており、長年使っている機種は買い替えを検討しましょう。
④フリーWi-Fiでは個人情報・決済情報を入力しない
外出先のフリーWi-Fiでは、「重要な情報を通信に乗せない」のが大原則です。
具体的には、次の操作をフリーWi-Fi上で行わないようにしてください。
・ネットバンキング・証券口座へのログイン
・クレジットカード番号の入力
・業務システム・社内ツールへのログイン
また、接続前に「そのWi-Fiの提供者が誰か」を確認する習慣をつけましょう。 店舗の掲示やステッカーで案内されている正規のSSIDかどうかを確かめてから接続するだけでも、なりすましWi-Fiのリスクを減らせます。
⑤「https」のサイトだけを利用する
通常、URLが「https」で始まるサイトは、TLSによって通信内容が暗号化されます。 万が一通信を傍受されても、内容を読み取られにくくなります。
ブラウザのアドレスバーに鍵マークが表示されているか、URLが「https」で始まっているかを確認してから、情報を入力するようにしてください。
ただし、httpsであっても偽サイト(フィッシングサイト)の可能性はあります。 「httpsだから絶対安全」と過信せず、サイトのドメインが正しいかもあわせて確認するのがコツです。
⑥Wi-Fiの自動接続をオフにする
スマホのWi-Fi自動接続機能は、便利な反面、危険もあります。
過去に接続したことのあるSSIDと同じ名前の偽アクセスポイントがあると、気づかないうちに自動で接続されてしまうからです。 総務省の公衆Wi-Fi利用者向けガイドラインでも、自動接続設定の見直しが推奨されています。
iPhoneなら「設定」→「Wi-Fi」から各ネットワークの「自動接続」をオフに、Androidなら「設定」→「ネットワークとインターネット」のWi-Fi設定から同様に変更できます。外出時はWi-Fi自体をオフにしておくのも有効です。
⑦外出先での業務利用はVPNを使う
出張やテレワークでどうしても外出先のWi-Fiを使う場合は、VPN(仮想専用線)を利用しましょう。
VPNは端末からの通信全体を暗号化するため、万が一Wi-Fiの通信を傍受されても、内容を読み取られるリスクを大幅に下げられます。
事例②のダークホテルのような、ホテルWi-Fiを狙う攻撃への備えとしても有効です。
テレワークや外出の多い企業は、個人任せにせず、会社としてVPN環境を整備することをおすすめします。
⑧会社のWi-Fiは「セキュリティアクセスポイント」に置き換える
会社のWi-Fiを守るなら、Wi-Fi環境そのものを見直してみるのも1つの手です。
一般的なWi-Fiは「インターネットにつなぐ」ための機器ですが、セキュリティアクセスポイントは「安全につなぐ」ための機器です。
接続してきた端末の通信を監視し、あやしい通信や異常な動きを検知すると自動で遮断します。
| 製品 | 特徴 | こんな企業・場合におすすめ |
|---|---|---|
サクサ LG1500AP | Wi-Fi 6対応でマルウェアの拡散検知・遮断からESETによる端末保護、故障時の代替機無償発送まで、ネットワークセキュリティに必要な機能をひとまとめにした製品です。 製品の詳細を見る→ | ・IT担当者がおらず、故障・トラブル時の対応が心配 ・Wi-Fi刷新とセキュリティ強化を同時に解決したい ・ESETを未導入で、端末とネットワークを同時に守りたい |
Anti Spreader Pro ASP-APXW6 | 独自の振る舞い検知エンジン「MDSエンジン」により、パターン定義不要で新種マルウェアをリアルタイムに検知・遮断し、社内ネットワークへの拡散を防ぎます。 製品の詳細を見る→ | ・持ち込みPCや私物スマホのWi-Fi接続を許可している ・過去にウイルス感染の経験があり、社内拡散が怖い ・セキュリティ機能の詳細を重視して製品選定したい |
テレワーク端末や私物端末(BYOD)が増えている会社ほど、Wi-Fi環境の見直すと安心して業務を行えます。
また、社内のネットセキュリティ対策が後回しになっているなら、ウイルス対策ソフトとUTMの導入を検討してみてください。
ここ数年、大企業だけでなく、中小規模の企業もサイバー攻撃に遭うケースが増えています。
PCなどの端末や社内のネットワークを対策に不安があれば、ぜひお気軽にお問い合わせください。
UTMが初期費用0円で導入できる
中小企業のセキュリティ対策に、ウイルス対策とUTMを。
初期費用0円・月額料金で、コストを抑えて導入できます。
Wi-Fiの情報漏洩に関するよくある質問
最後に、Wi-Fiの情報漏えいについてよくある質問を紹介します。
Q. Wi-Fiが乗っ取られたときの症状は?
通信速度の急激な低下、身に覚えのない通信量や請求、ルーター設定の変更、不審なサイトへのリダイレクトなどが典型的な症状です。 気づいたらルーターを初期化してファームウェアを更新し、管理パスワードとWi-Fiパスワードを複雑なものに変更してください。
Q. フリーWi-FiはiPhoneでも危険ですか?
iPhoneでも危険性は変わりません。 通信の盗聴や偽アクセスポイントのリスクは、端末の種類を問わず発生します。 自動接続をオフにする、個人情報や決済情報を入力しない、業務利用ならVPNを使うといった対策を徹底してください。
Q. 家のWi-Fiは危険ですか?
適切に設定すれば、安全に使えます。 危険なのは、初期パスワードのまま・WEP方式のまま・サポート切れルーターのまま放置しているケースです。 WPA2/WPA3の利用、パスワード変更、ファームウェア更新、設定の定期確認で、リスクは大幅に下げられます。
Q. フリーWi-Fiでクレジットカード情報を入力してしまったら?
すぐにカード会社へ連絡し、利用明細に不審な請求がないか確認してください。 同じパスワードを使い回しているサービスがあれば、すべて変更します。 不正利用が確認された場合は、カード会社の補償制度の申請と、警察への相談も検討しましょう。
まとめ
Wi-Fi経由の情報漏えいは、偽アクセスポイント・ルーターの乗っ取り・通信の盗聴など、実際に起きている脅威です。
もし、従業員が社用パソコンやスマートフォンを外出先のフリーWi-Fiにつないでいるようなら、早急に運用ルールを見直しましょう。
そして会社のWi-Fiを守るなら、接続端末の通信を監視・遮断できるセキュリティアクセスポイントの導入が有効です。
「うちのWi-Fi環境は大丈夫だろうか」と少しでも気になった方は、お気軽にお問い合わせください。
