今週、長年の同僚二人から、公共Wi-Fiホットスポットネットワークへの接続について、無関係ながらも複雑に絡み合った質問が寄せられました。ヒューストン・クロニクル紙のドワイト・シルバーマン氏は、コムキャストがダウンロード可能なiOSプロファイルを提供しており、これを使うと、ケーブル会社の自社ホットスポット(住宅用接続に便乗するものも含む)や提携ケーブル会社のネットワークにデバイスが自動的に接続できると指摘しました。
ショーン・キャプテン氏はFast Companyに寄稿し、ニューヨークで計画されているWi-Fiキオスクの導入計画を調査していました。このキオスクは、新しいわけではないものの、まだ広く普及していない安全な接続方式を採用していました。私自身、この規格については数年前に耳にしましたが、それ以来ほとんど耳にしていません。この新しいネットワークは、十分な規模があり、適切な場所に設置され、十分な数の人々に利用され、より多くの導入を促す可能性があると考えていました。
コムキャストのセキュリティの脆弱性
Comcastは数年前から、加入者に無料で利用できる全国規模のWi-Fiホットスポットの構築に着手しました。これは、自宅利用以外にもサービスを価値あるものにするための取り組みであり、Cablevisionの先駆的な取り組みに続くものでした。時を経て、複数のケーブル事業者がそれぞれ異なる規模のWi-Fiネットワークを構築し、そのほとんどは、1つのネットワークの顧客であれば、ネットワーク間でのローミングを可能にしています。
(2014年、Comcast社は住宅顧客向けにもオプトインを決定し、自宅の接続もホットスポット化しました。これは、加入者が利用できる帯域幅を一切使用せず、自宅のLANトラフィックへのピアリングも許可しないようプロビジョニングされたとされています。オプトアウトすることも可能です。)
ケーブルテレビ会社のネットワークを利用するのは簡単です。名前付きホットスポット(Comcastなどxfinitywifi)に初めて接続する際は、加入者の認証情報の入力を求められます。一度ログインすれば、次回からはログイン情報なしで自動的に接続できます。このログインは安全に行われますが、iOSデバイスやその他のデバイスとホットスポットの間に暗号化された接続が確立されるわけではありません。これは、あなたが正当な加入者であることを確認するだけです。
Comcast では、自社およびパートナーのネットワークへの自動 Wi-Fi ホットスポット接続を可能にするプロファイルを iOS および OS X にダウンロードできます。
ドワイトから、Comcastがダウンロード可能なWi-Fiプロファイルを提供していると聞きました。これは通常、企業レベルでのみ利用されるもので、パラメータが一致するとiOSデバイスやMacが自動的に接続(Appleの用語では「Autojoin」)できるようになります。問題は、Comcastが3つの異なるネットワーク設定を1つのプロファイルにまとめている点です。
xfinitywifi: Comcastが運営する暗号化されていないネットワークCableWiFi: パートナーシップネットワークも暗号化されていないXFINITY: 十分に保護されたネットワーク
意図的に共有されている公共Wi-Fiネットワーク(ホットスポットなど)は、定義上、信頼できません。これは、それらを利用すべきではないという意味ではありません。むしろ、それらが謳い文句通りのものであるか、あるいはトラフィックが保護されているかを信頼できないという意味です。前者に関しては、オペレーティングシステムには、以前接続した暗号化されていないネットワークが、将来同じ名前(厳密には、多くのルーターインターフェースでネットワーク名とも呼ばれるサービスセット識別子(SSID)が同じであるかどうか)で表示されるネットワークと同一であるかどうかを判別する方法がありません。そのため、そのようなメカニズムは存在しません。
プロファイルやネットワークは誰でも偽装できます(これはしばしば「悪魔の双子」ネットワークと呼ばれます) xfinitywifi。XFINITYその結果、デバイスは悪意のあるホットスポットに接続され、様々なネットワークトリックや、それらを通過するデータの直接傍受によってデータの一部が盗まれる可能性があります。例えば、DNS(グローバルドメイン名検索システム)をポイズニングして、ブラウザ、メールクライアント、またはアプリを不正なサイトに誘導することができます。そのサイトがWeb暗号化や同様の暗号化を使用している場合、OSやソフトウェアから警告が表示されますが、中には警告を無視してクリックしてしまう人もいます。
ほとんどの人、特に iOS ユーザーは、ネットワークから独立した安全な接続を介してのみメールの送受信を行うため、それらの警告に注意を払っている限り、それらは一般的に安全です。しかし、安全でない Web ブラウジングやその他の安全でないサービスはすべて無防備になり、悪魔の双子による誤った誘導や、同じ空間にいる他の誰かが正当なオープン ネットワークをスニッフィングする危険にさらされます。
誤解のないように言っておくと、これはプロファイルの有無に関わらず Comcast だけが関与している問題ではありません。AT&T のキャリア プロファイルも自動attwifi接続を引き起こし、一度でも接続したオープン ネットワークがあれば、将来的にはすべてのデバイスが同じ名前のネットワークに再度接続するように誘導されます。(OS X では、ネットワーク システム環境設定でこれらの接続を削除できます。Wi-Fi アダプタを選択して「詳細」をクリックし、- (マイナス) ボタンを選択してクリックすると、Wi-Fi リストからエントリが削除されます。iOS では、「設定」>「Wi-Fi」>「i」の順にタップし、アクティブなネットワークの横にある「このネットワークを削除」をタップできますが、これはそのネットワークに接続している間しか利用できません。)
仮想プライベートネットワーク(VPN)接続は、iOS、OS X、その他のプラットフォームを問わず、デバイスとインターネット上の別のサーバーとの間に暗号化されたトンネルを作成し、悪意のある双子やローカルスニファーを阻止します。(私は昨年、VPNサービスのCloakとTunnelBearを何度かテストしましたが、どちらもマルチプラットフォーム対応の無料トライアルまたは無料レベルとサブスクリプションプランを統合しており、試してみる価値があります。)
あなたが誰なのかどうやってわかるんですか?
Comcast のプロファイルの 1 つがセキュリティ保護されていることに気付くでしょう。これは実に素晴らしい機能で、証明書ベースの認証を使用しています。プロファイルをダウンロードするにはログインする必要があるため、リモートサーバーに本人確認を行うセキュリティ文書が提供されるだけでなく、iOS または OS X が認証サーバーが想定通りのサーバーであることを確認する役割も担っています。残念ながら、接続をこれらのセキュリティ方式のみに制限するオプションはありません。これらのセキュリティ方式は、ログインとネットワークレベルの暗号化を組み合わせることで、同一ネットワーク上のユーザーによる盗聴さえ防ぎます。
保護された Xfinity ネットワークは、リンクの公開部分に高度で優れた Wi-Fi セキュリティを使用します。
これはすべてのホットスポットネットワークが構築されるべき方法であり、私は長年にわたり、普及を目指す多くの試みを取材してきたベテランです。しかし、これまでの取り組みはどれも面倒なものでした。インストールや設定など、ユーザーを躊躇させるハードルがいくつもありました。Comcastのシステムは、iOS、Mac、Androidユーザーがプロファイルをダウンロードした場合にのみ機能します。広く提案された別の方法は、WPA2 Enterpriseをホットスポットに導入し、ユーザーが名前とパスワードでログインできるようにするというものでした。しかし、この方法が最初に議論された当時は、高性能なスマートフォンが市場に登場したばかりで、すべてのコンシューマーレベルのOSがこのエンタープライズ向け設定オプションをサポートできるわけではありませんでした。
ショーン・キャプテン氏が私に質問していたのは、ホットスポットポータルのログインとWPA2 Enterpriseを統合する方式についてでした(彼の記事はこちらで読めます)。数年前に初めて提案されたこの方式は、実現に必要な関係者全員の支持を得ていたにもかかわらず、大きな成果は得られませんでした。この方式はPasspoint、あるいはHotspot 2.0とも呼ばれています。発表から標準化まで4年近くかかり、ようやく広く利用されるようになりました。
Passpointを使用すると、ホットスポット事業者はポータルを構築し、従来型のオープンログインやウェブページログイン、あるいは新しいOSではデバイスにセキュアな接続を処理できる旨の応答を送信できます。OSはトランザクション全体をシームレスに処理し、ネットワークはバックグラウンドで一意の暗号鍵を割り当てます。(プロファイルを取得するためにユーザー名とパスワードを一度だけ入力する必要がある場合がありますが、Comcastのように、これは常に事前に設定できるはずです。)
ニューヨーク市のアクセス ポイント プロジェクトは、ビッグ アップルに広範囲の Wi-Fi をもたらすための、私が数えたところ 10 年で 5 回目の試みであり、モバイル ユーザーとラップトップ ユーザーの大部分がこのより安全な接続を利用できるようになるオペレーティング システムの更新と同時に行われます。
長年ホットスポット・アグリゲーターとして事業を展開してきたBoingo Wirelessは、自社でホットスポットを運営し、世界中の数十万のホットスポットへのアクセスを再販しています。同社は、サービス提供地域20空港でテストプロジェクトを立ち上げました。最小システム要件は、Android 6.0以降、iOS 7以降、Mac OS X 10.9(Mavericks)以降、またはWindows 10となっています。
この新技術の唯一の欠点は、設定と管理の手間です。コーヒーショップや独立系書店チェーンのような小規模事業者にとって、25ドルのWi-Fiアクセスポイントから、初期段階でPasspointに対応できる機能を備えたルーターに移行することは難しいでしょう。しかし、必要な機能はすべてソフトウェアベースなので、複雑さを伴わずにPasspointのメリットを享受できる、低価格のルーターが徐々に登場してくるでしょう。
今のところ、私は10年以上前からそうしてきたように、あらゆる場所でVPNサービスの利用を検討することをお勧めしています。しかし、ホットスポットでの偶発的な傍受を阻止するデフォルトのセキュリティへとようやく潮流が変わってきたのは喜ばしいことです。
