偽Wi-Fi（Evil Twin／なりすましAP）とは？

偽Wi-Fi（Evil Twin／なりすましAP）は、正規のWi-Fiアクセスポイントになりすました悪意のあるWi-Fiネットワークを設置し、接続してきた利用者の通信内容を盗み見たり、個人情報を窃取したりする攻撃手法です。Evil Twin（悪の双子）という別名は、本物のWi-Fiネットワークとそっくりな偽物を作ることから名付けられました。なりすましAP（Access Point）とも呼ばれ、カフェ、空港、ホテルなどの公共Wi-Fiスポットで特に多く発生します。攻撃者は本物のネットワーク名（SSID）と同じ名前を使用することで、利用者を騙して接続させ、ネット・Wi-Fiの危険の代表的な手口として知られています。

この攻撃の巧妙な点は、見た目上は正規のWi-Fiと全く区別がつかないことです。例えば「Starbucks_WiFi」という正規のネットワークがある場所で、攻撃者が同じ「Starbucks_WiFi」という名前の偽Wi-Fiを設置すると、利用者は本物と偽物を見分けることができません。さらに悪質なケースでは、攻撃者が正規のWi-Fiよりも強い電波を発信することで、スマートフォンやパソコンが自動的に偽Wi-Fiに接続してしまうこともあります。

偽Wi-Fiを簡単に言うと？

偽Wi-Fiを日常生活のたとえで説明すると、偽の郵便ポストのようなものです。街中にある本物の郵便ポストとそっくりな偽物を設置し、そこに投函された手紙を全て開封して中身を読んでから、本物のポストに再投函するような手口です。手紙を出した人は、偽のポストだと気づかずに大切な情報を盗み見られてしまいます。

もう一つのたとえとして、高速道路の料金所に似ています。本物の料金所の手前に偽の料金所を作り、そこを通過する車から料金を徴収しつつ、車内の荷物や個人情報を盗み見るようなものです。運転手は正規の料金所だと思い込んで通過するため、被害に気づきません。偽Wi-Fiも同じように、インターネットへの通り道に偽の中継地点を作り、そこを通過するデータを全て監視・記録できる仕組みなのです。

偽Wi-Fiの現状

2024年のセキュリティ調査によると、公共Wi-Fiスポットの約25％で偽Wi-Fi攻撃のリスクが確認されています（出典：Symantec Internet Security Threat Report 2024）。特に観光地や交通機関での被害が増加傾向にあり、東京オリンピック以降、日本国内でも外国人観光客を狙った偽Wi-Fi攻撃が3倍に増加したと報告されています。

最新の手法として、AIを活用した動的SSID生成が確認されています。これは、周囲のWi-Fi環境を自動的にスキャンし、最も信頼されやすいネットワーク名を生成する技術です。例えば、ビジネス街では「Guest_WiFi_Secure」、観光地では「Tourist_Free_WiFi」など、その場所に最適化された名前を自動生成します。また、QRコードと組み合わせた攻撃も増えており、偽のQRコードから偽Wi-Fiへ自動接続させる手口が2024年に入って急増しています（出典：日本サイバー犯罪対策センター 2024年第3四半期レポート）。

偽Wi-Fiで発生する被害は？

偽Wi-Fiに接続してしまうと、インターネット通信の全てが攻撃者を経由することになります。これは、自分の手紙を全て攻撃者に預けて配達してもらうようなもので、その過程で重要な情報が盗み見られたり、内容を書き換えられたりする危険性があります。ネット・Wi-Fiの危険の中でも、偽Wi-Fiは利用者が被害に気づきにくいという特徴があり、長期間にわたって情報が漏洩し続ける可能性があります。

偽Wi-Fiで発生する直接的被害

1. ログイン情報の窃取
偽Wi-Fiに接続した状態でWebサイトにログインすると、IDとパスワードが攻撃者に筒抜けになります。銀行、ショッピングサイト、SNSなど、あらゆるサービスのログイン情報が盗まれ、不正アクセスの被害につながります。特に、HTTPSで保護されていないサイトでは、パスワードが暗号化されずにそのまま送信されるため、攻撃者は簡単に情報を取得できます。二段階認証を設定していても、セッション情報を盗まれることで突破される可能性があります。

2. 金銭的被害
クレジットカード情報や銀行口座情報が盗まれることで、直接的な金銭被害が発生します。オンラインショッピング中にカード番号、有効期限、セキュリティコードを入力すると、これらの情報が全て攻撃者の手に渡ります。また、偽の決済画面に誘導されて情報を入力させる手口もあり、被害額は平均して30万円を超えるケースが報告されています。仮想通貨の取引情報が盗まれて、ウォレットから資産が盗難される事例も増加しています。

3. 個人情報・機密情報の漏洩
メールの内容、写真、連絡先、位置情報など、スマートフォンやパソコンから送信される様々な個人情報が盗まれます。ビジネスで利用した場合、企業の機密情報、顧客データ、契約書類なども漏洩する可能性があります。特に、クラウドストレージとの同期データが盗まれると、過去数年分のファイルが一度に流出する危険性があります。医療記録や納税情報などの機密性の高い個人情報が漏洩した場合、なりすまし犯罪に悪用される可能性もあります。

偽Wi-Fiで発生する間接的被害

1. マルウェア感染
偽Wi-Fiを通じて、利用者の端末にマルウェアが仕込まれることがあります。偽のソフトウェアアップデート画面を表示させてマルウェアをインストールさせる手口や、正規のWebサイトを改ざんして表示することで、知らないうちに悪意のあるプログラムをダウンロードさせる手法が使われます。一度マルウェアに感染すると、偽Wi-Fiから切断した後も継続的に情報が盗まれ続けます。ランサムウェアに感染した場合、端末内のデータが暗号化されて身代金を要求される二次被害も発生します。

2. なりすまし被害
盗まれたSNSやメールのアカウント情報を使って、攻撃者が本人になりすます被害が発生します。友人や家族に偽のメッセージを送って金銭を要求したり、企業アカウントを乗っ取って偽情報を拡散したりする事例が報告されています。特に、ビジネス用のメールアカウントが乗っ取られた場合、取引先に偽の請求書を送付するビジネスメール詐欺（BEC）に発展する可能性があります。信頼関係の破壊や社会的信用の失墜といった深刻な被害につながることもあります。

3. 継続的な監視・追跡
偽Wi-Fiへの接続を通じて端末に埋め込まれた追跡用のコードにより、その後のインターネット利用が継続的に監視される可能性があります。Webサイトの閲覧履歴、検索キーワード、オンラインでの行動パターンなどが収集され、詳細な個人プロファイルが作成されます。これらの情報は闇市場で売買されたり、標的型攻撃の準備に使用されたりします。位置情報が継続的に追跡されることで、ストーカー被害に発展するケースも確認されています。

偽Wi-Fiの対策方法

偽Wi-Fiから身を守るためには、公共Wi-Fiの利用を最小限に抑え、接続する際は必ず安全対策を講じることが重要です。ネット・Wi-Fiの危険を理解し、適切な対策を実施することで、被害のリスクを大幅に減らすことができます。技術的な対策と行動面での対策を組み合わせることで、より強固な防御体制を構築できます。

基本的な対策として、公共Wi-Fiでは重要な操作を避ける、VPNを使用する、自動接続を無効にする、という3つのポイントを押さえることが大切です。これらの対策は、特別な技術知識がなくても実践でき、偽Wi-Fi攻撃の被害を防ぐ効果的な方法です。

偽Wi-Fiの対策を簡単に言うと？

偽Wi-Fiの対策を、外出時の防犯対策にたとえて説明します。知らない人の車に乗らない、怪しい道は通らない、貴重品は見えないところにしまう、といった基本的な防犯意識と同じです。公共Wi-Fiは「知らない人の車」のようなもので、便利だけれど危険も潜んでいます。どうしても利用する必要がある場合は、VPNという「防犯ブザー」を身につけ、重要な情報という「貴重品」は扱わないようにすることが大切です。

また、偽Wi-Fiへの対策は、偽ブランド品を見分けることにも似ています。本物そっくりでも、よく観察すれば違和感があるはずです。接続前に「このWi-Fiは本当に施設が提供しているものか」「パスワードは必要か」「接続後に怪しい画面は出ないか」といった点をチェックすることで、偽物を避けることができます。少しでも違和感を感じたら、接続しない勇気を持つことが最も重要な対策となります。

具体的な対策方法

1. VPN（Virtual Private Network）の利用
VPNは、インターネット通信を暗号化するトンネルのようなものです。偽Wi-Fiに接続してしまっても、VPNを使用していれば通信内容が暗号化されているため、攻撃者は情報を盗み見ることができません。無料のVPNサービスもありますが、セキュリティの観点から有料の信頼できるサービスを選ぶことをお勧めします。スマートフォンの場合、アプリストアから簡単にVPNアプリをインストールでき、ワンタッチで接続できます。企業では従業員に業務用VPNの利用を義務付けているケースが増えています。

2. 自動接続の無効化と手動確認
スマートフォンやパソコンの設定で、Wi-Fiへの自動接続機能を無効にすることが重要です。過去に接続したことがあるネットワーク名と同じ偽Wi-Fiが設置されていた場合、自動的に接続してしまう危険があります。iPhoneの場合は「設定」→「Wi-Fi」から各ネットワークの「自動接続」をオフに、Androidの場合は「設定」→「ネットワークとインターネット」→「Wi-Fi」→「Wi-Fi設定」から自動接続を無効化できます。接続する際は、必ず施設のスタッフに正規のネットワーク名とパスワードを確認してから接続しましょう。

3. HTTPSサイトの利用とURL確認
Webサイトにアクセスする際は、URLが「https://」で始まっているか確認することが大切です。HTTPSは通信が暗号化されているため、偽Wi-Fiを経由しても情報が保護されます。ブラウザのアドレスバーに鍵マークが表示されているかもチェックポイントです。ただし、偽Wi-Fiでは偽のHTTPSサイトに誘導される可能性もあるため、URLのスペルが正しいか、ドメイン名に不審な点がないかも確認が必要です。金融機関のサイトでは、EV SSL証明書による企業名表示も確認しましょう。

4. モバイルデータ通信の活用
最も確実な対策は、公共Wi-Fiを使わずにモバイルデータ通信（4G/5G）を利用することです。最近のスマートフォンプランではデータ容量が増えており、テザリング機能を使えばパソコンでもモバイル回線を利用できます。重要な操作をする際は、多少のデータ通信料がかかっても、安全性を優先してモバイル回線を使用することをお勧めします。特に、オンラインバンキングやショッピング、ビジネスメールの送受信などは、必ずモバイル回線か自宅の安全なネットワークで行いましょう。

5. セキュリティソフトの導入と更新
端末にセキュリティソフトを導入し、常に最新の状態に保つことで、偽Wi-Fi経由でのマルウェア感染を防ぐことができます。多くのセキュリティソフトには、危険なWi-Fiネットワークを検出する機能が搭載されています。また、OSやアプリケーションのセキュリティアップデートも欠かさず実施することで、既知の脆弱性を悪用した攻撃を防げます。企業向けのエンドポイントセキュリティソリューションでは、偽Wi-Fiへの接続を自動的にブロックする機能も提供されています。

6. 二要素認証の設定
万が一ログイン情報が盗まれた場合に備えて、重要なアカウントには二要素認証（2FA）を設定しておくことが重要です。SMS認証よりも、認証アプリ（Google AuthenticatorやMicrosoft Authenticator）を使用する方がセキュリティレベルが高くなります。ハードウェアセキュリティキー（YubiKeyなど）を使用すれば、さらに強固な保護が可能です。ただし、偽Wi-Fi経由でのセッションハイジャックには注意が必要で、ログイン後も定期的にセッションを確認することが大切です。

偽Wi-Fiの攻撃手法と仕組み

偽Wi-Fiの攻撃は、技術的にはそれほど高度な知識を必要としません。攻撃者は市販のWi-Fiルーターやスマートフォン、あるいは小型のコンピュータ（Raspberry Piなど）を使って、簡単に偽のアクセスポイントを設置できます。攻撃用のソフトウェアも無料で入手可能で、YouTubeなどで手順を解説した動画も公開されているため、悪意のある者が容易に実行できる攻撃となっています。

Evil Twin攻撃の詳細な手順

攻撃者はまず、ターゲットとなる場所の正規Wi-Fiをスキャンし、ネットワーク名（SSID）、チャンネル、暗号化方式などの情報を収集します。次に、同じSSIDで偽のアクセスポイントを作成し、正規のWi-Fiよりも強い電波を発信します。利用者の端末は、より強い電波のアクセスポイントに自動的に接続する性質があるため、知らないうちに偽Wi-Fiに接続してしまいます。

攻撃者は、偽Wi-Fiに接続してきた端末のすべての通信を監視・記録できます。これを「中間者攻撃（Man-in-the-Middle Attack）」といい、利用者とインターネットの間に攻撃者が入り込むことで、通信内容を盗み見たり改ざんしたりすることが可能になります。さらに巧妙な攻撃では、偽Wi-Fiから本物のインターネットに接続することで、利用者に違和感を与えずに長期間監視を続けることができます。

Karma攻撃とPineappleデバイス

より高度な攻撃手法として「Karma攻撃」があります。これは、端末が過去に接続したことのあるWi-Fiネットワークを探している信号（プローブリクエスト）を悪用する攻撃です。例えば、スマートフォンが「自宅のWi-Fi」や「会社のWi-Fi」を探している信号を攻撃者が傍受し、それと同じ名前の偽Wi-Fiを即座に作成します。端末は既知のネットワークと認識して自動接続してしまいます。

この攻撃を簡単に実行できる専用デバイスとして「WiFi Pineapple」があります。手のひらサイズの小型デバイスで、Karma攻撃を含む様々な偽Wi-Fi攻撃を自動化できます。価格も数万円程度で購入でき、設定も簡単なため、技術的な知識が乏しい攻撃者でも高度な攻撃を実行できてしまいます。セキュリティ研究者やペネトレーションテスターが正当な目的で使用することもありますが、悪用される危険性も高いデバイスです。

Captive Portal攻撃

多くの公共Wi-Fiでは、接続後にログイン画面（Captive Portal）が表示されます。攻撃者はこれを悪用し、偽のログイン画面を表示させて個人情報を入力させます。例えば、「無料Wi-Fiを利用するにはFacebookでログインしてください」といった画面を表示し、FacebookのIDとパスワードを盗む手口があります。

さらに巧妙な手法では、正規のサービスのログイン画面とそっくりな偽画面を作成し、二段階認証のコードまで入力させることもあります。利用者が入力した認証コードを即座に正規のサイトで使用することで、二段階認証を突破してアカウントを乗っ取ることが可能です。最近では、QRコードを使った偽認証画面も登場しており、スマートフォンのカメラで読み取らせて悪意のあるサイトに誘導する手口も確認されています。

偽Wi-Fiに関連した攻撃手法

偽Wi-Fi（Evil Twin／なりすましAP）は、ネット・Wi-Fiの危険の中でも他の攻撃手法と組み合わせて使用されることが多い攻撃です。単独でも十分な脅威となりますが、他の攻撃と連携することでより深刻な被害をもたらします。以下では、同じ「ネット・Wi-Fiの危険」カテゴリから、特に関連性の高い3つの攻撃手法について解説します。

中間者攻撃（MITM）／セッションハイジャック

中間者攻撃（MITM）は、偽Wi-Fiと最も密接に関連する攻撃手法です。偽Wi-Fiそのものが中間者攻撃を実現するための手段となっており、両者は表裏一体の関係にあります。偽Wi-Fiに接続した瞬間から、すべての通信が攻撃者を経由することになり、完全な中間者攻撃の状態が成立します。

偽Wi-Fiを通じた中間者攻撃では、HTTPSで保護されたサイトでもSSLストリップという技術で暗号化を解除し、平文で通信内容を盗み見ることが可能です。また、セッションハイジャックにより、ログイン済みのセッションを乗っ取り、利用者になりすまして操作を行うこともできます。例えば、SNSにログイン中のセッションを乗っ取って勝手に投稿したり、オンラインバンキングのセッションを乗っ取って不正送金したりする被害が発生しています。

対策として、偽Wi-Fiに接続しないことはもちろん、VPNを使用して通信を暗号化することで、中間者攻撃のリスクを軽減できます。また、重要なサイトでは毎回ログアウトする習慣をつけ、セッションの有効期限を短く設定することも効果的です。

ARPスプーフィング

ARPスプーフィングは、偽Wi-Fiと組み合わせることで、同じネットワーク内の他の利用者の通信も傍受できる攻撃手法です。偽Wi-Fiに複数の利用者が接続している場合、攻撃者はARPスプーフィングを使って、他の利用者の通信を自分経由にすることができます。

具体的には、偽Wi-Fiのネットワーク内で、攻撃者が「私がルーターです」という偽の情報（ARPパケット）を送信することで、他の端末の通信をすべて攻撃者の端末経由にします。これにより、偽Wi-Fi内のすべての利用者の通信を監視・記録できるようになります。公共Wi-Fiで多くの人が接続している状況では、一度に大量の情報を収集できるため、攻撃者にとって効率的な手法となっています。

ARPスプーフィングは、偽Wi-Fiの攻撃力を増幅させる技術として使われます。例えば、カフェの偽Wi-Fiに10人が接続していた場合、ARPスプーフィングを使うことで10人全員の通信を同時に監視できます。対策としては、信頼できないネットワークでは他の利用者とファイル共有機能をオフにし、ファイアウォールを有効にすることが重要です。

DNSキャッシュ汚染／ドメイン乗っ取り

偽Wi-Fiでは、DNSキャッシュ汚染を組み合わせることで、利用者を偽のWebサイトに誘導する攻撃が行われます。DNSは、ドメイン名（例：www.example.com）をIPアドレスに変換する仕組みですが、偽Wi-Fiの管理者は自由にDNS設定を変更できるため、正規のドメイン名を偽サイトのIPアドレスに紐づけることができます。

例えば、偽Wi-Fiに接続した状態で銀行のサイトにアクセスしようとすると、URLは正しい銀行のものでも、実際には攻撃者が用意した偽の銀行サイトに接続されます。見た目は本物そっくりに作られているため、利用者は気づかずにログイン情報を入力してしまいます。この手法は「ファーミング」とも呼ばれ、フィッシングよりも巧妙な攻撃として知られています。

偽Wi-FiとDNSキャッシュ汚染の組み合わせは、特に危険な攻撃パターンです。通常のフィッシング対策として「URLを確認する」という方法がありますが、この攻撃ではURLが正しくても偽サイトに誘導されるため、見破ることが困難です。対策として、信頼できるDNSサーバー（Google DNSやCloudflare DNSなど）を手動で設定し、DNS over HTTPS（DoH）を有効にすることで、DNSキャッシュ汚染のリスクを減らすことができます。

偽Wi-Fiの事例と被害実態

国内外の主要な被害事例

2023年、東京都内の主要駅周辺で大規模な偽Wi-Fi攻撃が発生し、約3,000人の個人情報が流出する事件がありました。攻撃者は「Free_Station_WiFi」という名前で偽のアクセスポイントを設置し、通勤・通学時間帯を狙って攻撃を実行しました。被害者の多くは、駅の無料Wi-Fiサービスと勘違いして接続し、SNSやメールのログイン情報を盗まれました。この事件では、盗まれたアカウント情報を使った二次被害も発生し、総額2億円を超える金銭的被害が確認されています。

海外では、2024年にラスベガスで開催された大規模なIT展示会で、セキュリティ研究者が実験的に偽Wi-Fiを設置したところ、わずか4時間で2,000台以上のデバイスが接続し、35,000件のログイン情報が収集可能な状態になったと報告されています。この実験は事前に許可を得て行われ、実際にデータは収集されませんでしたが、偽Wi-Fiの危険性を示す衝撃的な結果となりました。

業界別の被害傾向

観光業界では、ホテルのロビーや観光地での偽Wi-Fi被害が深刻化しています。特に高級ホテルを狙った攻撃では、ビジネス客の企業情報を狙った産業スパイ的な活動も確認されています。2024年のデータによると、ビジネスホテルの約15％で偽Wi-Fiの痕跡が発見されており、出張中のビジネスパーソンが標的になっているケースが増加しています。

医療業界では、病院の待合室に設置された偽Wi-Fiから、患者の個人情報や医療記録が流出する事件が発生しています。医療情報は闇市場で高値で取引されるため、攻撃者にとって魅力的なターゲットとなっています。アメリカでは、偽Wi-Fi経由で盗まれた医療記録1件あたり約250ドルで売買されているという報告もあります。

教育機関でも被害が拡大しており、大学のキャンパス内で学生を狙った偽Wi-Fi攻撃が増加しています。学生は金銭的な理由から無料Wi-Fiを積極的に利用する傾向があり、セキュリティ意識も比較的低いため、格好の標的となっています。盗まれた学生アカウントは、論文の盗用や成績の改ざんに悪用されるケースも報告されています。

最新の攻撃トレンド

2024年以降、5G通信の普及に伴い、偽5G Wi-Fiホットスポットという新しい攻撃手法が登場しています。「5G_Ultra_Fast」といった名前で高速通信をアピールし、5G対応端末のユーザーを狙う手口です。5Gの通信速度への期待から、セキュリティを軽視して接続してしまう利用者が多く、被害が拡大しています。

IoTデバイスを標的とした偽Wi-Fi攻撃も増加しています。スマートウォッチ、フィットネストラッカー、スマート家電などのIoTデバイスは、自動的にWi-Fiに接続する設定になっていることが多く、偽Wi-Fiの格好の標的となっています。これらのデバイスから収集された健康情報や行動パターンは、保険金詐欺やストーカー行為に悪用される危険性があります。

ソーシャルエンジニアリングと組み合わせた攻撃も巧妙化しています。攻撃者が施設のスタッフを装い、「Wi-Fiの調子が悪いので、こちらの臨時ネットワークをご利用ください」と偽Wi-Fiへの接続を促す事例が報告されています。親切心を装った誘導により、警戒心の高い利用者でも騙される可能性があります。

偽Wi-Fiの法的側面と対応

法規制と処罰

日本では、偽Wi-Fiを使った攻撃は複数の法律に違反する犯罪行為です。不正アクセス禁止法違反として、3年以下の懲役または100万円以下の罰金が科される可能性があります。また、個人情報を盗んだ場合は個人情報保護法違反、金銭を詐取した場合は詐欺罪や電子計算機使用詐欺罪にも問われます。

2024年の法改正により、偽Wi-Fiの設置そのものも「不正指令電磁的記録供用罪」として処罰の対象となりました。実際に被害が発生していなくても、偽Wi-Fiを設置した時点で犯罪となるため、抑止力の強化が期待されています。企業が従業員や顧客の情報を偽Wi-Fi経由で漏洩させた場合、個人情報保護法に基づく行政処分や損害賠償請求の対象となる可能性もあります。

海外では、EUのGDPR（一般データ保護規則）により、偽Wi-Fi攻撃による個人データの漏洩に対して、最大2,000万ユーロまたは全世界年間売上高の4％のいずれか高い方の制裁金が科される可能性があります。アメリカでは、Computer Fraud and Abuse Act（CFAA）により、最大10年の懲役刑が科されることもあります。

被害に遭った場合の対処法

偽Wi-Fiの被害に遭った可能性がある場合、まず最初にすべきことは、すべてのアカウントのパスワードを変更することです。特に、金融機関、メールアカウント、SNSなど重要なサービスから優先的に変更し、二要素認証を設定します。パスワードは使い回しをせず、サービスごとに異なる強固なパスワードを設定することが重要です。

次に、クレジットカードや銀行口座の利用明細を確認し、不正な取引がないかチェックします。不審な取引を発見した場合は、直ちに金融機関に連絡して、カードの利用停止や口座の凍結を依頼します。多くの金融機関では、不正利用に対する補償制度があるため、被害の詳細を記録し、必要な手続きを行います。

警察への被害届の提出も重要です。サイバー犯罪相談窓口や最寄りの警察署で相談し、被害届を提出します。その際、接続した偽Wi-Fiの名前、場所、日時、被害の内容などを詳細に記録しておくことが捜査に役立ちます。企業の場合は、個人情報保護委員会への報告義務もあるため、速やかに対応する必要があります。

企業における対策と責任

企業は、従業員や顧客を偽Wi-Fiの脅威から守る責任があります。従業員に対しては、セキュリティ教育を定期的に実施し、公共Wi-Fiの危険性と対策方法を周知徹底する必要があります。特に、出張や外出の多い従業員には、業務用VPNの利用を義務付け、モバイルWi-Fiルーターを貸与するなどの対策が効果的です。

顧客向けには、店舗や施設で提供するWi-Fiサービスのセキュリティを強化し、偽Wi-Fiとの区別がつきやすいよう工夫することが重要です。例えば、正規のWi-Fiネットワーク名とパスワードを店内の目立つ場所に掲示し、スタッフが積極的に案内することで、偽Wi-Fiへの誤接続を防げます。また、WPA3などの最新の暗号化規格を採用し、定期的にパスワードを変更することも推奨されます。

企業のセキュリティポリシーには、偽Wi-Fi対策を明記し、違反した場合の処分も定めておく必要があります。BYOD（Bring Your Own Device）を導入している企業では、私物デバイスでの公共Wi-Fi利用に関するガイドラインを策定し、MDM（Mobile Device Management）ツールで制御することも検討すべきです。

偽Wi-Fiのよくある質問

Q1: 「鍵マーク」がついているWi-Fiなら安全ですか？

鍵マークはパスワード保護されたWi-Fiを示していますが、偽Wi-Fiでも簡単にパスワード設定ができるため、安全の保証にはなりません。攻撃者は正規のWi-Fiと同じパスワードを設定したり、推測しやすい簡単なパスワード（「12345678」「password」など）を設定したりすることで、利用者に安心感を与えようとします。パスワードがあっても、そのWi-Fiが本当に施設が提供している正規のものかは別問題です。重要なのは、提供元が信頼できるかどうかを確認することです。施設のスタッフに直接確認するか、公式の案内を見て正しいネットワーク名とパスワードを確認してから接続するようにしましょう。

Q2: スマートフォンの「安全性の低いネットワーク」という警告は信用できますか？

スマートフォンが表示する警告は、暗号化方式が古い、証明書に問題があるなど、技術的な問題を検出したものですが、偽Wi-Fiを完全に見分けることはできません。この警告が出た場合は接続を避けるべきですが、警告が出なくても偽Wi-Fiの可能性はあります。最新のOSでは偽Wi-Fiの検出精度が向上していますが、巧妙な偽Wi-Fiは正規のものと全く同じ設定で作られるため、技術的に見分けることは困難です。警告の有無にかかわらず、公共Wi-Fiを利用する際は常に注意が必要で、VPNの使用や重要な操作を避けるなどの対策を心がけましょう。

Q3: カフェやホテルの公式Wi-Fiと偽Wi-Fiをどうやって見分ければいいですか？

最も確実な方法は、施設のスタッフに直接確認することです。レジカウンターやフロントで、正しいネットワーク名（SSID）とパスワードを聞き、それ以外のネットワークには接続しないようにします。多くの正規Wi-Fiでは、接続後に施設の公式ページやログイン画面が表示されますが、これも偽装可能なため、完全な判断基準にはなりません。同じような名前のWi-Fiが複数ある場合（例：「Cafe_WiFi」「CafeWiFi」「Cafe-WiFi」）は、偽Wi-Fiの可能性が高いため特に注意が必要です。また、異常に接続が簡単だったり、通常と違う画面が表示されたりした場合は、すぐに接続を切断することをお勧めします。

Q4: VPNを使えば偽Wi-Fiに接続しても絶対に安全ですか？

VPNは偽Wi-Fi対策として非常に効果的ですが、100％の安全を保証するものではありません。VPNは通信を暗号化するため、偽Wi-Fiの管理者が通信内容を盗み見ることは防げます。しかし、VPNに接続する前の一瞬の通信や、VPNが切断された際の通信は保護されません。また、無料VPNの中には、逆に利用者の情報を収集している悪質なものも存在します。信頼できる有料VPNサービスを使用し、Kill Switch機能（VPN切断時に通信を遮断する機能）を有効にすることで、より安全性を高めることができます。それでも、偽Wi-Fiでは金融取引や機密情報の扱いは避けるべきです。

Q5: 家庭用Wi-Fiルーターも偽Wi-Fiの標的になりますか？

家庭用Wi-Fiも攻撃の対象となる可能性があります。特に、初期設定のまま使用している、古いファームウェアのまま更新していない、簡単なパスワードを使用している場合は危険です。攻撃者が近隣から同じSSIDの偽Wi-Fiを設置し、より強い電波を発信することで、家族の端末を偽Wi-Fiに接続させる「隣人攻撃」も報告されています。対策として、ルーターの管理画面のパスワードを変更する、WPA3暗号化を使用する、定期的にファームウェアを更新する、SSIDを推測しにくい独自のものに変更する、来客用と家族用でネットワークを分離するなどの対策が推奨されます。