フリーWi-Fiの危険性について

>>17 みかんちゃん☆さん

例えば特定の個人を狙ったストーカーがいました。
対象ターゲットがコーヒーショップに入ったので、ストーカーも近くの席に座りました。
ターゲットは店内掲示のQRコードを確認し、スマホでフリーWiFiに接続したようです。(もちろん鍵付きです)
(ちなみにタウンWiFi使って接続しても同じです。)
ストーカーはカバンからノートPCを取り出し、お店と同じSSID,パスワードのアクセスポイントを立ち上げました。
(もちろん鍵付きです)
スマホは通常電波の強いアクセスポイントに自動的に切り替わりますから、ターゲットは知らないうちにストーカーのPCに接続してしまいます。ストーカーのPCは普通にインターネットに接続できるようにしてあるため、切り替わってもターゲットは何も気づきません。
ストーカーはPCでパケットキャプチャーを実行し、ターゲットの通信内容を全部保存して持ち帰りました。

「鍵あり」で無線部分が暗号化されていても、その無線開設者に悪意があれば全く意味はありません。

「https」でアクセスしたサイトが本物であれば、ストーカーの手元に残るのは暗号化された通信内容ですから、とりあえずは安全です。
ただし、この安全は「今のところ」という注釈が付きます。現在の暗号化は復号に時間が掛かるというだけで、絶対解けないものではありません。効率的な解法がなく、しらみつぶしで見つけるから時間が掛かるというだけです。
数十年後にその通信内容が分かっても労力に見合わないでしょ、ということですね。

「https」のサイトが偽物だったら…という事ですが、ストーカーが本物サイトと同じドメイン名でPC内に偽サイトを立ち上げる事自体は可能です。が、本物サイトと同じドメインの証明書を「信頼された」証明書発行機関から発行してもらうのは無理で、結局本物サイトから盗んでくるか証明書発行機関を騙す必要があり、まぁありえないでしょう。
というわけで、結局は1文字違いとか-(ハイフン)が入った紛らわしいドメイン名のサイトにでもアクセスしない限り問題ありません。
別ドメインであれば簡単に証明書取れるので、最近の偽サイトはhttpsですよw

また、本物のドメインだろうと紛らわしい偽ドメインだろうと、DNSで嘘の回答を受け取ってしまうと本物サイトに接続できなくなってしまいます。最近のOSやブラウザはセキュアDNS(DNS over HTTPS)に対応しておりますので、安全性の低い通信経路では積極的に有効化しましょう。

位置情報もまともなサイトならhttpsで送受信しているので本物サイトにアクセスしている限りはまぁ大丈夫でしょう。