銀行の公式サイトで無料のWi-Fiを使ってはならないとあります。なぜ？

銀行の公式サイトを見ていますと、スマホで無料のWi-Fiを使ってはならないとあります。SMBCもそうですが、銀行ログインの画面ではSSLで暗号化されているはずですし、何を危惧しているのでしょうか？
http://www.smbc.co.jp/security/measure/case06.html

実際問題としてこれでは滞在先のホテルなどからノートPCで無料のWiFiを使って株や銀行、オークションなど取引が出来ませんし・・・

No.6 回答者： fakeflake 回答日時： 2018/06/15 15:16

> 確かにそうですが、そこまで言ってしまうと

それは、交通事故が起こるのは車やバイクや自転車があるせいだから、すべて廃止してしまえ！！と言う極論と同じではないでしょうか？こうすればまだ危険性を下げることができるということを考えて対策して、利用しているわけです。

誰もが傍受できる状態で利用するというのは、歩きスマホやノーヘルバイクのようなもの、危険であることが判り切っている行為です。それやっちゃったら保証できませんよと言うことです。

この回答へのお礼

再度回答いただきありがとうございます。傍受できるとのことですが、勿論、平文通信ならその通りですが、SSL/TLSで接続する場合にはそのリスクが一切無くなるのではないかと思い質問した感じです。仮にSSL/TLSが傍受できる可能性を検討するのであれば、やはりネットそのものが危険という大きな枠組みで考える必要があると思うのです。

お礼日時：2018/06/15 15:37

No.5 回答者： Wr5 回答日時： 2018/06/15 09:09

>スマホのブラウザが最新であればSSL/TLS接続の場合、警告を無視したり怪しげなアプリをインストールしなければ、警告が出るため実際には問題にならない。

こんな解釈で大丈夫でしょうか？

概ね大丈夫だとは思います。
最初からある程度は信頼できるWi-Fi使った方がいいですけどね。

>DNS改ざんですが、8.8.8.8など信頼できるところを予め設定していれば問題ないでしょうか？

悪意あるWi-Fi使う限りは意味がありません。
ルータが8.8.8.8向けのUDPパケットを配下の別のサーバへ送って、そのサーバが8.8.8.8を詐称して応答を返す。という可能性もなきにしもあらずなので。
# 面倒ですが、できなくはない…はず。

No.4 回答者： fakeflake 回答日時： 2018/06/14 15:50

具体的に何か解っている危険があるからではなくて、誰でも傍受できるという事実に対する危惧ってことでは？どこで穴が発見されるかわからない（実は知られていない穴があるかも知れない）以上、わざわざ危ない橋を渡ることは賢明ではないでしょう。

それに無料のWiFiとは、究極的にはFONのような誰にでも一切区別せずに無料で開放している物という意味であって、ホテルなどがそこの利用客に対して利用できるようにしているものまで含んでいるわけではないはずです。

この回答へのお礼

回答いただきありがとうございます。確かにそうですが、そこまで言ってしまうとインターネットそのものが誰が運営しているか分からない回線を経由していますしリスクがあるように思うのです。

お礼日時：2018/06/15 11:34

No.3 回答者： Wr5 回答日時： 2018/06/14 12:50

「無料の」というところが大事なのではなく、管理者が不明(責任追求できない)というのが問題なんじゃないでしょうかね？

そういう意味では滞在先のホテルのWi-Fiは大丈夫…かと。
# ただし、接続しているのが本当にホテルが用意したWi-Fiであることが前提ですが。

>銀行ログインの画面ではSSLで暗号化されているはずですし、何を危惧しているのでしょうか？

悪意ある人が無料のWi-Fiを開設、DNSサーバなどもろもろ細工していた場合に
外部のフィッシングサイトへ誘導してID/パスワードを盗む…なんてことができる場合があります。
SSL/TLSで暗号化されている先が接続しようとしている正規のサイトか？というのを確認しなければ…。

1)DNS改ざんしてクライアントからの正引きに対してフィッシングサイトのIPアドレスを返します。
2)クライアントはフィッシングサイトへ接続します。
3)SSL/TLSの通信を開始しますが、オレオレ認証局などで認証した証明書を使用してSSL/TLS通信をします。
4)ID/パスワード入力された後で正規のサイトへリダイレクトします。

実際には3)の時点で認証局が不正なのでブラウザなりに警告が出る場合が多いとは思いますが。
認証局の証明書などが流出して、正規の証明書である。流出したので無効化した証明書の情報が(古いバージョンのブラウザ使っているとかで)ブラウザ側に伝わっていない。
とか、いくつかのハードルはあるかと思いますけど。

証明書の問題は上記と一緒ですが、中間者攻撃のサイトに接続させる。ということもあるやも知れません。

この回答へのお礼

回答いただきありがとうございます。
悪意あるWiFi設置者だと仮定しても、スマホのブラウザが最新であればSSL/TLS接続の場合、警告を無視したり怪しげなアプリをインストールしなければ、警告が出るため実際には問題にならない。こんな解釈で大丈夫でしょうか？
DNS改ざんですが、8.8.8.8など信頼できるところを予め設定していれば問題ないでしょうか？

お礼日時：2018/06/14 14:16

No.2 回答者： jtpgmwta 回答日時： 2018/06/14 11:52

銀行のサイドにアクセする際によく似た詐欺サイトにアクセスされてそこにIDやパスワードを入力したりなんかすれば暗号化なんて関係なくなりますよね。

この回答へのお礼

回答いただきありがとうございます。それは有料のスポットでも同じ事かと思います。

お礼日時：2018/06/14 12:00

No.1 回答者： ColdTemper 回答日時： 2018/06/14 11:30

信頼性のないスポットを使う事でスマホやＰＣにマルウェアが感染してIDとパスワードを抜かれたり、デバイスそのものをハッキングされて操作されたりするのでむやみに利用するのは危険だという話。

通信内容を解析されなければ問題ないという話とは必ずしも限らない。
通信内容の話にしてもSSLの話を持ち出していますけどきちんとしたところは今はTLSに移行しているはず。つまりSSLは偽証明書問題などで既に安全を担保できる状態ではないのです。

この回答へのお礼

回答いただきありがとうございます。

特にスマホについてですが、マルウェアといえどもインストール作業をする必要がありますから、これで制御すれば問題ないですよね？勝手に感染するような物はまだ無いですよね？ちょっと読んでいて気になりました。

また、銀行ですのでSSLとあっても実際にはSSL/TLSの意味かと思っています。

お礼日時：2018/06/14 11:59