なぜ海外旅行中が狙われるのか

サイバー犯罪者にとって、海外旅行中の日本人は格好の標的です。理由は明確です。

  • 現地のSIMやポケットWi-Fiが手元になく、フリーWi-Fiに頼りがち
  • 言語の壁で、表示される警告メッセージを読み飛ばしやすい
  • スマホで航空券、ホテル、決済、SNS投稿を集中的に行う
  • クレジットカードやパスポート情報など、攻撃価値の高いデータを扱う
  • 帰国後に被害に気づいても、現地の警察に相談するのは難しい

リスク①:フリーWi-Fiの『盗聴』

Kaspersky社の調査によると、世界の公衆Wi-Fiスポットの約4分の1は、暗号化なし・パスワードなしで利用できる状態です。暗号化されていないWi-Fiでは、同じネットワーク上にいる第三者が通信内容を傍受できます(パケットスニッフィング)。

  • ログインID・パスワードが平文で流れる場合がある
  • クレジットカード番号、セキュリティコードが盗まれる
  • SNSのセッションCookieが盗まれてアカウント乗っ取りに繋がる
  • メールの内容、メッセージのやり取りも見られる

HTTPS(鍵マーク)のサイトであれば通信は暗号化されますが、HTTPサイトや一部のアプリでは依然としてリスクがあります。

リスク②:偽Wi-Fi(Evil Twin、悪魔の双子)

Cybereason社の解説によると、最も多い攻撃手法の一つが「中間者攻撃(Evil Twin)」です。攻撃者が正規のWi-Fiと同じ、または似た名前のSSID(アクセスポイント名)を設置し、利用者を誤接続させます。

ホテルのロビーで「Hotel_Free_WiFi」と「Hotel-Free-WiFi」が並んで表示されていたら、どちらが本物か瞬時に判別できますか? 攻撃者はこの判断の隙を突いてきます。

偽Wi-Fiに繋いでしまうと、すべての通信が攻撃者を経由します。普通にインターネットが使えているように見えるため、被害に気づくのは帰国後に明細を見たときが多いです。

リスク③:ホテルWi-Fi経由のマルウェア感染

ホテルのWi-Fiを使うのも油断できません。「Darkhotel」と呼ばれる攻撃グループは、高級ホテルのWi-Fiネットワークそのものを侵害し、宿泊者のデバイスにマルウェアを仕込むことで知られています。標的はビジネス出張者・経営者が中心ですが、観光客でも巻き込まれるリスクがあります。

ホテル側がセキュリティ対策をしっかりしていても、長期間運用される共用ネットワークである以上、リスクはゼロではありません。

リスク④:USB充電ポート(ジュースジャッキング)

FBIが2023年4月に警告し、注目された攻撃手法です。空港、ホテル、カフェの公共USB充電ポートが細工されており、接続するだけでスマートフォンにマルウェアやスパイウェアが仕込まれる可能性があります。

  • FBI公式ツイート:「悪意ある人々は、公共USBポートを使ってマルウェアや監視ソフトをデバイスに仕込む方法を見つけている」
  • 対策:自分の充電器とUSBケーブルを持参して電源コンセントから充電する
  • もしUSB接続時に「データを共有」「このコンピュータを信頼する」「充電のみ」の選択肢が出たら、必ず「充電のみ」を選ぶ
  • USB充電ポートに既に挿さっているケーブルは絶対に使わない(攻撃者が用意したものかも)

なお、日本国内でジュースジャッキングの実害報告はまだ確認されていませんが、海外(特にアメリカ)では注意喚起されています。リスクは10年前より高くなっているという専門家の見解もあります。

リスク⑤:SNS投稿からの個人情報露出

現地で撮った写真をその場でSNSに投稿することは、多くの人が当たり前に行います。しかし、これにもリスクがあります。

  • 写真の位置情報(EXIF)から滞在先が特定される(Facebook・X・LINEは自動削除されるが個人ブログは要設定)
  • ホテルのカードキー、航空券のQRコード、パスポートが写り込むと予約番号や個人情報が漏れる
  • 「今日から海外旅行!」と投稿することで、自宅が留守だと知られる(空き巣のリスク)
  • 搭乗券の写真には予約番号、氏名が含まれており、悪用されると予約変更や個人情報照会される

出発前の5分でできる対策

対策①:Wi-Fiの自動接続をオフにする

総務省のガイドラインも警告しているのが、自動接続です。スマホは過去に接続したWi-Fiと同じSSIDを見つけると自動接続します。攻撃者がこれを利用して同名の偽SSIDを設置すれば、知らない間に偽Wi-Fiに繋がります。

  • iPhone:「設定」→「Wi-Fi」→「接続を確認」をオン、「自動接続」を必要なものだけに
  • Android:「設定」→「ネットワーク」→各Wi-Fi詳細→「自動接続」オフ
  • 出発前に過去のWi-Fi履歴を整理しておく

対策②:VPNアプリを入れる

VPN(Virtual Private Network)は、自分のデバイスとインターネットの間に暗号化された通信路を作ります。フリーWi-Fiに繋いでも、通信内容は攻撃者には見えません。

  • 信頼できるVPN事業者を選ぶ(無料VPNは通信記録の販売リスクあり)
  • 出発前に必ず1度起動して動作確認する
  • 海外で接続できなかったとき用にバックアッププランも準備する

対策③:モバイルバッテリーと充電器を持参

  • 10000mAh以上のモバイルバッテリーを1個カバンに入れる
  • 自分のUSB充電器(ACアダプタ)を持参する
  • 充電が必要なときは、公共USBポートではなくコンセントから自分の充電器で
  • どうしても公共USBポートを使う場合は、データ通信ピンを除いた『充電専用ケーブル』を使う

対策④:重要アカウントに二段階認証

万一パスワードが盗まれても、二段階認証があればログインできません。出発前に以下を必ず設定してください。

  • Gmail / Apple ID(最優先)
  • 銀行アプリ、証券アプリ
  • クレジットカード会社のWeb
  • SNS(X、Instagram、Facebook、LINE)
  • 出張なら会社のメール、Slack、Teams

対策⑤:旅行中のSNS投稿は『帰国後』に

リアルタイム投稿は楽しいですが、空き巣のリスクや個人情報露出を考えると、「帰国してから振り返り投稿する」のが安全です。どうしてもリアルタイムで投稿したい場合は以下に注意してください。

  • 搭乗券、ホテルキー、パスポートが写った写真は絶対NG
  • 位置情報の投稿は最終日にまとめて、または帰国後に
  • 公開範囲は『友達のみ』に絞る
  • 「家族で旅行中!」など留守宅情報を含む投稿は避ける

もしGW中に被害に気づいたら

  • クレジットカードに身に覚えのない請求 → カード会社に即電話・利用停止
  • Gmailなどに不審なログイン通知 → 公式サイトからパスワード変更+全セッションログアウト
  • スマホがやたら熱い、バッテリーがすぐ減る → マルウェア感染の可能性、再起動して挙動を観察
  • 海外領事館の連絡先を控えておく(外務省海外安全ホームページに記載あり)

家族で旅行する人は、家族全員に共有を

対策は『一番セキュリティが弱い家族』のレベルに揃ってしまいます。子どもや高齢の家族のスマホも、出発前に同じ設定を確認してください。一緒の部屋でホテルWi-Fiに接続するなら、誰か一人が偽Wi-Fiに繋ぐと、それが共有のリスクになります。

まず確認すべきこと

出発前に、自分のメールアドレスが過去の漏えい事件に含まれていないかも確認しておくと安心です。漏えいしている場合、そのアドレスを使った重要サービス(Gmail、銀行、SNS)のパスワード変更と二段階認証設定を旅行前に済ませてください。

Web検診のプライバシー診断では、メールアドレスの漏えいチェック、デジタルフットプリントの確認を無料で行えます。出発前のチェックリストの一つとしてご活用ください。

出典

総務省「無線LAN(Wi-Fi)のセキュリティに関するガイドライン」: https://www.soumu.go.jp/main_sosiki/cybersecurity/wi-fi/index.html

外務省 海外安全ホームページ: https://www.anzen.mofa.go.jp/

OTOA 一般社団法人 日本海外ツアーオペレーター協会「海外でのフリーWi-Fi(公衆無線LAN)利用の際はご注意を」: https://www.otoa.com/gallery/useful/wi-fi_attention/

Cybereason「公衆Wi-Fiに潜むリスクとは?」: https://www.cybereason.co.jp/blog/security/12092/

ITmedia「空港の無料USB充電は危険?」(FBI警告関連): https://www.itmedia.co.jp/news/articles/2305/16/news069.html

McAfee「海外旅行中のオンライン上のリスクとセキュリティ対策」: https://www.mcafee.com/blogs/ja-jp/privacy-identity-protection/be-careful-while-traveling/