会社のWifiを使って個人の携帯電話で閲覧したウェブサイトを、雇用主が見ることはできますか?
ネット上で誰もまともに答えてくれない質問があります。 会社のゲスト用WiFiに接続された個人のiPhoneを使って、例えばhttps://google.com/newsにアクセスした場合、雇用主はそれを見たり記録したりするのでしょうか?
1.https://google.com(すなわち、/news`が隠されている)
2. 完全なURL
HTTPSはURLの一部を暗号化するという回答もあれば、フルURLがルーターのログに引っかかるという回答もありました。
私に回答してくれたほとんどの人は、シナリオ1が最も可能性が高いと言っています。つまり、「/」の後のURLの詳細はHTTPS接続のために見えないままであり、したがってルーターログには引っかからないということです。 また、ネットワーク管理者は何でも見たり記録したりできると言う人もいます(私にとっては、HTTPSの主要なポイントの1つを破っているように思えますが? 繰り返しますが、これは誰もアクセスしていない個人のアイフォンです。
2
3
ここで考慮すべきは、HTTPだけではありません...。
WiFi
WiFiはその性質上、非常にオープンな技術です。アンテナと無線機を持っていれば、誰でもトラフィックを収集することができます。 WiFiネットワーク自体は暗号化されていますが、これを回避する方法はたくさんあります1。もしあなたが会社のネットワークに接続しているのであれば、近くにいる他の人もパスワードを持っている可能性があります。
キャプチャとアーカイブ
ネットワーク管理者は、そのネットワークを通過するすべてのトラフィックを見ることができます。 もし、secure"セッションに弱点が発見された場合、収集されたデータは危険にさらされ、解読される可能性があります。 計算機の性能が十分に向上すれば、平文のデータを得るためにbrute-forcingが実行可能な選択肢となるでしょう。 一般的な企業では、「on the wire"」のトラフィックを大量に記録することはないでしょう。
Attribution
トラフィックは、デバイスのMACアドレスに基づいて、あなたの携帯電話に直接結びつけることができます。 最近では、"MAC Address Randomisation"が提供されるようになりました...しかし、いくつかのケースでは、これはトラフィックを適切に匿名化するのに十分ではありません。
DNS
標準的な電話機の設定では、DNSクエリはネットワークオペレータや隣人から簡単に見ることができます。例えば、携帯電話が「google.com」や「mail.google.com」のIPアドレスを尋ねるような場合です。 可能性はありますが、企業がDNSクエリを記録することは、それなりの規模のものでない限り、ありえないと思います。
IP Addressing
ネットワークやインターネット上の他のシステムと通信するには、リモートシステムのIPアドレスを使用してパケットを誘導する必要があります。 多くの場合、このIPアドレスは、直接通信しているサイトや会社を特定するものです(例:GoogleのサーバーはGoogleのサービスのみをホストしている)。しかし、多くの小規模なサイトでは、共有ホスティング(1台のサーバーに複数のウェブサイトが存在すること)を使用しているため、どのウェブサイトを閲覧しているのかが分かりにくくなっています。
HTTP (SSLなし)
一般的に、実際のWebトラフィックはSSL/HTTPSで暗号化されます。しかし、HTTPSに対応していない、あるいは対応していないウェブサイトもありますので、そのような場合は、すべてのトラフィックを見ることができます。
HTTPS
HTTPS を使用している Web サイトでは(上記の DNS 情報は無視して)、Server Name Indication を使用して 1 台のサーバーで複数のドメインをホストすることができるようになりました。これにより、クライアントがどのドメインから情報を要求したかに応じて、サーバが正しいSSL証明書でハンドシェイクに応答することができます。 この場合、ホスト名はハンドシェイクの一部として平文で送信されるため、見えてしまいます。
Man in the Middle
HTTPS が使用されている場合でも、ネットワーク・オペレーターがトラフィックを解読する可能性はある。多くの企業はプロキシを使用し、従業員のデバイス(ラップトップ、電話など)に証明書をインストール している。 この場合、あなたは"Man in the Middle"攻撃を受けやすくなります。雇用主は、すべてのトラフィックを復号化し、プロキシ型のサービス(例:コンテンツ・フィルタリング、キャッシングなど)を提供し、その後、正しい証明書を使用してあなたのリクエストを宛先サーバに転送できる可能性があります。 これは個人のデバイスでは考えにくいことです。 これはDNS Certification Authority Authorizationによっても幾分緩和されます...オペレーターがDNSレスポンスをスプーフしない限り。ブラウザがDNS CAAの応答をまったくキャッシュしないかどうかはわかりませんが...。
VPN
もしあなたがVPNを使用していて、すべてが正しく設定されているのであれば、VPNサーバーのDNSレコードだけがローカルに漏れる可能性は高いです(ダイレクトIPを使用していないと仮定して)。また、VPNプロバイダーを信頼する必要があります。 ただし、VPNの設定が正しく行われていない場合は、DNSクエリが簡単に漏れてしまいます。
要約すると、次のように仮定します。
google.com)を見ることができることはほぼ確実である。https://)。具体的な質問にお答えします。回避策がないと仮定した場合、GenericCo'のゲスト用無線LANに接続した後、ブラウザを開き、https://google.com/news に移動しようとします。
A) DNSリクエストが平文で送信され、DNSサーバーにIPアドレスを尋ねます。 DNSは通常、暗号化されていないので、WireSharkを持った盗み見するシステム管理者は簡単にそれを見ることができます。 この可視DNSリクエストは、すべてのドメインとサブドメインに対して発生するため、mail.google.comとgoogle.comは2つの別々のリクエストとして見えます。
B) HTTPS 接続リクエストがその IP アドレスに送信される。 ハンドシェイクが行われ、ユーザーのコンピュータは特定のページ/ニュースのダウンロードを試みます。 理論的には、この時点で安全なHTTPS接続が行われているので、スヌープがそれを見ることはずっと難しくなります'。
一般的に、あなたの雇用主は、あなたが彼らのネットワーク上で行うことをすべて見ることができると考えてください。 結局、雇用主のインターネット接続なのですから。 VPNやその他の方法を使って難読化することもできますが、それについては別の回答で紹介します。 ただし、雇用主以外の個人も見ることができる可能性があることに注意してください。 VPNを使用すれば、近くにいる人ができるスヌーピングの量を減らすことができますが、その場合はVPNプロバイダーを信頼する必要があります。
この質問に対する簡単な答えは、あなたのシナリオ1が正しいということです。
接続はHTTPSで、URLのドメイン名部分の後に何が入力されているかは、あなたと接続先の相手以外は誰にもわかりません。あなたの雇用主は、以下の情報しか知りません。
1.あなたのデバイス名、MACアドレス、IPアドレス 2.お客様が接続しているAPと、お客様のデバイスのおおよその位置 3.WiFiに接続するためにサインイン名を入力しなければならなかった場合、お客様のサインイン名 4.お客様がアクセスしたサイトのドメイン名と、いつ、どのくらいの時間アクセスしたか 5.暗号化されていないトラフィックの全詳細
これは、あなたが雇用主に自分のデバイスに何かをインストールすることを許可していないことを前提としています。また、雇用主がこれらの情報を収集するために必要な特別な手順を実際に踏んでいることも前提としています。最後に、これら5つの項目は、雇用主が自分のネットワーク上にある携帯電話が誰のものかさえ知らない可能性を示唆しています。
この情報量から、雇用主はあなたの携帯電話のモデル、携帯電話にインストールされているアプリ、インターネット上での行動など、多くのことを推測することができます。
とはいえ、当然のことながら、会社のWiFiを使って会社の方針に反することをしてはいけないというのがここでの免責事項です。もし心配なら、会社のWiFiを使わないようにしましょう。