はじめに
みなさまは、フリーWi-Fiに潜んでいる「悪魔の双子(Evil Twin)」を知っていますか。名前から攻撃手法を想像しにくい面がありますので、下に、攻撃を受けた例をご紹介したいと思います。
Aさんは通り沿いにオープンしたばかりのカフェにやってきました。カフェの名前は「パンとバター」。雰囲気の良いカフェで、Wi-Fiサービスもあるようです。早速、ノートパソコンを取り出しました。 ネットワーク設定には、すぐに「パンとバター Wi-Fi」というSSID(店内フリーWi-Fiの名前)が表示されました。この店のWi-Fiだろうと考え、早速接続します。
Aさんはお気に入りのソーシャルメディアサイトを閲覧し、電子メールにアクセスし、オンライン銀行口座で決済が行われたかどうかを確認しました。その翌日、Aさんは大変なことに気づきます。
なんと、オンライン銀行の残高が0円になっていたのです。もしやと思い、電子メールを確認すると、自分が送信した覚えのないメールが多数送信されていました。アドレス帳に登録された全員の連絡先に、マルウェアのダウンロードリンクが送り付けられていたのです。慌ててソーシャルメディアサイトも確認すると、「ビットコインが安く手にはいる」という詐欺めいた書き込みが、自分のアカウントで大量に投稿されていました。これらの原因は、カフェにいたハッカーが「悪魔の双子」を使い、Aさんのオンライン銀行や電子メールのログイン情報を始めとする、閲覧したデータの情報を盗み出したためです。こうして、Aさんは「悪魔の双子」の犠牲者になってしまいました。
悪魔の双子(エビルツイン)とは
悪魔の双子とは、正規のWi-Fiスポットになりすました不正なWi-Fiスポットのことです。
用語解説ページはこちら 悪魔の双子解説 https://www.jtc-i.co.jp/glossary/evil-twin.html
ハッカーは、本物のWi-Fiが持つMACアドレスとSSIDをコピーして、エリアに悪魔の双子のアクセスポイントを設置します。 例えば、このようなコーヒーショップを考えてみましょう。「Cute Cafe Wi-Fi」というWi-Fiスポットがあり、カフェの中に設置された無線アクセスポイントから通信されています。
ハッカーは、ノートパソコンといくつかの機器を組み合わせて、客席のテーブルから同じSSIDのWi-Fiを通信させます。
見た目は全く同じSSIDです。そして、電波が強いという特徴があります。悪魔の双子を運用する際、ハッカーは電波の強度を高める機器を使っていることが多いためです。利用客は、心理的に電波の強いSSIDを選択したくなります。
さらに危険な例もあります。ノートパソコンやスマートフォンが、電波の強いSSIDを自動的に選択する場合です。 例えば、リゾートホテルに滞在する際、ホテルのWi-Fiに何度も接続しなおすのは手間です。そこで、ホテル滞在中は自動的にホテルのWi-Fiへ接続できるように、「自動的に接続」する設定を使ったことはありませんか。この設定にしていると、各デバイスが悪魔の双子が発信する電波の範囲内に入った瞬間、悪魔の双子に自動的に接続してしまうのです。端末は、 両方のSSIDを識別した場合、デフォルトで電波の強い方を選択してしまいます。
ハッカーは、手段を選ばない
もしも、正規SSIDの電波強度も高い場合は、ハッカーはこのような行動をすることがあります。正規のWi-Fiを発信する無線アクセスポイントへDOS攻撃を行い、Wi-Fiサービスを使用不能にしてしまうのです。その結果、正規のWi-Fiに接続していた全員の無線接続が解除されます。そして、デバイスが再接続する際に悪魔の双子を選択します。 これは、公衆Wi-Fiネットワークにおいて簡単に実行できる攻撃方法です。
悪魔の双子に接続したデバイスに対して、ハッカーはその信号を盗聴し、デバイスの通信を乗っ取ることができます。 通信データを監視したり、認証情報を盗んだり、クライアントを悪意のあるウェブサイトにリダイレクトさせてマルウェアをダウンロードさせたり、偽サイトへ誘導してオンライン認証情報を盗み取ったりできます。このように、見返りが大きいため、ハッカーたちは、情報を得るためにどんな手段でも使うのです。
ハッカーは、人の心理を読んで悪魔の双子を設定する
例えば、地方のコーヒーショップが、Wi-Fiサービスを導入しました。店主は煩雑な設定を嫌い、SSIDをわざわざ変更しませんでした。いわゆる、デフォルト運用です。 この場合、SSIDは無線アクセスポイントの型番や、英数字の羅列となります。そんな店にやってきたハッカーは、そのコーヒーショップの名前を含むSSIDを使ってWi-Fi電波を発信するのです。すると顧客は間違った推測の元、ハッカーが用意した店舗名入りのWi-Fiを選択する可能性が高くなります。
また、リゾートホテルのプールエリアに、「〇〇ホテル プールエリア」というSSIDを持つWi-Fiスポットを作ることもあります。利用客は、「このホテルはプールエリアにもWi-Fiスポットを作っているんだな。良いサービスだ」と考えて、疑いなく接続してしまうでしょう。
悪魔の双子に、どう対処すればよいか
悪魔の双子は、このように厄介な攻撃です。Wi-Fiサービスを提供する企業・店側も、そのサービスを受ける利用者側も、対策が必要になります。
利用者側が行える対策
- Wi-Fiを配信しているSSIDを、施設側に必ず確認する。これで、誤った推測をして悪魔の双子を選択してしまうことを防ぐことができます。
- 接続したい公式Wi-Fiスポットにパスワード入力欄がある場合、あえて間違ったパスワードを入力する。 あからさまに間違った文字を入力しているにも関わらず接続できた場合、それは悪魔の双子である可能性が高いです。
- 持っているワイヤレスデバイスにおいて、Wi-Fiへの自動接続を無効にする。これで、悪魔の双子に自動的に接続することはありません。
- インターネット検索時に、証明書の要求など、あまり見たことがない情報を求められた場合は、施設の担当者にすぐ確認する。
- 数時間おきに手動でWi-Fiを切断する。Wi-Fiスポットに手動で再接続してパスワードを入力、接続を確認します。
事業主・経営者側が行える対策
- 顧客に提供するWi-Fiサービスの名称を、顧客全員が確認できる目立つ場所に掲示する。Wi-Fiスポットをパスワード(パーソナルセキュリティキー/PSK)で保護し、そのキーを顧客に提供する手段を用意する。
- 自分の所持している端末を使って顧客が利用するエリアをチェックする。公式のSSIDになりすましたWi-Fiスポットがないかを調査し、必要に応じて顧客に警告します。
- 悪魔の双子や、ハッカーが別のWi-Fiスポットを構築している疑いがある場合は、すぐにネットワークの専門家へ連絡し、検証を依頼する。悪魔の双子攻撃の場合は、犯人が自分のすぐ傍にいる場合もあります。専門家へ連絡し、防犯カメラの情報を残しておくと安心です。
悪魔の双子のように、ハッカーがネットワーク環境に直接介入をしてくる場合は、ウェブ上での無差別攻撃よりも、対処に手間がかかる場合があります。また、悪魔の双子を発見するソリューションはまだ多くはありません。利用者のWi-Fi利用状況を確認しながらチェック体制を構築し、Wi-Fiサービスを提供する事が大切になります。
軽い気持ちでWi-Fiスポットを運用し、大切な情報を抜き取られる例は実際に存在しています。危険なWebサイトをブロックするWebフィルタリングや監視製品などを併用しながら、Wi-Fiスポットを安全に運用・利用していきましょう。
参考ページ How to Detect and Escape Evil Twin Wi-Fi Access Points