なるほど!セキュリティ 情報共有編 第54回 悪魔の双子攻撃と地方公共団体での対策について
地方自治
2024.04.22
この資料は、地方公共団体情報システム機構発行「月刊J-LIS」2023年12月号に掲載された記事を使用しております。
なお、使用に当たっては、地方公共団体情報システム機構の承諾のもと使用しております。
なるほど!セキュリティ 情報共有編 第54回
悪魔の双子攻撃と地方公共団体での対策について
はじめに
月刊J-LISの2023年度8月号では、本コーナーでフィッシングをテーマとし、主にウェブサイトやメールなどのアプリケーション利用の場面でのフィッシングについて解説しました。今月号では、アプリケーション利用におけるフィッシングではなく、インフラ利用におけるフィッシング詐欺として、悪魔の双子攻撃を解説します。
悪魔の双子攻撃
悪魔の双子攻撃とは、Wi-Fiを利用する際に受けるおそれのあるフィッシング詐欺です。現在、多くの人々は、スマートフォンあるいは、パソコン(以下「端末」という。)などの利用時にWi-Fiを利用した経験があると思われます。Wi-Fiは、アクセスポイントという中継器に対して無線通信を行い、中継器からインターネットやローカルエリアネットワーク(LAN)へと通信する方式です。
アクセスポイントへは、SSIDと呼ばれるWi-Fiネットワークに割り当てられた識別子を指定することで接続します。現在の端末であれば、端末の設定に現在利用可能なアクセスポイントのSSIDが表示され、一覧で確認ができるようになっています。アクセスポイントのSSIDは、アクセスポイントを設置した人が自由に設定することができます(図-1)。
悪魔の双子攻撃は、このSSIDを悪用したフィッシング詐欺です。攻撃者は既にある正規のアクセスポイントと同じ名前、あるいは似た名前のSSIDでアクセスポイントを設置します。そして、その偽のアクセスポイントを中継する通信があったとき、ネットワークを流れる内容を盗聴することで情報の詐取などを行います。例えば、旅行先で宿泊するホテルで、無料のWi-Fiのアクセスポイントが設定されていたとします。このSSIDが「〇〇ホテル_フリーアクセスポイント」という分かりやすい名称であったとします。このようなとき、悪意のある攻撃者は「〇〇ホテル_フリーアクセスポイント2」「〇〇ホテル_フリーアクセスポイント_予備」「〇〇ホテル_フリーアクセスポイント_高速回線」などという名前でSSIDを設定します。このとき、「〇〇ホテル_ フリーアクセスポイント」を設定した本人であれば、どれがホテルの正規のアクセスポイントであるのか判断できるでしょう。しかし、宿泊客はどうでしょうか?先程の三つの偽Wi-Fiのうち、前の二つの名前であれば敢えて接続する人は少ないでしょう。しかし、最後の偽アクセスポイントであれば、心理的にそちらを選んでしまいかねません(図-2)。
このように、悪意のある攻撃者が設置した無線アクセスポイントに誘導されてしまった場合、利用者がネットワーク上でやり取りした内容は、悪意のある攻撃者に盗み取られてしまう可能性があります。例えば、インターネット上のウェブサイトを閲覧していれば、その閲覧情報や入力情報を詐取されるおそれがあります。もし、利用者がインターネットショッピングでクレジットカード番号を入力していたとしたら、その情報まで詐取される可能性があるのです。
また、アクセスポイントには利用するためのパスワードが設けられているケースが多いですが、悪魔の双子攻撃で偽のアクセスポイントを正規のものと誤認してしまった場合、利用者は偽のアクセスポイントに対して、正規のパスワード情報を入力するおそれもあります。正規のアクセスポイントの接続先が組織内のLANであった場合、このようなパスワードの詐取は、悪意のある攻撃者が組織内のネットワークに侵入するための足掛かりを与えてしまうことになります。
悪魔の双子攻撃の対策
このように、悪魔の双子攻撃はSSIDが自由に設定できることを利用したフィッシング詐欺です。この対策は、他のフィッシング詐欺と同様で、偽のアクセスポイントに接続しないという考え方になります。しかし、それが利用者側が個人で行う対策なのか、利用する組織の中での対策なのか、住民の方々へ利用させるときに実施する対策なのかによってアプローチの仕方が異なるので注意が必要です。
(1)利用者側での対策
悪魔の双子攻撃に対する利用者側での対策は非常に簡単です。危険だと思われる場所やアクセスポイントの利用を避ければ、悪魔の双子攻撃を避けることは簡単です。しかし、どうしても利用しなければならないとき、例えば、宿泊先のホテルでフリーのアクセスポイントを利用しなければならないといったときには、このような攻撃があることを踏まえて確認をしてください。もし、ホテル内で利用案内がでているSSIDと同じ、あるいは、似たようなSSIDがある場合には、ホテルの管理者に問い合わせてみるとよいでしょう。また、悪魔の双子攻撃に関わらず、一般的なセキュリティ対策となりますが、パスワードの設けられていないアクセスポイントの利用は特に注意が必要です。パスワード設定のされていないアクセスポイントは、悪意のある攻撃者が情報の詐取のためにわざとアクセスポイントを利用しやすいように設定しているということが考えられるからです。そして、このようなアクセスポイントは通信を暗号化しません。そのため、利用者の通信が平文で飛び交うことになり、情報漏洩のリスクが非常に高まります。どうしても、やむをえずパスワード設定のないアクセスポイントを利用する場合には、通信内容を暗号化するために、VPNサービスも同時に利用してください。
(2)組織内での対策
現在、多くの組織では、事務所にWi-Fiを設置し、インターネット、あるいは組織内のLANに接続する環境を整えているでしょう。このような場合、悪魔の双子攻撃から守るべき対象は、組織のメンバー全員となります。組織一人ひとりのセキュリティの意識を高めて悪魔の双子攻撃から自衛するというのも大切ですが、組織のセキュリティという点ではそれだけでは不十分です。組織での対策では、全員が悪魔の双子攻撃のリスクがないように管理、監視ができることです。すなわち、ネットワーク設定の一元管理となります。現在の多くの職場ではBYODを禁止し、組織で用意した端末を利用させているでしょう。そこで、端末の購入と配付だけではなく、ネットワーク設定については、あらかじめ利用できるネットワーク設定を施しておき、組織のメンバー個人で自由に設定することができないようにするのも一つの防衛手段となります。
(3)住民の方々への対策
組織における対策は、組織内のメンバーに対してだけではありません。地方公共団体、あるいは行政機関においては、住民の方々に対して、フリーアクセスポイントを公開していることも多いでしょう。このような場合、アクセスポイントを利用する住民の中には、悪魔の双子攻撃というセキュリティリスクがあることすら知らない人がいるケースも少なくないでしょう。そのため、アクセスポイントを公開する組織側で、できる限り対策をするべきです。例えば、アクセスポイントのSSIDとパスワードは、利用者に対して、きちんと正しい情報が伝わるような案内を出すことが重要です。住民の方々、すなわち不特定多数の人々に向けてアクセスポイントを公開する場合には、SSIDとパスワードを張り紙で案内を出して、利用したいと考える人がはっきりと情報を得られるようにするというのは一つの手段です。
また、悪魔の双子攻撃で設置されたアクセスポイントは、不特定多数の人々に対して、自身が設置されているという情報を知らせなければならないため、正規のアクセスポイントの設置者は、監視をすることで、偽のアクセスポイントが設置されたということを知ることができます。もし、公開しているアクセスポイントと同じ、あるいは似たような名前のSSIDのアクセスポイントが見つかった場合には、その出所を調査する、公開している正規のアクセスポイントのSSIDを変更するといった運用も検討してください。
さらに、Wi-Fiはその仕様上、障害物に弱く、屋外でも最大で500m、屋内であれば100mの距離までしか有効ではないとされています。住民の方々にフリーアクセスポイントを提供する場合には、外部からの電波が届きにくい屋内の一部のエリアに留めるのも、監視などその他の対策を行う上でのサポートになるでしょう。
【出典・参考文献】
・「Evil Twin(エビルツイン/悪魔の双子攻撃)」とは─意味をわかりやすく─IT用語辞典 e-Words
https://e-words.jp/w/Evil_Twin.html
・「フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと」ジュピターテクノロジーblog(jtc-i.co.jp)
https://blog.jtc-i.co.jp/2022/12/webtitan_eviltwin.html
・「ロシアの軍事機関メンバーによるWi-Fiハッキング─悪魔の双子攻撃の詳細」UTM/NGFWでマルウェア・標的型攻撃対策|ウォッチガード・テクノロジー(watchguard.co.jp)
https://www.watchguard.co.jp/security-news/russian-wi-fi-hacking-evil-twin-attacks-explained.html