Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

なりすましWifiスポットの怖さ

帰宅してテレビをつけていたら、「信じるか信じないかは貴方次第です」でおなじみのやりすぎ都市伝説をやっていました。

www.tv-tokyo.co.jp

 

>あなたのスマホに忍び寄る恐怖の罠

続いての都市伝説は、“iPhone芸人”かじがや卓哉 の「あなたのスマホに忍び寄る恐怖の罠」。普段多くの人が便利に使っているフリーWi-Fiだが、実は“なりすまし”がある…という内容に、スタジオ中に驚きの声が上がる。簡単に情報が知られてしまうネットの恐ろしさに、「俺、疎いから分からんわ」という司会の今田耕司をはじめ、市川紗椰的場浩司ら観覧ゲストも、自分のスマホに登録している友人のタレントの連絡先が漏れているのでは?と戦々恐々。かじがやが伝授する、罠を阻止する方法も要チェックだ。

ニコニコニュース記事より引用)

 

◆キタきつねの所感

フリーWifiスポット(のSSIDを)偽装の脆弱性については、色々なところで警鐘がなられています。しかしIDとパスワードの認証を経ずにWifiSSIDをクリックするだけで接続完了するようなスポットは、自分のスマホが「自動接続」を可にしてないか、よく注意が必要な事は意外と知られていません。

SSID自体は簡単に偽装できます。例えばスターバックスWifiSSID:at_STARBUCKS_Wi2)は結構多くの方が使われているかと思います。

スターバックスWifiについては、Free Wi-FIスポットエリア(スターバックスの店舗近辺)で使えるわけですが、

f:id:foxcafelate:20180728074319j:plain

 ※引用 ご利用方法(スターバックス)

 

正常であれば、ブラウザを起動してスターバックスの画面で接続ボタンを押さないとWifiは使えません。しかしスマホは一度接続したSSIDを覚えていて、自動接続設定があると、「at_STARBUCKS_Wi2」が近くにあると接続しようとします。仮にその接続先は偽SSIDスポット「at_STARBUCKS_Wi2(偽)」だった場合、スマホ自動接続を試みようとして、フリーWifiである(認証が無い)為に、本人が知らない間に(偽)アクセスポイントに接続してしまう可能性になるのかと思います。スマホが一定間隔でメールチェックを自動的にしている方であれば、もしかするとその認証情報(IDとパスワード)が(偽)アクセスポイントを設置している人に漏れているかも知れません。

 

こうしたリスクは結構前から記事になっていたかと思います。例えばGizmodo2016年記事では、

www.gizmodo.jp

このほどセキュリティ企業のAvast Softwareは、どれほど多くのスマートフォンユーザーが、セキュリティの危険を無視して、怪しげな無料のWi-Fiスポットへと接続してしまいがちなのかを実証する「Avast Wi-Fi Hack Experiment」を敢行。先日スペインのバルセロナで開催されたモバイル・ワールド・コングレス(MWC)への訪問客でにぎわうバルセロナ空港におきまして、4時間におよぶフィールドテストを実施しましたよ。

 

Avast Wi-Fi Hack Experimentでは、空港内の各所に、一見すると公式Wi-Fiスポットのような「Starbucks」や「Airport_Free_Wifi_AENA」といったSSIDのアクセスポイントを設置。また、MWCへの登録ブース横には、これまたオフィシャルっぽい「MWC Free WiFiなるSSIDのアクセスポイントをセットアップして、いずれもパスワードで保護されていない、誰でも接続できる状態にしておきました。

 

すると、わずか4時間で、無防備にも同アクセスポイントへと接続したユーザー数は2,000人を突破! こうしたセキュリティ設定の低い公共Wi-Fiの利用時には必須となるVPNサービスを、きちんと利用していたユーザーはほとんどいなかったんだとか。同社のテストスタッフには、接続ユーザーが、どんなサイトを閲覧し、スマートフォンにはどんなアプリがインストールされているのか、ほぼすべて丸見えとなっていたことが明らかにされていますよ。

(Gizmodo記事より引用)

 

比較的「意識高い系」のMobile World Congressの来場者も「Free_Wifi」の偽装にひっかかる実験結果が出ていますし、

 

オープンなWi-Fiスポットの利用は安全でないことくらい、多くの人が認識していることだ。とはいえ、たとえその点を認識していても、スマートフォンの設定次第では、自動的に(安全でないものも含め)Wi-Fiスポットへ接続してしまうことは、あまり認知されていない。

(Gizmodo記事より引用)

 

今回のTV番組で懸念として出されていた、Wfiiアクセスポイント(SSID)への自動設定の怖さも、詳細には書かれていませんが、出ていました。

 

最近では、西日本の豪雨被害に関しての注意喚起が総務省から出されていますが、これも無料無線LANに対して、悪いことを考える人がいる事、つまりコノ手の被害が増えてきている事を示唆しています。

www.soumu.go.jp

偽アクセスポイントであっても、被害を受けずにすむ方法、つまり利用者側の対策としては、プライベートVPN位しか私は思いつきません。とは言え、VPNソフトを使う方は少ないと思いますので、多くの方への対策にはならない気がします。

アクセスポイントを気をつけるといっても、簡単にSSIDは変えられる(偽装できる)ので、パッと見は見分けがつきませんし、ましてや最初の接続で「自動接続」を許可してしまっている場合は、自分が知らない間に接続してしまう可能性もありますので、、、

 

やはり、「自動設定」を外しておくか、無線を使いたい時だけ自分の知っている「アクセスポイント」を確認して手動接続する(普段はWifiを切っておく)程度しか防衛策を考えられません。

 

そうした意識をもてない利用者は・・・「タダ(無料)ほど怖いものは無い」という事をどこかで身をもって知ってしまう、かも知れませんね。

 

「Free Wi-Fi」のイラスト文字

 

更新履歴

  • 2018年7月28日AM(予約投稿)