なりすましWifiスポットの怖さ

帰宅してテレビをつけていたら、「信じるか信じないかは貴方次第です」でおなじみのやりすぎ都市伝説をやっていました。

www.tv-tokyo.co.jp

＞あなたのスマホに忍び寄る恐怖の罠

続いての都市伝説は、“iPhone芸人”かじがや卓哉の「あなたのスマホに忍び寄る恐怖の罠」。普段多くの人が便利に使っているフリーWi-Fiだが、実は“なりすまし”がある…という内容に、スタジオ中に驚きの声が上がる。簡単に情報が知られてしまうネットの恐ろしさに、「俺、疎いから分からんわ」という司会の今田耕司をはじめ、市川紗椰、的場浩司ら観覧ゲストも、自分のスマホに登録している友人のタレントの連絡先が漏れているのでは？と戦々恐々。かじがやが伝授する、罠を阻止する方法も要チェックだ。

（ニコニコニュース記事より引用）

◆キタきつねの所感

フリーWifiスポット（のSSIDを）偽装の脆弱性については、色々なところで警鐘がなられています。しかしIDとパスワードの認証を経ずにWifiのSSIDをクリックするだけで接続完了するようなスポットは、自分のスマホが「自動接続」を可にしてないか、よく注意が必要な事は意外と知られていません。

SSID自体は簡単に偽装できます。例えばスターバックスのWifi（SSID:at_STARBUCKS_Wi2）は結構多くの方が使われているかと思います。

スターバックスのWifiについては、Free Wi-FIスポットエリア（スターバックスの店舗近辺）で使えるわけですが、

f:id:foxcafelate:20180728074319j:plain

　※引用　ご利用方法（スターバックス）

正常であれば、ブラウザを起動してスターバックスの画面で接続ボタンを押さないとWifiは使えません。しかしスマホは一度接続したSSIDを覚えていて、自動接続設定があると、「at_STARBUCKS_Wi2」が近くにあると接続しようとします。仮にその接続先は偽SSIDスポット「at_STARBUCKS_Wi2（偽）」だった場合、スマホが自動接続を試みようとして、フリーWifiである（認証が無い）為に、本人が知らない間に（偽）アクセスポイントに接続してしまう可能性になるのかと思います。スマホが一定間隔でメールチェックを自動的にしている方であれば、もしかするとその認証情報（IDとパスワード）が（偽）アクセスポイントを設置している人に漏れているかも知れません。

こうしたリスクは結構前から記事になっていたかと思います。例えばGizmodo2016年記事では、

www.gizmodo.jp

このほどセキュリティ企業のAvast Softwareは、どれほど多くのスマートフォンユーザーが、セキュリティの危険を無視して、怪しげな無料のWi-Fiスポットへと接続してしまいがちなのかを実証する｢Avast Wi-Fi Hack Experiment｣を敢行。先日スペインのバルセロナで開催されたモバイル・ワールド・コングレス（MWC）への訪問客でにぎわうバルセロナ空港におきまして、4時間におよぶフィールドテストを実施しましたよ。

Avast Wi-Fi Hack Experimentでは、空港内の各所に、一見すると公式Wi-Fiスポットのような｢Starbucks｣や｢Airport_Free_Wifi_AENA｣といったSSIDのアクセスポイントを設置。また、MWCへの登録ブース横には、これまたオフィシャルっぽい｢MWC Free WiFi｣なるSSIDのアクセスポイントをセットアップして、いずれもパスワードで保護されていない、誰でも接続できる状態にしておきました。

すると、わずか4時間で、無防備にも同アクセスポイントへと接続したユーザー数は2,000人を突破！こうしたセキュリティ設定の低い公共Wi-Fiの利用時には必須となるVPNサービスを、きちんと利用していたユーザーはほとんどいなかったんだとか。同社のテストスタッフには、接続ユーザーが、どんなサイトを閲覧し、スマートフォンにはどんなアプリがインストールされているのか、ほぼすべて丸見えとなっていたことが明らかにされていますよ。

（Gizmodo記事より引用）