全2295文字
テレワークの導入で会社や自宅以外でも仕事をする機会が増えた。スマートフォンのテザリングを使えばどこでもインターネットに接続できる。ただ、通信料を抑えたいとか、データ通信の残り枠が不足した「ギガが足りない」状態になると、公衆Wi-Fiを使いたくなる。ただ、無料のサービスには無料だからこその怖さがある。
例えば、ホテルのロビーなどに用意されている無料の公衆Wi-Fiは、接続に必要な「SSID」と「パスワード」が掲示されていたりスタッフに聞けば簡単に教えてくれたりする。パスワードは「パスフレーズ」や「セキュリティーキー」と呼ぶこともある。正確には、「プリシェアードキー(事前共有鍵)」と呼ぶ。
このため、攻撃者が正規のサービスと全く同じのSSIDとパスワードのアクセスポイントを設置できてしまう。この攻撃を「悪魔の双子攻撃」と呼ぶ場合がある。この攻撃にはどんな危険性があるだろうか。実際に試してみた。
奥にあるWi-Fiルーターを正規のアクセスポイント、手前のアクセスポイントを攻撃者のアクセスポイントに見立てて実験した
(出所:粕淵 卓)
[画像のクリックで拡大表示]
偽物のアクセスポイントに接続されてしまう
まず、アクセスポイントの設定画面を見てみよう。設定はとても単純である。ホテルなどの正規のサービスのSSIDとパスワードが分かっていれば、それを入力するだけで偽物のアクセスポイントを設置できる。
アクセスポイントはSSIDがすでに設置されているものと重複していても、エラーを出さないのが一般的である。こうした設定は可能である。
正規のアクセスポイントで使うSSID「SOL-LAB-wifi」を別のアクセスポイントにも割り当てた
(出所:粕淵 卓)
[画像のクリックで拡大表示]
