悪魔の双子
From Wikipedia, the free encyclopedia
悪魔の双子(あくまのふたご)、Evil Twin(いびるついん)とは、無線通信を盗聴するために設定された、正規のアクセスポイントを偽装した不正なWi-Fiアクセスポイントのことである[1]。悪魔の双子攻撃は中間者攻撃の一種であり、標的の通信を傍受し、改ざんすることができる[2]。
悪魔の双子攻撃は、無線LANにおけるフィッシング詐欺に相当するものである。この種の攻撃は、接続を監視したり、詐欺的なウェブサイトを設置し人々をそこに誘い込むフィッシング詐欺によって、無防備なユーザーのパスワードを盗むために使われる恐れがある[3]。クレジットカードの番号や、標的のスケジュールを盗むことも可能になる[2]。
巧妙な攻撃になると、偽のアクセスポイントの名前とMACアドレスが正規のアクセスポイントと同じである[2]ため、本物と偽物との見分けがつかない。
標的を狙い撃ちにすることもできる。指向性のあるWi-Fiアンテナを用いることによってRSSIの強度を増やし、標的を偽のアクセスポイントに誘導する[4]。
Wi-Fiの暗号化方式がWPA2以前から[要説明]存在する攻撃であるが、WPA3でも攻撃できる[5]。
日本国内で悪の双子攻撃によって許可なく他人の通信を盗聴する行為は、不正アクセス禁止法によって禁じられており、刑事罰を受ける可能性がある[6]。
方法
攻撃者は、偽の無線アクセスポイントを使ってインターネット通信を傍受する。状況を知らないウェブユーザーが攻撃者のサーバーにログインするよう誘導され、ユーザー名やパスワードなどの機密情報を入力するよう促されることがある。多くの場合、事件が発生してからかなり後まで、ユーザーは騙されたことに気づかない。
ユーザーが安全でない(非HTTPSの)銀行や電子メールアカウントにログインすると、その通信内容は攻撃者の機器を通じて送信されるため、攻撃者はそれを傍受する。また攻撃者は、ユーザーの認証情報に関連する他のネットワークに接続することができる。
偽のアクセスポイントは、アクセスポイントとして機能するように無線LANカードを設定することで設置される(HostAPと呼ばれる)。偽のアクセスポイントはすぐに停止できるため、追跡するのは難しい。偽造アクセスポイントには、近くのWi-Fiネットワークと同じSSIDやBSSIDが付与される場合がある。悪魔の双子は、被害者の接続を監視しながらインターネット通信が正規のアクセスポイントを通過するように設定することや[7]、ユーザー名とパスワードを手に入れてから、単にシステムが一時的に利用できなくなっていますと表示することもできる[8][9][10][11]。
キャプティブポータルの使用
悪魔の双子攻撃のもとで最もよく使われる攻撃の1つがキャプティブポータルである。
まず初めに、攻撃者は正規のアクセスポイントと同じESSID(アクセスポイントの名前)とBSSID(アクセスポイントのMACアドレス)をもつ偽の無線アクセスポイントを用意する。次に攻撃者は、正規のアクセスポイントへDoS攻撃を実行し、標的の正規のアクセスポイントとの認証を解除する。標的は、正規のアクセスポイントに接続できない状態になる。それ以降、標的が正規のアクセスポイントに接続しようとすると、自動的に攻撃者の用意した偽のアクセスポイントに接続する。攻撃者が正規のアクセスポイントとのトンネルを設置すると、標的は攻撃者の端末を介してネットワークに接続する。攻撃者は標的に対して中間者攻撃を行うことが可能になる[2]。
標的が偽のウェブポータルでパスワードを入力すると、パスワードが攻撃者に悪用される可能性がある。
