20 年前のハッキングが今なお多くの Wi-Fi アクセスポイントの有効な攻撃方法である理由
Wi-Fi は、世界中で最も広く利用されている無線ネットワーキングプロトコルであり、20 年近く前から存在しますが、当時は、無線を標的にする多くの攻撃からのレイヤ 2 の保護が考慮されることがありませんでした。ウォッチガードのプロダクトマネジメント担当で Wi-Fi のエキスパートである Ryan Orsi が Dark Reading の寄稿記事で、Wi-Fi のセキュリティへの取り組みが無線業界全体で遅れている現状を説明し、最大の Wi-Fi 脅威の 1 つである悪魔の双子 AP について解説しています。
悪魔の双子 AP は、802.11 無線を使用して正規の Wi-Fi アクセスポイントと同じ SSID をブロードキャストすることで、ユーザのデバイスを本来の AP ではなく、攻撃者のデバイスへと誘導します。誘導が成功すると、ユーザのトラフィックフローが攻撃者の AP を通るようになるため、攻撃者がユーザのトラフィックを操作したり、インターネットアクセスを傍受したりできるようになります。Ryan の記事から、この攻撃によるユーザにとってのリスクを説明している部分を抜粋し、以下に紹介します。
「この一連のプロセスによって、攻撃者が MitM の足掛かりを確立し、パケットを抜き取ったり、リモートアクセスを可能にするマルウェアやバックドアをユーザのデバイスに挿入したりできるようになります。MitM の足掛かりが確立されれば、Wi-Fi セッションを攻撃者が完全に制御できるようになります。これらのサイバー犯罪では、既知のツールを使ってソーシャルサイトやメールホスティングのプラットフォームで多く利用されているログイン方法をコピーし、平文の認証情報を傍受して本物の Web サイトに転送して、そのユーザとしてログインします。攻撃されたユーザには、いつもと変わらないログインのように見えますが、実際には、認証情報が攻撃者の手に渡っているのです。」
悪魔の双子は、ハッカーの間では広く知られており、極めて有効な攻撃手段でもあります。米国司法省は最近、悪魔の双子 AP を使って認証情報を盗み、ドーピング違反団体や化学試験研究機関などの標的をマルウェアに感染させたとして、GRU(ロシア連邦軍参謀本部情報総局)のスパイを告発しました。
それでは、このような攻撃を防ぐには、どうすれば良いのでしょうか。個人レベルで悪魔の双子攻撃からトラフィックを保護するには、Wi-Fi に接続する際に VPN(仮想プライベートネットワーク)を使用します。企業レベルでは、WIPS(無線侵入防止システム)を使用する Wi-Fi ソリューションを採用することで無線攻撃を検知し、防止できますが、ソリューションによって効果にばらつきがあるため、注意が必要です。Miercom が最近実施した、主要ネットワークベンダの AP 製品のテストによれば、Wi-Fi 脅威の既知のすべてのカテゴリを自動的に検知し、防止できることが確認されたのは、ウォッチガードの Secure Wi-Fi アクセスポイントだけでした。
このことは、Wi-Fi 業界におけるセキュリティに対する取り組みが抱える大きな問題の一部に過ぎません。過去数年間の研究開発費のほとんどが AP の無線範囲の拡大、スループット、接続性の向上に費やされてきた一方で、セキュリティについてはほとんど無視されてきました。ウォッチガードは、このような問題を解決するため、高速、容易な管理、そして何よりも重要な点として、セキュリティも兼ね備えた完全 Wi-Fi ネットワークの構築を可能にする、Trusted Wireless Environment Framework を開発しました。Wi-Fi セキュリティのどのような脅威が存在し、それらの脅威からの保護を可能にするにはどのようにネットワークを設計する必要があるかを知らなければ、悪魔の双子攻撃などの脅威がなくなることはありません。
悪魔の双子攻撃の詳細については、Dark Reading の Ryan の記事全文(英文)を参照してください。Wi-Fi セキュリティの詳細については Secplicity のこちらの記事を、悪魔の双子のデモについてはこちらのビデオをご覧ください。