悪魔の双子

情報セキュリティ > 脆弱性・攻撃手法 > 中間者攻撃 > 悪魔の双子

悪魔の双子（あくまのふたご）、Evil Twin（いびるついん）とは、無線通信を盗聴するために設定された、正規のアクセスポイントを偽装した不正なWi-Fiアクセスポイントのことである^[1]。 悪魔の双子攻撃は中間者攻撃の一種であり、標的の通信を傍受し、改ざんすることができる^[2]。

悪魔の双子攻撃は、無線LANにおけるフィッシング詐欺に相当するものである。 この種の攻撃は、接続を監視したり、詐欺的なウェブサイトを設置し人々をそこに誘い込むフィッシング詐欺によって、無防備なユーザーのパスワードを盗むために使われる恐れがある^[3]。 クレジットカードの番号や、標的のスケジュールを盗むことも可能になる^[2]。

巧妙な攻撃になると、偽のアクセスポイントの名前とMACアドレスが正規のアクセスポイントと同じである^[2]ため、本物と偽物との見分けがつかない。

標的を狙い撃ちにすることもできる。指向性のあるWi-Fiアンテナを用いることによってRSSI（英語版）の強度を増やし、標的を偽のアクセスポイントに誘導する^[4]。

Wi-Fiの暗号化方式がWPA2以前から存在する攻撃であるが、WPA3でも攻撃できる^[5]。

日本国内で悪の双子攻撃によって許可なく他人の通信を盗聴する行為は、不正アクセス禁止法によって禁じられており、刑事罰を受ける可能性がある^[6]。

方法

攻撃者は、偽の無線アクセスポイントを使ってインターネット通信を傍受する。状況を知らないウェブユーザーが攻撃者のサーバーにログインするよう誘導され、ユーザー名やパスワードなどの機密情報を入力するよう促されることがある。多くの場合、事件が発生してからかなり後まで、ユーザーは騙されたことに気づかない。

ユーザーが安全でない（非HTTPS）の銀行や電子メールアカウントにログインすると、その通信内容は攻撃者の機器を通じて送信されるため、攻撃者はそれを傍受する。また攻撃者は、ユーザーの認証情報に関連する他のネットワークに接続することができる。

偽のアクセスポイントは、アクセスポイントとして機能するように無線LANカードを設定することで設置される（HostAPと呼ばれる）。偽のアクセスポイントはすぐに停止できるため、追跡するのは難しい。偽造アクセスポイントには、近くのWi-Fiネットワークと同じSSIDやBSSIDが付与される場合がある。悪魔の双子は、被害者の接続を監視しながらインターネット通信を正規のアクセスポイントを通過するように設定することや^[7]、ユーザー名とパスワードを手に入れたあとシステムが一時的に利用できないと単に示すこともできる^{[8][9][10][11]}。

キャプティブポータルの使用

悪魔の双子攻撃のもとで最もよく使われる攻撃の1つがキャプティブポータルである。

まず初めに、攻撃者は正規のアクセスポイントと同じESSID（アクセスポイントの名前）とBSSID（アクセスポイントのMACアドレス）をもつ偽の無線アクセスポイントを用意する。次に攻撃者は、正規のアクセスポイントへDoS攻撃を実行し、標的の正規のアクセスポイントとの認証を解除する。標的は、正規のアクセスポイントに接続できない状態になる。それ以降、標的が正規のアクセスポイントに接続しようとすると、自動的に攻撃者の用意した偽のアクセスポイントに接続する。攻撃者が正規のアクセスポイントとのトンネルを設置すると、標的は攻撃者の端末を介してネットワークに接続する。攻撃者は標的に対して中間者攻撃を行うことが可能になる^[2]。

標的が偽のウェブポータルでパスワードを入力すると、パスワードが攻撃者に悪用される可能性がある。

関連項目

• サイバー攻撃
• サイバー犯罪
• 中間者攻撃
• フィッシング行為（詐欺）
• KARMA攻撃（英語版） - 悪魔の双子攻撃の変種
• スナーフィング（英語版）
• 無線LANセキュリティ（英語版）

出典

1. ^ Smith, Andrew D. (2007年5月9日). “Strange Wi-Fi spots may harbor hackers: ID thieves may lurk behind a hot spot with a friendly name”. The Dallas Morning News (Washington, DC: Knight Ridder Tribune Business News): p. 1. http://cloud-computing.tmcnet.com/news/2007/05/09/2597106.htm 2007年6月6日閲覧。 
2. ^ ^{a b c d} Master OccupytheWeb "Network Basics for Hackers: How Networks Work and How They Break" Independently published (2023/1/10) pp..87-97
3. ^ Wolfe, Daniel (2007年2月14日). “Security Watch”. American Banker (New York, NY) 172 (31): pp. 7. ISSN 0002-7561. https://www.proquest.com/docview/249873579. "A security firm used an evil twin as a test to obtain passwords from attendees at an RSA security conference" 
4. ^ Fu-Hau Hsu, Min-Hao Wu, Yan-Ling Hwang, Chia-Hao Lee, Chuan-Sheng Wang and Ting-Cheng Chang "WPFD: Active User-Side Detection of Evil Twins" Appl. Sci. 2022, 12(16), 8088
5. ^ Asmaa Halbouni; Lee-Yeng Ong; Meng-Chew Leow "Wireless Security Protocols WPA3: A Systematic Literature Review" IEEE Access ( Volume: 11) 09 October 2023 DOI: 10.1109/ACCESS.2023.3322931
6. ^ e-GOV 法令検索「平成十一年法律第百二十八号 不正アクセス行為の禁止等に関する法律」
7. ^ “Evil Twin with internet access via legitimate access point : Proof of concept”. kalitutorials.net. 2016年9月9日閲覧。
8. ^ Crossman, Craig (2005年8月24日). “Computer Column”. Washington, DC: Knight Ridder Tribune Business News 
9. ^ Kirk, Jeremy (2007年4月25日). “′Evil Twin′ Hotspots Proliferate”. Network World (IDG News Service). https://www.networkworld.com/article/2298370/lan-wan/-evil-twin--wi-fi-access-points-proliferate.html 
10. ^ “'Evil twin' threat to Wi-Fi users”. CNN. (2005年1月20日). https://edition.cnn.com/2005/TECH/internet/01/20/evil.twins/ 
11. ^ Biba, Erinwork (2005年3月15日). “Does Your Wi-Fi Hotspot Have an Evil Twin?”. PC World. http://www.pcworld.com/news/article/0,aid,120054,00.asp 

外部リンク

 

ウィキメディア・コモンズには、悪魔の双子に関連するカテゴリがあります。

• “Jasager – Karma on The Fon”. digininja.org. 2010年6月18日閲覧。 Rogue AP software.
• “Wifiphisher a tool for Evil Twin Attack” (2019年5月29日). 2021年5月28日閲覧。