HBO の「シリコンバレー」に Wi-Fi Pineapple を使った中間者攻撃が登場
HBO の「シリコンバレー」は、カリフォルニアのシリコンバレーが舞台の愉快なテレビドラマです。この番組の主な登場人物は、パイド・パイパーというスタートアップ企業の数人のソフトウェア開発者とインキュベータであるアーリックです。このドラマには、カリフォルニアだけでお目にかかるであろう、「VR」という言葉を使えば何百万ドルも出資してくれるベンチャーキャピタリストや、投資家を騙してスタートアップ企業の評価を不当に引き上げる場面が登場します。
HBO の番組で Wi-Fi 中間者攻撃が大きく取り上げられる
数週間前に放送されたシーズン 4 の第 9 話「Hooli-con」には、Wi-Fi Pineapple を使った Wi-Fi 中間者攻撃が登場しました。パイド・パイパーは、トレードショーの参加者が会場の Wi-Fi に接続する際に自分たちのモバイルアプリをダウンロードさせることを思いつきました。その方法として、「アプリストア」のハッキングを考えましたが、難題が多く、法的リスクも高いため、諦めました。彼らが次に考えた方法は正に、ウォッチガードのセキュア Wi-Fi が伝えてきたメッセージを地で行く、Wi-Fi Pineapple をトレードショーの周辺に置いて本物の「トレードショー」の SSID に見せかけ、来場者の電話を接続させるというものでした。Wi-Fi Pineapple に接続すると、トレードショーのポップアップに見せかけた偽ポータルのスプラッシュページが表示されますが、そこには、Wi-Fi にアクセスするために「トレードショーのアプリ」をダウンロードするよう要求するボタンが表示されます。このアプリは実際にはパイド・パイパーのアプリなのですが、トレードショーの参加者は Wi-Fi がハッキングされたことをまったく知りません。
映画やドラマだけの話なのか
このような話は映画やドラマだけの出来事のように思えますが、そうではありません。Wi-Fi Pineapple は、誰でもオンラインで 99 ドルからという低価格で手に入れることができ、これを使えば、実際の AP とユーザの間に「中間」アクセスポイントを設定し、罪のないユーザを接続することができます。接続が完了すると、攻撃者はユーザのすべてのトラフィックを見ることができ、暗号化されていないユーザ名、パスワード、クレジットカード番号を盗み、「シリコンバレー」の場合は、非正規アプリをインストールするよう仕向けます。
Web サイトが HTTPS で暗号化されていれば問題ないはずでは…
残念ながら、攻撃者がユーザを接続させることに成功すれば、SSL ストリップ や SSL スプリットと呼ばれる方法で Web ページの HTTPS 暗号化をバイパスすることもできるのです。HSTS(HTTP Strict Transport Security)は、HTTPS よる接続だけを許可するようにブラウザに指示する HTTP ヘッダですが、ユーザが Web サイトに 1 回以上アクセスしないと有効になりません。つまり、ユーザがサイトにアクセスしたことがなければ、ブラウザで HSTS が強制されることなく、ユーザ名、パスワード、クレジットカードなどの入力フォームのテキストボックスを含む Web サイトの情報が平文の HTTP で表示される可能性があります。したがって、SSL ストリップがブラウザを欺いてどの Web サイトも初めてのアクセスだと思い込ませ、すべての Web ページを暗号化されていない HTTP でレンダリングするように仕向けることができるのです。
この Wi-Fi 中間者攻撃は、トレードショーの TRT(Tactical Review Team)が Wi-Fi Pineapple の使用を疑い、専用に設計された高性能アンテナによる一掃作戦で Pineapple を特定したために、計画通りに進むことなく、Pineapple が特定されて、次々と排除されることになりました。TRT のメンバは、自分の目とバックパックに入った高性能アンテナ、高価な RF 機器、バッテリを使って WINDS(無線不正侵入検知)のジョブを遂行しますが、Wi-Fi Cloud で管理されるウォッチガードのアクセスポイントは、これと同じジョブを不眠不休で実行し、食事、水、給料も必要ありません。番組のように Wi-Fi Pineapple を探して引っ張り出すのではなく、ウォッチガードの AP に搭載されている特許取得済み WIPS(無線不正侵入防止システム)テクノロジが自動的に Pineapple を無力化します。
結論
Wi-Fi 中間者攻撃は今も活発であり、世界中の Wi-Fi サービスの利用者が攻撃の標的となる可能性があります。接続時にスプラッシュページで要求される情報が正しいものであること、また、接続しようとする Wi-Fi ネットワークで WIPS が使われていることを確認することが重要です。