今週、悪魔の双子攻撃と呼ばれる 20 年近く前からある古い Wi-Fi ハッキング技術が使われたというニュースが大きく注目されました。悪魔の双子攻撃は、既知の攻撃ベクトルであるにもかかわらず、適切な保護対策なしに防ぐのは困難である状態が続いています。そこで今回の記事では、ロシアのハッカーがこの技術をどのように使って Wi-Fi ネットワークに侵入したのか、また、このような攻撃をどのように防ぐことができるのかを解説します。

Wi-Fi スパイの逮捕

米国司法省は、ロシアの軍事機関である GRU に所属するハッカーを、悪魔の双子アクセスポイント（AP）攻撃によって機密データを無線で不正取得した罪で告発しました。これまでに判明した情報によれば、ロシアの GRU のメンバーはこの攻撃を開始するために、コロラド州、ブラジル、カナダ、モナコ、およびスイスのアンチドーピング機関、ウェスティングハウス・エレクトリック・カンパニーの原子力発電施設、スイスのシュピーツ化学試験所、オランダの化学兵器禁止機関を始めとする組織の標的とするビルの近くに車を停めたとされており、彼らの車から、次のような装置が見つかりました。

• 使用する機器の給電用バッテリー
• 悪魔の双子 AP となる、標的のビルで使われているのと同じか類似する SSID をブロードキャストする、Wi-Fi Pineapple
• ビル内の全方向に信号を送り出す高利得指向性 Wi-Fi アンテナ
• Wi-Fi Pineapple や標的へのインターネット接続に利用する 4G モデム
• 標的から盗んだ情報を収集するためのストレージ付き小型コンピュータ

悪魔の双子 AP 攻撃とは

悪魔の双子 AP 攻撃は、初期の Wi-Fi から存在していた Wi-Fi セキュリティの根本的な問題を悪用するものです。ノートパソコン、タブレット、スマートフォンなどの Wi-Fi ネットワークに接続するデバイスには、同じ SSID 名をブロードキャストする 2 つの AP を区別する方法がありません。これを悪用することで、トラフィックを盗聴したり、機密情報を不正取得したりするトラフィックを盗聴や機密情報を取り出すことができる不正 AP をハッカーがセットアップすることができます。

攻撃者は、Wi-Fi パワーアンプと高利得アンテナを使用して信号の強度を強くすることで攻撃を開始し、認証解除のフレームを送信することで、標的であるクライアントを正規の AP から一時的に切断します。クライアントデバイスは直ちに同じ SSID に再接続を試行することで、エンドユーザへのシームレスな接続を維持しようとします。悪魔の双子 AP は同じ SSID をブロードキャストしますが、信号強度が強いため、クライアントはその AP に自動接続してインターネットアクセスを確立し直します。これで、攻撃者がデバイスを行き来するすべてのトラフィックを傍受できるようになるわけです。さらには、マルウェア、ボットネット、バックドアなどの不正ペイロードを悪魔の双子 AP に接続している標的のデバイスにロードすることもできます。

図 1 – 通常の Wi-Fi 接続では、Wi-Fi クライアントが 正規の AP に 接続し、インターネットにアクセスする

図 2 – 悪意の双子攻撃：不正 AP が同じ SSID 名をブロードキャストする（正規の AP の MAC アドレスをスプーフィングする場合もある）

図 3. – GRU のメンバーの 1 人のレンタカーの実際の写真（情報提供元：Wired）

図 4. – GRU のメンバーの 1 人のレンタカーの実際の写真（情報提供元：BBC）

悪魔の双子 AP を止められるか

20 年近くも前からあるこの Wi-Fi 攻撃の方法が今も使われているというのは、大きな驚きですが、残念ながら、Wi-Fi ベンダのコミュニティは、これらのレイヤ 2 の Wi-Fi セキュリティの解決が困難であると判明して以来、スループット、レンジ、クライアント密度などの最適化を優先するようになりました。Wi-Fi をサービスとして成功させるために、職場、家庭、外出先で誰もが利用できるようにしたことは極めて重要ですが、セキュリティが置き去りにされる時代があまりにも長く続きました。朗報と言えるのは、ウォッチガードを始めとする企業が、セキュアなクラウド管理型の特許取得済みの無線侵入防止システム（WIPS）ソフトウェアを動作させて悪魔の双子 AP 攻撃を自動的に検知し、防止することで、この問題の解決に取り組むようになったことでしょう。

Wi-Fi セキュリティには、これ以外にもどのようなリスクがあり、我々にどのように影響するのか

Wi-Fi セキュリティは難しい技術分野であり、多くのベンダがセキュリティに関するさまざまなメッセージを発信することで、混乱が深まるばかりの状況にあります。この業界全体の課題を解決するため、ウォッチガードは、「Trusted Wireless Environment Framework」を発表しました。これは、テクノロジに依存しないフレームワークであり、高速、容易な管理、そしてさらに重要な点として、6 つの既知の Wi-Fi 脅威のカテゴリの攻撃の検知と防御を可能にする完全 Wi-Fi ソリューションが構築されます。

• 不正 AP – セキュリティ境界を回避する
• 悪魔の双子 AP – ユーザを誘導して接続させて、トラフィックを傍受したり、データを盗んだり、システムを感染させたりする
• 近隣の AP – 許可された AP の範囲内にある状態で他の SSID に接続することで、感染のリスクにさらされる
• 不正クライアント – 不正 AP への接続後に、不正ペイロードをネットワークに送り込む
• アドホックネットワーク – ピアツーピア接続を使ってセキュリティ制御を回避し、マルウェア感染のリスクにさらす
• 構成ミスの AP – 構成エラーの結果として、ネットワークが攻撃のリスクにさらされることになる

これまでは Wi-Fi AP のセキュリティ高価をテストする業界標準の方法が存在しませんでしたが、IT やセキュリティの独立系検査会社である Miercom が最近、主要 AP ベンダである、Cisco Meraki、Aruba、Ruckus、ウォッチガードの製品を対象とする、業界初の Wi-Fi セキュリティテストを実施しました。そのレポートをこちらからダウンロードしてお読みいただき、現在お使いになっている Wi-Fi が Trusted Wireless Environment Framework で定義されたセキュリティ標準を満たしていることをご確認ください。

悪魔の双子 AP 攻撃の教育ビデオ

この記事の締めくくりとして、ウォッチガードが制作した、駐車場に停めた車からの悪魔の双子 AP 攻撃の解説も含む、映画仕立ての教育ビデオをご紹介します。このビデオをご覧いただくと、GRU のメンバーによる悪魔の双子攻撃が我々と無関係ではないことをお分かりいただけるはずです。