安全対策が不十分な公共Wi-Fiスポットの利用に関する警告記事を少なくとも一度は読んだことがあるでしょう。つまり、盗聴者がそうしたネットワークを流れる情報を盗聴できるということです。しかし、盗聴の実態を目の当たりにすることほど、その真意を効果的に理解できるものはありません。そこで先日、地元のコーヒーショップに立ち寄り、電波を吸収して何が見えるか試してみました。
私の目的は誰かのコンピュータやデバイスをハッキングすることではなく(それは違法です)、ただ盗聴することでした。これは、誰かのCB無線やトランシーバーの会話を盗聴するのと似ています。CB無線やトランシーバーと同様に、Wi-Fiネットワークは公共の電波を利用しており、近くにいる人なら誰でも受信できます。
ご覧の通り、カフェ、レストラン、空港、ホテルなどの公共のホットスポットでは、機密性の高い通信を傍受するのは比較的簡単です。メール、パスワード、暗号化されていないインスタントメッセージなどを盗み取ったり、人気ウェブサイトへの安全対策が不十分なログイン情報を乗っ取ったりすることも可能です。幸いなことに、ノートパソコン、タブレット、その他のWi-Fi機器を外出先で持ち歩いている間も、オンラインアクティビティを保護する方法があります。それらについても触れていきます。
ウェブページのキャプチャ
コーヒーショップでノートパソコンを開き、無線ネットワークアナライザーの無料トライアルを使ってWi-Fi信号(技術的には802.11パケット)をキャプチャし始めました。キャプチャされたパケットはリアルタイムで画面に表示され、私が読み取るよりもはるかに速かったので、数分後にキャプチャを中止し、吸い込んだものを分析しました。注:これらのスクリーンショットのいずれかをクリックすると、読みやすい拡大版が表示されます。
まず、他のホットスポット利用者がどのようなウェブサイトを閲覧しているかを確認するために、HTMLコードを含むパケットを検索しました。他の利用者のアクティビティは確認できましたが、特に興味深いものはなかったので、スマートフォンで自分のウェブサイト(www.egeier.com)にアクセスしました。
HTMLコードが含まれた生のパケットは意味不明な文字に見えましたが、上の写真のように、試用したネットワークアナライザーでパケットを再構成し、通常のウェブページビューとして表示できました。フォーマットが若干ずれていて、一部の画像が欠落していましたが、それでも十分な情報が得られました。
訪問中、他にメールを送受信している人はいませんでしたが、スマートフォンをホットスポットに接続した状態で送受信したテストメッセージは見つかりました。アプリを使ってPOP3で暗号化せずにメールサービスに接続しているため、メッセージと一緒にログイン情報も見えていたかもしれません(スクリーンショットではユーザー名とパスワードをぼかしています)。
これは、誰かが自分のメールクライアントを設定して私のアカウントを利用し、メールを受信できるようにするために必要な情報です。また、私のアカウントからメールを送信できるようになる可能性もあります。
Wi-Fi信号を捕捉しながら、Yahoo!メッセンジャーを使ってメッセージを送信してみました。案の定、このツールは空中からその情報も拾ってしまいました。暗号化されていないインスタントメッセージングサービスをプライバシーを期待して使用してはいけません。
FTPログイン資格情報の取得
ファイルのダウンロード、アップロード、共有にFTP(ファイル転送プロトコル)を使用している場合は、セキュリティ保護されていないホットスポット経由での接続は避けてください。ほとんどのFTPサーバーは暗号化されていない接続を使用しているため、ログイン認証情報とコンテンツの両方が平文で送信され、盗聴者によって簡単に盗聴されてしまいます。
ノートパソコンを使用して自分の Web サーバーの FTP サーバーに接続しているときに、ログイン ID とパスワードを含むパケットをキャプチャすることができました。これらの詳細情報により、近くの盗聴者が私の Web サイトに自由にアクセスできるようになります。
アカウントの乗っ取り
盗聴の被害に遭う可能性があるのはコンピューターだけではありません。私は、ルート化された予備のAndroidスマートフォンでDroidSheepというアプリを実行しました。このアプリは、Gmail、LinkedIn、Yahoo!、Facebookといった人気Webサービスのプライベートアカウントにアクセスするのに利用されます。
DroidSheepは、人気ウェブサイトへの安全でないログイン情報を探し出し、リスト化します。これらのサイトのパスワードは取得できませんが、脆弱性を悪用することで、他のユーザーの現在のセッションを使用してサイトを開き、そのアカウントに完全にアクセスできるようになります。
下のスクリーンショットからわかるように、DroidSheep は、ホットスポットに接続していた他の人からの Google、LinkedIn、Yahoo のログインと、私が別のスマートフォンで行った Facebook ログインを検出しました。
もちろん、他の人のログインに合法的にアクセスすることはできませんでしたが、自分の Facebook ログインを開設しました。
これを実行すると、そのデバイスからユーザー名やパスワードを入力しなくても、ルート化された Android スマートフォンで Facebook アカウントに魔法のようにアクセスできるようになりました (右下の画面を参照)。
Wi-Fiホットスポットを安全に使用する方法
誰かがあなたの Wi-Fi を盗聴することがいかに簡単かがわかったので、ある程度のセキュリティを確保しながら公共ホットスポットを使用する方法を次に示します。
- ウェブサイトにログインする際は、必ず接続が暗号化されていることを確認してください。URLアドレスはhttpではなくhttpsで始まっている必要があります。
- また、オンラインセッション中は常に接続が暗号化されていることを確認する必要があります。Facebookなどの一部のウェブサイトでは、ログイン時に暗号化を行ってから安全でないセッションに戻るため、前述のようにハイジャックされる危険性があります。
- 多くのサイトでは、セッション全体を暗号化するオプションが用意されています。Facebookでも、セキュリティ設定でセキュアブラウジングを有効にすると、この機能を利用できます。
- メールを確認する際は、Webブラウザからログインし、接続が暗号化されていることを確認してください( URLの先頭にhttpsが含まれていることを確認してください)。Outlookなどのメールクライアントをご利用の場合は、POP3、IMAP、SMTPアカウントの暗号化が有効になっていることを確認してください。
- 暗号化されていない FTP やその他のサービスは絶対に使用しないでください。
- Web 閲覧やその他のすべてのオンライン アクティビティを暗号化するには、VPN (仮想プライベート ネットワーク) を使用します (方法についてはこの記事で説明します)。
- プライベートネットワークにも同様の脆弱性があることに留意してください。近くにいる人なら誰でもネットワークを盗聴できるのです。WPAまたはWPA2セキュリティを有効にすると、Wi-Fiトラフィックが暗号化され、実際の通信内容は見えなくなりますが、そのパスワードを知っている人なら誰でもネットワーク上を流れるパケットを盗聴できるようになります。これは、ユーザー間の盗聴を防ぐWPAまたはWPA2セキュリティのエンタープライズ(802.1X)モードを使用していない中小企業にとって特に重要です。
