株式会社ライブドア（代表取締役社長兼最高経営責任者　堀江 貴文 東京都新宿区：証券コード4753）は公衆無線LANサービス「D-cubic（ディーキュービック）」を2005年7月末より首都圏一部のエリアで無償試験サービスとして開始し、2005年10月より正式サービスに移行する予定です。

攻撃者は、無線クライアントの側にある基地局から強いシグナルを送って正規のネットワーク接続を混信させ、Evil Twinと呼ばれる偽のアクセスポイントへ誘導する。

　無線インターネットとサイバー犯罪を研究するPhil Noblesは、「Evil Twinのアクセスポイントは、ウェブユーザーにとって危険な存在だ。ワイヤレスネットワークは無線信号によって確立されるので、同じ周波数を使用すれば、正規ユーザーでなくても簡単に通信を傍受できる」と話す。

　ユーザーがEvil Twinにアクセスすると、ハッカーは発信されたデータを盗聴することが可能になる。Evil Twinは偽のログインプロンプトを利用してユーザーをログインさせ、ユーザーネームやパスワードといった個人情報を入力させる。

今日、会社の同僚とした話の内容を少し。既に誰かが言ってることだろうけど。

D-cubicはエリア内なら大体どこでも繋がるというのが売りだが、この特徴を逆手にとってフィッシング詐欺のターゲットにされないか。

SSIDとWEPキーは共通だろうから、そのSSIDとWEPキーを設定した偽のアクセスポイントをサービスエリア内に置く。その配下には本物のWeb認証と同じページが表示されるプロキシを用意しておく。これでカモの使用している、Web認証のIDとパスワードが抜ける。

ついでだから、認証後に通るページにオンラインバンクへのリンクでも貼っておこう。こんなのに引っかかるカモがいるとは思えないけど、ひょっとしたら口座番号、IDとパスワードを入力するカモがいるかもしれない。

場合によってはWeb認証のページをわざとなくして、主なオンラインバンクのURLに対して偽サイトへ誘導するようなDNSサーバを用意してもいいかもしれない。このほうがうっかりでひっかかるカモが多いかも。

まあ、単一のアクセスポイントだけを設置してもそこを利用するユーザがたくさんいるとは思えないので、コストに見合うだけのカモがひっかかることはないだろうから、詐欺をしかける側としてはうまみはないんだろうけど、そんな話で同僚とそれなりに盛り上がったのでここに記録しておく。

まともな話をすれば、Web認証のページでSSLの証明書を確認すること、認証のあとのウエルカムメッセージをしっかり確認すること、こんな程度で充分ユーザは対処できるはずだが。

過去の公衆無線LANスポットでも存在した問題だろうけど、D-cubicの場合は特定スポットで利用する類のものではないのでユーザが気づかなければその存在がばれないだろうという点が大きい。既存サービスの場合は設置場所のスタッフに気づかれる可能性が高い。

最低限、ライブドアとしては早くIEEE802.1xに対応するべきでしょうね。