第724号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 専務理事/上級分析官)
題:「オフィスと自宅の Wi-Fi 接続端末をサイバースパイから守る」

 昨年から今年のかけてのある時期において、特殊性が高いと思われたセキュリティ事案が、調べていくうちに想定以上の規模で被害が発生していたことが判明した。その被害組織から要請を受ける形で、筆者が対処および再発防止の支援を行い、すでにクローズしているものであるが、その後の被害組織とのディスカッションの中で、判明した手口により被害を受け続けている組織が国内に相当数存在しているのではという疑念が湧いてきた。そこで、被害組織から大変有難い許可をいただき、本コラムで紹介させていただくこととなった。

 筆者としては、被害組織の利益保護を最優先するポリシーで支援活動に臨んでいるため、事案発生の時期・場所、組織の業種・規模などは一切触れず、第三者からご質問に対してお答えすることはないことを了承いただきたい。

 この事案の発端は、内部者あるいは委託先からの内部情報の漏洩疑惑であった。経営層や事業部長クラスが、競合他社の幹部クラスとの何気ないやり取りの中で、自組織の内部者あるいは委託者しか知り得ない「不都合な情報」が含まれていたことに懸念を抱いた。さらに、SNSに書き込まれた自組織の悪評の中に伝聞調ではあったが、漏洩を決定づけても不自然ではない「特定の文字列」が確認された。そこで、関係者限りで調査を始めたが、内部者あるいは委託先に不審なところは見当たらず、原因究明は暗礁に乗り上げた。その後、SNSに持続的に書き込まれる悪評の中に、最近の内部資料にしか記載されていない「特定の文字列」が見られる現象が数回続いた。

 そこで、外部専門家の協力を得るという流れになり、筆者が調査支援に入ることになった。具体的な調査のプロセスや内容は伏せるが、次のような状況が判明した。
•SNSに書き込まれた複数種の「特定の文字列」は、内部者A、内部者Bおよび委託先の担当者Cに閉じた形でやり取りしていた資料のみに含まれていた。
•その資料のやり取りは、有名なファイル共有サービスの「リンク共有」で行われていた。(非常に長い文字列のリンクをクリックするだけで、ファイルをダウンロードできる機能を利用。)
•在宅勤務中の内部者Bは、家族が設定したWi-Fiルーターにアクセスしてインターネット接続をしていた。そのWi-Fiルーターに設定した SSID が常に2つ現れていたが、内部者Bは、特に気にせずに繋がる方に接続していた。
•内部者Bのマンションの部屋のすぐに横に(外国人の在籍が多い)大学の校舎があり、その校舎からマンションの複数の部屋のWi-Fiルーターに設定されたSSIDと同じ名前のものが出力されている可能性が高い。(内部者Bが、家族に頼んでSSIDを変更したところ、その日のうちに、それと同じ名前のSSIDが現れた。)

 このような判明事項を受けて、同領域の別事業を手掛けている他の内部者や委託先にまで調査範囲を拡大したところ、複数の内部者と委託先において同様な事象(業務環境において2つの同じSSIDが出現)が確認された。その一箇所において「リンク共有」でファイル送受を行っていた。これが、「競合他社の幹部クラスとの何気ないやり取り」で得られた「不都合な情報」と繋がるものであった。

 被害組織の意向により、誰がどのような目的で行っていたかを追求するための調査を行っていないが、このような状況証拠から、このセキュリティ事案は、典型的な「悪魔の双子攻撃(evil twin)」により発生したと強く推定された。おそらく、この行為者は「Wi-Fi で正規のアクセスポイントを偽装して、標的ユーザーを自ら設定した Wi-Fi ルーターを経由させてることで、標的ユーザーのWebアクセス先のURL情報を不正に取得していた」と思われる。内部者等が業務上の資料の共有のために、非常に長い文字列のリンクによる共有機能を利用していたが、パスワードによる設定がなかったため、その行為者あるいは第三者が容易に不正取得することができたはずである。

 この事案に対する対策や改善事項については触れないが、一般論として、悪魔の双子攻撃による被害を軽減させる方策として、次のようなものを挙げることができる。
•Wi-Fi利用時には、必ずVPNを利用する。
•HTTPSサイトのみを閲覧する。
•Wi-Fi 自動接続を無効にする。
•公共Wi-Fiには絶対に接続しない。
•上記の対策が困難な場合、Wi-Fi接続時において「ログイン」や「公開を前提としてない資料等のダウンロード」を一切行わない。

 最近のブラウザソフトウェアには、これらの対策を助けるための機能や設定が組み込まれている。また、最新の Windows 11、MacOS、iOSには、Wi-Fiアクセスの安全性を高める設定が備わっているため、是非利用していただきたい。
•参考:Wi-Fi ルーターと Wi-Fi アクセスポイントの推奨設定
https://support.apple.com/ja-jp/HT202068

 しかし、日本の官公庁が公表している Wi-Fi利用者向けマニュアルには、「最近では偽のアクセスポイントが報告されています。・・・・ 少しでも不審な点があれば、利用をあきらめる決断も必要です。」とあるが、悪魔の双子攻撃の場合、「不審な点」を見抜くことが困難であることが配慮されていない。また、「正しいURLでHTTPS通信をしているかを確認しよう」とあるが、一部の地方自治体のウェブサイト(lg.jpドメイン)は、依然として HTTP のアクセスしか許していない。
•参考:Wi-Fi利用者向け 簡易マニュアル(令和2年5月版)
https://www.soumu.go.jp/main_sosiki/cybersecurity/wi-fi/

 したがって、日本の官公庁から、実態に即した対策情報が提供されることは期待できないと言える。これまで何度も繰り返されてきたように、多くの組織が同種の被害を受けるという「多大な犠牲を払って」はじめて、官公庁において必要な知識体系が構築されていくと考える。そのため、それぞれの企業は、最近のサイバー脅威、特に「Wi-Fiを介したサイバースパイ活動」からオフィスと自宅を守る自助努力をする必要がある。

 筆者は、このコラムの読者の方々に、「潜在化しているリスクを積極的に見つける姿勢(アクティブ・ディフェンスの重要事項の一部)」を持っていただきたいと願っている。
 最後に、本事案について被害拡大防止の観点から、一部公表の許可を頂いた被害組織に深く感謝申し上げる。

【著作権は、名和氏に属します】