アメリカでは、ホテルや空港の無線ホットスポットで限定的に行われるフィッシング詐欺が増加している。日本にも上陸するかもしれないので注意したい。
アメリカの事例
無線セキュリティ監視製品ベンダーの米 AirDefense は、2005年(平成17年)5月10日に発表したセキュリティ警告の中で、無線ホットスポット提供企業の正規のログインサイトに見せ掛けた偽のWebサイトを設置して、ユーザーをおびき寄せるフィッシングが増えていることを指摘している。ユーザーが個人識別情報を入力して偽サイトにログインすると、45種類ものウイルスがコンピュータに送り込まれてしまうという。
AirDefenseは、このフィッシング攻撃を仕掛けるクラッカーは、ホテルや空港のビジネス客のような、カード支払をする人間をターゲットにしていると説明している。
AirDefenseは、このフィッシング攻撃を仕掛けるクラッカーは、ホテルや空港のビジネス客のような、カード支払をする人間をターゲットにしていると説明している。
2005年(平成17年)1月にインターネットを襲ったEvil Twinが、この種のフィッシング攻撃の原型だと言われている。Evil Twinは、アクセスポイント・フィッシング攻撃と呼ばれ、攻撃者が正規のホットスポットと偽って自分のノートPCや携帯デバイスにユーザーを接続させるものだ。ユーザーが接続すると、攻撃者は個人情報や機密情報を明かすように仕向けることができる。
対策は
AirDefenseは、今回の攻撃の犠牲にならないようにいくつかの安全対策を取るよう勧めている。
- ホットスポットで自分のアカウントにアクセスするときは、Webブラウザの右下隅にSSL(Secure Sockets Layer)の鍵のマークが表示されるWebサイトでのみパスワードを入力すること。
- ホテルや空港のラウンジなど、誰が接続しているか分からないホットスポットは避けること。
- ホットスポットでは、アカウント番号やパスワードが必要になるオンライン購入などの取引はせず、Web閲覧にのみ利用すること。
- ホットスポットにアクセスしていないときは、無線LANカードを無効にするかPCから抜いて、他人が自分のマシンにアクセスするのを防ぐこと。
- ホットスポットでは、電子メールやIMなどセキュアでないアプリケーションは使わないこと。
参考サイト
- ホットスポットでのメールは禁忌:ぱふぅ家のホームページ
- セキュリティを意識していない無線LANスポットはどれだけ危険か!?:memn0ck.com
- 公衆無線LANサービスにおけるセキュリティ技術:無線LAN研究室
(この項おわり)
