Evil Twin(イーブル・ツイン、悪魔の双子)とは、公衆無線LAN(ホットスポット)などにおいて偽のアクセスポイント(AP)を立ちあげ、そこにアクセスしてきたユーザーのパスワードやクレジットカード情報を盗み出す行為です。無線LANフィッシング、アクセスポイントフィッシング、Wi-Fiフィッシング、またはWiフィッシングなどと呼ばれることもあります。利用者からは、正規アクセスポイントのSSIDと区別することができません。
Interop2005でメジャーに
ラスベガスで開催された有名なコンピュータ展示会「Interop2005」の会場で Evil Twin が発見されました。
セキュリティ企業 AirDefense社が会場の Evil Twin の状況を調べたところ、25カ所の Evil Twin を検出しました。中でも、Extreme Networks社が提供しているフリーの無線アクセス・ポイント「free_extreme」になりすましている Evil Twin では、Webページのどこかをクリックすることでコンピュータ・ウイルスが自動的にダウンロードされるようになっていました。
セキュリティ企業 AirDefense社が会場の Evil Twin の状況を調べたところ、25カ所の Evil Twin を検出しました。中でも、Extreme Networks社が提供しているフリーの無線アクセス・ポイント「free_extreme」になりすましている Evil Twin では、Webページのどこかをクリックすることでコンピュータ・ウイルスが自動的にダウンロードされるようになっていました。
Evil Twin の仕組み
公衆無線LANサービスのために用意されているアクセス・ポイントの近くに偽のアクセス・ポイントが置かれます。
偽のアクセス・ポイントといっても、専用のハードは必要はありません。無線LANに対応しているノートPCにアクセス・ポイント用ソフト(Host APなど)を導入することで、ノートPCがアクセス・ポイントに変身します。この偽ポイントのトップページは、本物のページに似せてデザインしておきます。犯罪者は、ノートPCでネットサーフィンしているように見せかけ、カモが引っ掛かるのを待っているわけです。
Windows XPでは、公衆無線LANサービス業者から通知されたESS-IDとWEPキーを設定すると、一番電波の強いアクセス・ポイントへ自動接続するようになっています。ところが、正規のアクセスポイントより Evil Twin の方の電波が強い場合、利用者は何も知らされないまま Evil Twin に接続してしまいます。
Evil Twinは、パスワード、アカウント情報、クレジッドカード番号といった個人情報を盗むことはもちろんのこと、悪意のあるコンピュータ・ウイルスをばらまきます。
偽のアクセス・ポイントといっても、専用のハードは必要はありません。無線LANに対応しているノートPCにアクセス・ポイント用ソフト(Host APなど)を導入することで、ノートPCがアクセス・ポイントに変身します。この偽ポイントのトップページは、本物のページに似せてデザインしておきます。犯罪者は、ノートPCでネットサーフィンしているように見せかけ、カモが引っ掛かるのを待っているわけです。
Windows XPでは、公衆無線LANサービス業者から通知されたESS-IDとWEPキーを設定すると、一番電波の強いアクセス・ポイントへ自動接続するようになっています。ところが、正規のアクセスポイントより Evil Twin の方の電波が強い場合、利用者は何も知らされないまま Evil Twin に接続してしまいます。
Evil Twinは、パスワード、アカウント情報、クレジッドカード番号といった個人情報を盗むことはもちろんのこと、悪意のあるコンピュータ・ウイルスをばらまきます。
Evil Twin による SSID偽装
攻撃者は、無線のビーコンフレームから、SSID名、暗号化方式、使用チャネル、BSSID(MACアドレス)を取得します。これともとに、SSIDを完全に同一に設定し、御マジ暗号化方式を設定。無電電波の出力を本物より強くします(または被害者に近づけます)。
多くの端末は、過去に接続したSSIDを記憶しており、同じSSIDが見つかると自動的に接続してしまうため、この偽装した SSIDに接続してしまうのです。
さらに [Deauthentication攻撃]といって、正規アクセスポイントに接続中の端末へ「切断通知」を偽装送信し、再接続時に Evil Twin へ誘導するという攻撃方法もあります。
多くの端末は、過去に接続したSSIDを記憶しており、同じSSIDが見つかると自動的に接続してしまうため、この偽装した SSIDに接続してしまうのです。
さらに [Deauthentication攻撃]といって、正規アクセスポイントに接続中の端末へ「切断通知」を偽装送信し、再接続時に Evil Twin へ誘導するという攻撃方法もあります。
「公共Wi-Fiを避ける」は時代遅れのアドバイスか?
「ハックロアを止めろ」サイトでは、2025年(令和7年)11月24日に、専門家たちが時代遅れのセキュリティアドバイスを止めてほしいという書簡を公開しました。この中で、「公共Wi-Fiを避ける」は時代遅れのアドバイスと断じています。
ハックロアとは、ハッキングと民間伝承、つまりデジタルセキュリティに関する現代の都市伝説を組み合わせた造語です。ハックロアには根拠がなく、一般の人々が実際に遭遇する日常的な脅威ではなく、スパイスリラー風のドラマチックな攻撃を防ぐことに重点を置いているといいます。
ハックロアを止めろの目的は、すべての人々に、セキュリティに関する正しい知識・意識を広めることにあります。彼らがハックロアと呼ぶ情緒的なHowToではなく、原理を知って、事実に元すいた手段で防衛することを期待しています。
これは正しい活動ですが、実際問題として、すべての人々がそこまでリテラシーを高められるとは限りません。
また、上述したように、過去に公衆Wi-Fiによる事故やリスクが発生しています。
そこで、「無料Wi-Fiスポットでのメールやカード決済は禁忌」というアドバイスは堅持します。
ハックロアとは、ハッキングと民間伝承、つまりデジタルセキュリティに関する現代の都市伝説を組み合わせた造語です。ハックロアには根拠がなく、一般の人々が実際に遭遇する日常的な脅威ではなく、スパイスリラー風のドラマチックな攻撃を防ぐことに重点を置いているといいます。
ハックロアを止めろの目的は、すべての人々に、セキュリティに関する正しい知識・意識を広めることにあります。彼らがハックロアと呼ぶ情緒的なHowToではなく、原理を知って、事実に元すいた手段で防衛することを期待しています。
これは正しい活動ですが、実際問題として、すべての人々がそこまでリテラシーを高められるとは限りません。
また、上述したように、過去に公衆Wi-Fiによる事故やリスクが発生しています。
そこで、「無料Wi-Fiスポットでのメールやカード決済は禁忌」というアドバイスは堅持します。
対策はあるか
アクセス・ポイント側が IEEE802.1x のような認証システムを導入してくれない限り、利用者側でとれる対策はほとんどありません。
WEPやWPAで暗号化された公衆無線LANサービスだからといって安心せず、メールやオンラインショップをするのは避けるべきです。
WEPやWPAで暗号化された公衆無線LANサービスだからといって安心せず、メールやオンラインショップをするのは避けるべきです。
(この項おわり)
