giraphantのブログ

全ては豊かな人生を送るために

「機密の刃」解説② -Free WiFiの危険性を知る-

f:id:giraphant:20210601144539p:plain

 

ここでは、ITセキュリティの従業員教育を楽しく行うために作ったゲーム、機密の刃の解説をしたいと思います。
今回はカフェのステージについての解説です。

スムーズにクリアできた方も、新たな気づきがあるかもしれません。
敵を知り己を知れば百戦殆からず。攻撃者の心理を知って、防御力を高めましょう!

ネットワークに接続する

図1 Free Wifiに接続する

インターネットに接続されていないと何もできませんから、まずはネットワーク接続をします。図1①を押すとABC-Cafe-Freeという名前のネットワークを見つけられました。このカフェ(おそらくABC-Cafe)では、強固なパスワードもかかっておらず、Free WiFiが誰でも使えるようになっているようですね。しめしめ。
これに繋げたら、何か悪いことができそうです。

なぜなら、同じネットワークにアクセスしているしている人であれば、その人の通信を傍受できる可能性があるからです。ひとまず、この接続ボタンを押してみましょう(図1②)。すると無事ネットワークに接続できたはずです。

通信傍受を試行する

世の中には、ネットワーク分析をするためのツールがあります。これを使って、同じFree WiFiに接続している人の通信を傍受してしまおうと思います。

メールを傍受する

図2 メールの傍受

まずはNetwork Analyzerアイコン(図2①)をクリックして、カフェにいる誰かが送信したメールを傍受します(図2②③)。

するとタイミングよく、メールを送信した人がいたようですね。しかもFensebreakの従業員からの送信。機密情報が含まれている様です。ラッキー!

Webページ閲覧を傍受する

続いて、このFree WiFiにつないでいる誰かが閲覧しているWebページを傍受してみましょう。同様に、図2の画面から「Webページ閲覧」を選択して傍受します(図2③)。

図3 Webページ閲覧傍受

すると、http://account.bocobocks.com/login にアクセスしてidとpasswordを入力した人がいるようです。このidとpasswordをどこかに控えておいてください。

bocobocksから機密情報をゲットする

図4 bacobocksへのログイン

bacobocks…ファイル共有サイトか何かでしょうか。先ほど控えたidとpasswordを使ってbacobocksにログインします。すると、機密情報がゲットできましたね。しかもFensebreakの機密情報だったようです。ラッキーです。

補足

ここで終わってしまうと、誤解を与えかねないので、補足させていただきます。

Free WiFiの傍受について

ここで、「え?Free WiFiを使うだけでこんなに簡単に盗み見られてしまうの?」と不安に思った方も多くいらっしゃるかと思います。そこで、少し補足させてください。

現在では、暗号化などのセキュリティ対策がなされているサービスやWebサイトも多くあります。なので、メールやインターネットの通信を、容易に理解できる形で盗み見られることはあまりないでしょう。しかし可能性はゼロとは言い難いです。この世には十分なセキュリティ対策を行えているサービスばかりではないからです。

そのため何らかのサービスを利用する際には、セキュリティ対策が適切に施されているもの信頼性の高いものを選定する必要があります。もしあなたの会社で推奨されているサービスがあるのであれば、それを使うべきです。

では「セキュリティ対策が適切に施されているもの」とは?「信頼性の高いもの」とは?と思われると思います。これは非常に難しい議論です。ただ、各製品のホームページなどを見ると製品の安全性や大企業で使われている事例が記載されていたりするので、そのあたりを総合的に見て判断する必要があります。

またWebサイトについては、URLの記載がhttp~か、https~か、というのも一つの指標になると思います。httpsは暗号化されていますから、本ステージであなたが傍受したのように、簡単に通信の中身を見られるようなことはないでしょう。bocobocksはhttpなので中身が丸見えだったのですね。
しかも、ログイン画面で間違ったIDを打ち込むと「登録されていない」というエラーが出ます。攻撃者からしたら、どのIDが存在するか知り得てしまうので、こうした点でも、このサービスはイケてないのです。bocobocksのセキュリティはボッコボッコです。

因みに以前は個人情報入力などの一部のページにのみhttpsを利用しているWebサイトが多かったのですが、近年ではすべてのページにおいてhttpsを使っているWebサイトが増えてきています。もはやhttpsは常識なんですね。

というと、httpsだから安心^^ と思ってしまうかもしれませんが、これは間違い!上記の通り、近年ではどのサイトもhttpsを使っているのです。そう、犯罪者が用意る悪意のあるサイトにも。なので、httpsだから大丈夫、という話でもないのです。

Free WiFiの危険性

「とりあえず安全なサービスを利用すれば、Free WiFiを使っても問題ないんだね!」と思われたかもしれませんが、そうでもないのです。

たとえば皆さんが使っているPCやスマホ。システムのアップデートがしょっちゅうありますよね。あの中にはセキュリティに関するアップデートがあったりもします。リリースした後にセキュリティ上の問題(脆弱性)が見つかることが多く、それを修正する必要が出てくるからです。
「リリース後に脆弱性が見つかる」というのは決して特別なことではありません。凄腕のハッカーがよく見つけるんですよ。中にはホワイトハッカーと呼ばれる正義のハッカー鬼滅の刃で言う珠世さんと愈史郎みたいな感じかな?)がこんなところに脆弱性見つけたよ。早く直した方がいいよ。と報告してくれたりします。そうした報告があると、その脆弱性を悪用されて攻撃されてしまわないよう、ベンダーは急いで直します。
ここで重要なのは、脆弱性を見つけるのが必ずしもホワイトハッカーではないことホワイトハッカーの報告から脆弱性修正までにタイムラグがあること。また、必ずしもユーザー全員がシステムのアップデートをやっているとは限らないこと、です。

例えばあなたはスマホを、Free WiFiにつなげたとします。このスマホはセキュリティアップデートされていません。すると攻撃者はあなたのスマホのOSバージョンを確認して「しめしめ。このOSには脆弱性があるはずだ。この脆弱性を利用して情報を抜き取ってやろう」などと考えるわけですよね。
もしあなたのスマホが、常にシステムアップデートされる設定になっていたとしても、脆弱性報告から修正の間に攻撃を仕掛けられる可能性もあります。(ゼロデイ攻撃といいます。)

以上からFree WiFiの利用はお勧めしません。がしかし、Free WiFiは便利なので使いたい気持ちもわかります。そのためFree WiFiを絶対に使うな、と言うつもりもありません。こうしたリスクを理解したうえで自己責任で、会社で使わない私用のスマホやPCをFree WiFiに接続する分には良いと考えています。
一方、会社で使うPCやスマホに関しては、企業の資産の漏洩にもつながる可能性があるため、会社のルールに従って行動する必要があるでしょう。

まとめ

さて。思ったよりも補足が長くなってしまいました。
でも、補足した内容は非常に大切です。ここで知っていただきたかったことを以下にまとめます。

  • 出来るだけ安全性・信頼性の高いサービスを利用する。
    (会社推奨のサービスがあれば、それを利用する)
  • httpsのサイトは暗号化されているが、必ずしも安全ではない。
  • 会社のPCやスマホはFree WiFiにつなげない。
  • 会社で使わない私用PCやスマホをFree WiFiにつなげる際は自己責任で。

皆さんが便利なFree WiFiを安全に使えますように…