悪魔の双子攻撃（エビルツイン）とは？ わかりやすく10分

エビルツイン攻撃は、正規のWi-Fiと同じ、または紛らわしいSSIDを名乗る偽アクセスポイントへ利用者を接続させ、通信の盗聴や偽ログイン画面への誘導を狙う攻撃です。公衆Wi-Fiで発生しやすく、企業の来客用Wi-Fiや社内Wi-Fiを装う形でも行われます。

SSIDは見た目だけなら容易にまねられるため、「名前が同じだから正規のWi-Fi」とは判断できません。被害を抑えるには、SSIDの確認、自動接続の見直し、VPNの利用、多要素認証、端末更新、企業側の無線LAN運用ルールを組み合わせる必要があります。

サイバー攻撃とは？ 種類と対策をわかりやすく解説 | ネットアテスト

企業が活動を続けるなかでセキュリティ対策は欠かせません。情報化が進んだことで企業が持つ情報の価値は高まり、サイバー攻撃の標的になるようになったからです。適切なセキュリティ対策を取るためには、サイバー攻撃の種類についてもしっかりと理解しておく必要があります。この記事では、企業が注意...

netattest.com

エビルツイン攻撃とは

エビルツイン攻撃の定義

エビルツイン攻撃とは、正規の無線アクセスポイントを装った偽アクセスポイントを設置し、利用者の端末を接続させるサイバー攻撃です。攻撃者は、正規Wi-Fiと同一または似たSSIDを設定し、利用者に正規ネットワークだと思わせます。

偽アクセスポイントに接続した端末の通信は、攻撃者の機器を経由します。その結果、暗号化されていない通信の盗聴、偽ログイン画面への誘導、認証情報の窃取、通信内容の改ざんといった被害につながる場合があります。

エビルツイン攻撃が起きやすい場所

エビルツイン攻撃は、利用者がWi-Fi名を見ただけで接続しやすい場所で発生しやすくなります。具体的には、カフェ、ホテル、空港、駅、展示会場、商業施設、コワーキングスペースなどです。

企業にとっても無関係ではありません。オフィス周辺、出張先、イベント会場で、社名や来客用Wi-Fiに似たSSIDが使われると、従業員が誤って接続する可能性があります。業務端末が偽アクセスポイントに接続すると、業務アカウントや社内システムへのアクセス情報が狙われます。

フィッシングや中間者攻撃との関係

エビルツイン攻撃は、単独の攻撃というより、複数の攻撃手法と組み合わされることが多い攻撃です。偽アクセスポイントに接続させた後、偽ログイン画面へ誘導する場合はフィッシング詐欺に近い被害になります。

また、通信経路の途中に攻撃者が介在する点では、中間者攻撃の一種として扱えます。暗号化されていない通信では内容を盗み見られる可能性があり、暗号化されている通信でも偽サイトへの誘導や証明書警告の無視を狙われる場合があります。

エビルツイン攻撃の仕組み

正規Wi-Fiに似たSSIDを用意する

攻撃者は、実在する公衆Wi-Fiや企業Wi-Fiに似たSSIDを設定します。たとえば、施設名、店舗名、ホテル名、空港名、企業名などを含むSSIDを使うと、利用者は正規ネットワークだと判断しやすくなります。

SSIDはネットワーク名にすぎず、同じ名前を名乗ること自体は難しくありません。そのため、利用者がSSIDだけで真正性を確認するのは限界があります。

正規アクセスポイントより接続されやすい状態を作る

攻撃者は、偽アクセスポイントの電波を強くする、利用者に近い場所へ設置する、正規Wi-Fiと同じSSIDを使うなどして、端末が偽アクセスポイントに接続しやすい状態を作ります。

端末が過去に接続したSSIDへ自動接続する設定になっている場合、利用者が意識しないまま偽アクセスポイントへ接続することがあります。特に公衆Wi-Fiでは、自動接続設定が残っている端末が攻撃対象になりやすくなります。

通信を中継しながら情報を狙う

偽アクセスポイントに接続した端末の通信は、攻撃者の機器を経由します。攻撃者は、その通信をインターネットへ中継しながら、利用者に異常を感じさせないようにする場合があります。

通信先がHTTPSで正しく暗号化されていれば、通信内容の盗聴は難しくなります。ただし、偽のポータル画面、偽ログインページ、証明書警告を無視させる誘導、暗号化されていない通信の傍受など、別の攻撃余地は残ります。

偽のポータル画面へ誘導する

公衆Wi-Fiでは、接続後に利用規約への同意画面やログイン画面が表示されることがあります。攻撃者はこの仕組みをまねて、偽のポータル画面を表示し、メールアドレス、SNSアカウント、業務アカウント、クレジットカード情報などを入力させます。

「利用継続には再ログインが必要」「本人確認が必要」「支払い情報を更新してください」といった表示が出た場合は、正規の画面かどうかを確認する必要があります。公衆Wi-Fiの利用規約画面で、業務アカウントやカード情報を求められる場合は特に注意が必要です。

代表的な攻撃手法

SSIDスプーフィング

SSIDスプーフィングは、正規アクセスポイントと同じ、または似たSSIDを名乗る手法です。利用者は、画面に表示されたネットワーク名だけを見て接続先を判断しがちなため、偽アクセスポイントに接続してしまう可能性があります。

たとえば、正規のSSIDが「Hotel-WiFi」なのに対し、「Hotel_Free_WiFi」「Hotel-WiFi-5G」「Hotel Guest」などの名称を使うと、利用者は正規の候補だと誤認しやすくなります。

偽キャプティブポータル

キャプティブポータルは、公衆Wi-Fiで利用規約への同意や認証を求める画面です。攻撃者はこの画面を偽装し、ID、パスワード、メールアドレス、電話番号、クレジットカード情報などを入力させる場合があります。

公衆Wi-Fiの利用開始に、業務アカウントのパスワードや決済情報が必要になるケースは限定的です。必要以上の情報を求める画面が表示された場合は、接続を中断し、施設の掲示やスタッフに確認します。

中間者化による通信監視

偽アクセスポイントを経由させることで、攻撃者は利用者の通信経路上に入ります。暗号化されていない通信では、送受信される情報を盗み見られるおそれがあります。

HTTPSが普及したことで、以前より通信内容をそのまま盗聴できる場面は減っています。それでも、暗号化されていないアプリ通信、古い設定、証明書警告を無視する行動、偽サイトへの入力はリスクとして残ります。

認証情報の窃取

攻撃者が最も狙いやすい情報は、IDとパスワードです。偽ポータルや偽ログイン画面に入力された情報は、メール、SNS、クラウドサービス、業務システム、VPNなどへの不正ログインに使われる場合があります。

同じパスワードを複数サービスで使い回している場合、1つの偽画面で入力した情報が、他のサービスへの不正アクセスにも使われます。このため、多要素認証とパスワード使い回しの排除は、被害拡大を抑えるうえで有効です。

想定される被害

個人情報や金融情報の窃取

偽アクセスポイント経由で偽ログイン画面や偽決済画面へ誘導されると、メールアドレス、パスワード、カード情報、住所、電話番号などが盗まれるおそれがあります。盗まれた情報は、不正購入、アカウント乗っ取り、なりすましに使われます。

業務アカウントの不正利用

業務端末や個人端末から業務システムへアクセスする場合、エビルツイン攻撃は組織リスクになります。クラウドサービス、メール、VPN、リモートアクセス、ファイル共有などの認証情報が盗まれると、情報漏えいや内部システムへの不正アクセスにつながる可能性があります。

端末や通信の監視

攻撃者が通信経路に入ることで、利用しているサービス、接続先、通信タイミングなどの情報を把握される場合があります。通信内容が暗号化されていても、接続先や利用パターンが攻撃の手がかりになることがあります。

企業の信用低下と対応負荷

従業員の認証情報が盗まれ、業務システムへの不正アクセスや情報漏えいが発生すると、企業は調査、アカウント停止、パスワード再設定、顧客・取引先対応、再発防止策の実施を迫られます。被害範囲が外部へ広がると、信用低下にも直結します。

利用者ができる対策

SSIDを施設側の情報で確認する

公衆Wi-Fiに接続する前に、店舗や施設の掲示、公式アプリ、受付、スタッフ案内などでSSIDを確認します。同じようなSSIDが複数見える場合は、名前だけで判断せず、接続を控えるか施設側に確認します。

パスワードなしで接続できるWi-Fiは便利ですが、攻撃者が同名の偽アクセスポイントを設置しやすい面があります。業務利用や重要な操作では、接続先の確認を省略しない運用が必要です。

自動接続を見直す

スマートフォンやPCには、過去に接続したWi-Fiへ自動接続する機能があります。公衆Wi-Fiへの自動接続を有効にしていると、同名の偽アクセスポイントに接続してしまう可能性があります。

使い終わった公衆Wi-Fiは端末の設定から削除し、自動接続を無効にします。特に、空港、ホテル、カフェ、展示会場など一時利用のWi-Fiは、利用後に「このネットワーク設定を削除」する運用が適しています。

VPNを利用する

VPNは、端末とVPNサーバーの間の通信を暗号化する仕組みです。公衆Wi-Fiを使う場合、通信経路上での盗聴リスクを下げる手段になります。

ただし、VPNを使っていても偽ログイン画面に自分でIDやパスワードを入力すれば情報は盗まれます。VPNは通信経路を保護する対策であり、偽画面への入力を防ぐ対策とは別に考える必要があります。

重要な操作は公衆Wi-Fiで行わない

ネットバンキング、オンライン決済、業務システムの管理画面、機密情報の送受信は、公衆Wi-Fi利用中には避けます。必要な場合は、モバイル回線、テザリング、社給の安全な接続手段、VPN、多要素認証を組み合わせます。

証明書警告を無視しない

ブラウザが証明書警告を表示した場合、通信先の真正性に問題がある可能性があります。公衆Wi-Fi利用中に証明書警告が出た場合は、ログインや決済を続けず、接続を中断します。

業務で使うサイトにアクセスしている場合でも、警告を無視して認証情報を入力しない判断が必要です。警告の原因が正規サイト側の一時的な問題なのか、偽サイトや通信経路の問題なのかを確認します。

多要素認証を設定する

多要素認証を使うと、IDとパスワードが盗まれても、追加要素がなければログインされにくくなります。特に、メール、クラウドストレージ、業務SaaS、VPN、管理者アカウントでは、多要素認証の設定が被害拡大の抑制に役立ちます。

ただし、偽ログイン画面がワンタイムコードまで入力させる場合もあります。認証アプリの通知内容、ログイン元、承認要求のタイミングを確認し、身に覚えのない認証要求は承認しない運用が必要です。

企業・組織で行う対策

公衆Wi-Fi利用ルールを明文化する

企業では、従業員が出張先や外出先で公衆Wi-Fiを使う場面を想定し、利用ルールを明文化します。業務システムへアクセスする際の接続方法、VPN利用条件、禁止する操作、緊急時の連絡先を決めておく必要があります。

「公衆Wi-Fiを使わない」とだけ定めても、現場では通信環境が必要になる場合があります。使用可否だけでなく、どの条件なら使えるか、どの操作は禁止するかまで決める方が運用しやすくなります。

業務アクセスにVPNと多要素認証を組み合わせる

外出先から業務システムへアクセスする場合は、VPNと多要素認証を組み合わせます。VPNで通信経路を保護し、多要素認証で認証情報の盗用に備えます。

クラウドサービスを利用する場合は、端末状態、場所、リスク、認証方式に応じてアクセスを制御する方法もあります。公衆Wi-Fiからのアクセスを一律に許可するのではなく、業務内容とリスクに応じて制御します。

端末管理とEDRを整備する

業務端末には、OSとアプリの更新、セキュリティ設定、EDR、ログ取得、リモートワイプなどの管理が必要です。公衆Wi-Fi利用時のリスクは、無線区間だけでなく、端末側の脆弱性や設定不備とも関係します。

端末が不審なアクセスポイントへ接続した履歴、不審な証明書警告、異常な通信先、認証失敗の増加などを確認できる体制があると、被害の早期発見につながります。

企業Wi-FiのSSID運用を整理する

社内Wi-Fiや来客用Wi-Fiでは、SSIDの命名ルール、掲示方法、利用範囲、パスワード管理を整理します。来客用Wi-FiのSSIDが外部から推測しやすい場合、周辺で同名の偽アクセスポイントを設置される可能性があります。

企業側では、正規のSSIDと接続方法を従業員に周知し、似たSSIDを見つけた場合の報告ルートを用意します。定期的な無線環境の確認や不審アクセスポイントの検出も、組織規模によっては検討対象になります。

従業員教育で確認行動を定着させる

エビルツイン攻撃は、技術対策だけでなく、利用者の判断にも依存します。教育では、「無料Wi-Fiは危険」とだけ説明するのではなく、正規SSIDの確認、自動接続の削除、証明書警告時の対応、偽ポータルの見分け方、被害時の報告手順を具体的に扱います。

出張者、営業担当、イベント参加者、リモートワーク利用者など、公衆Wi-Fiを使いやすい職種には、利用場面に合わせたルールと連絡先を提示することが必要です。

エビルツイン攻撃を疑う兆候

同じようなSSIDが複数表示される

施設名や店舗名を含むSSIDが複数表示され、どれが正規か判断できない場合は、安易に接続しません。特に、似た名称のSSIDが突然増えた場合や、以前と表記が違う場合は確認が必要です。

接続直後に不要な情報入力を求められる

無料Wi-Fiの利用開始に、SNSアカウント、業務アカウント、カード情報、追加の個人情報を求められる場合は注意します。利用規約同意だけで済むはずの場面で、過剰な情報入力を求める画面は偽装の可能性があります。

証明書警告やログイン画面の違和感がある

普段使っているサイトで証明書警告が表示される、ログイン画面のデザインが違う、URLやドメインが不自然、二重ログインを求められるといった場合は、入力を中止します。

接続後に通信が不安定になる

偽アクセスポイントを経由している場合、通信が遅い、接続が頻繁に切れる、特定のサイトだけ表示できないといった状態になることがあります。ただし、通信不安定の原因は複数あるため、SSID確認や別回線での再確認を行います。

被害が疑われる場合の対応

すぐに接続を切る

偽アクセスポイントへの接続が疑われる場合は、Wi-Fiをオフにし、該当SSIDを端末から削除します。必要であれば、モバイル回線や信頼できるネットワークへ切り替えます。

入力した可能性のある認証情報を変更する

偽画面にIDやパスワードを入力した可能性がある場合は、別の安全なネットワークから該当サービスのパスワードを変更します。同じパスワードを使っている他サービスも変更します。

多要素認証とログイン履歴を確認する

多要素認証が未設定の場合は設定し、設定済みの場合は不審な認証要求やログイン履歴がないか確認します。身に覚えのないログインがある場合は、セッションの強制ログアウトやアカウント停止を検討します。

企業では社内窓口へ報告する

業務端末や業務アカウントで被害が疑われる場合は、自己判断で終わらせず、情報システム部門やセキュリティ担当へ報告します。報告には、接続した場所、SSID、時間帯、入力した可能性のある情報、表示された画面、端末名を含めます。

一次資料・参考資料

• CISA「Securing Wireless Networks」
• NIST SP 800-153「Guidelines for Securing Wireless Local Area Networks (WLANs)」
• FTC「Are Public Wi-Fi Networks Safe? What You Need To Know」
• NSA「Securing Wireless Devices in Public Settings」

まとめ

エビルツイン攻撃は、正規Wi-Fiに似たSSIDを使って利用者を偽アクセスポイントへ接続させる攻撃です。接続後は、通信の盗聴、偽ポータルへの誘導、認証情報の窃取、中間者攻撃に悪用される場合があります。

利用者側では、SSIDを施設側の情報で確認し、公衆Wi-Fiへの自動接続を削除し、重要操作を避け、VPNと多要素認証を利用することが対策になります。証明書警告や不自然なログイン画面が出た場合は、入力を中止します。

企業では、公衆Wi-Fi利用ルール、VPNと多要素認証、端末管理、EDR、正規SSIDの周知、不審アクセスポイントの報告ルートを整備します。エビルツイン攻撃は個人の注意だけで防ぐものではなく、利用者の確認行動と組織側の運用設計を組み合わせてリスクを下げる必要があります。