しかし、特に際立っているのは無線接続に関する部分だ。そこには、すでによく知られている古い2G(第2世代)ネットワークに起因する脅威も含まれる。これは「弱い暗号アルゴリズム」に依存しており、そのアルゴリズムは「2010年以降、公に破られている」のだという。CERT‑FRは「モバイル端末には、基地局であるBase Transceiver Station(ベース・トランシーバ・ステーション)の正当性を検証する手段がなく、そのことがAITM(Adversary‑in‑the‑Middle)攻撃(中間者攻撃の一種)を可能にしているのです」と指摘する。
Wi‑Fiについても、同機関は次のように説明する。「ネットワーク、とりわけ暗号化されていない公衆ネットワークは、その構成に脆弱性や弱点を抱えている可能性があり、AITM攻撃に対して脆弱になります。攻撃者はユーザーとWi‑Fiアクセスポイントの間に位置することで、機密情報を傍受したり、改ざんしたり、収集したりすることができるのです」。
これは、ここ数週間ニュースで見出しを賑わせている、いわゆるEvil Twin攻撃(偽のWi-Fiアクセスポイントを設置する手法)の類型を指しており、この攻撃については今年、TSAも警告を発している。フランスの機関は「偽のWi‑Fiアクセスポイントを使えば、被害者をフィッシングサイトにリダイレクトしたり、閲覧中のウェブサイトにマルウェアを注入したりすることで、認証情報を盗み取り、スマートフォンを侵害できます」と警告する。
筆者自身もこれまで、ネットワークへの自動接続や自動参加を無効にすること、また一時的に利用するネットワークについても自動参加設定をオフにすることを繰り返し勧めてきたが、CERT‑FRの勧告はそれをさらに1歩進めたものだ。
同機関は「偽のネットワークに接続してしまうことを避けるため、Wi‑Fiが不要なときには、スマートフォンのWi‑Fiインターフェースを完全に無効化してください」と述べる。「iOSでは、Wi‑Fiをオフにするには『設定』アプリから操作しなければなりません。コントロールセンターのWi‑Fi項目は、インターフェース自体をオフにするのではなく、ネットワークから切断しているだけだからです」とも説明している。
同機関はさらに「スマートフォンに保存されている既知のネットワーク、プライベートネットワークも含めて、自動接続機能を無効にしてください」と推奨し、あわせて「モバイル端末を公衆ネットワーク(公衆Wi-Fi)に接続することは、可能な限り避けるべきです。どうしても避けられない場合には、公衆ネットワークを経由する情報を暗号化するために、必ず信頼できるVPNを使用しなければなりません」としている。
どこまで対策を徹底するかは、利便性とリスクのバランスをどう取るかという各自の判断にかかっている。しかし、現在われわれが目にしているようなモバイル分野の脅威の状況は、これまでほとんど例がなかったと私は感じている。
おそらく、そのバランス自体が変わりつつあるのかもしれない。
編注:iOSでコントロールセンターからWi‑Fiをオフにした場合、機能自体はバックグラウンドで動作し、常に接続先を探し続ける。またこのとき、ネットワークへの自動接続や自動参加がオンになっていると、悪意のある第三者による偽Wi-Fiネットワークに自動接続してしまうおそれがある。
Androidの場合は、Wi-Fiの無効化よりも、Android 16で採用された「高度な保護機能(Advanced Protection Mode)」を有効化した上で、自動接続の制限、接続時の保護設定などを利用することが推奨されている。Google アカウントを保護する「高度な保護機能プログラム」(Advanced Protection Program)とは異なる点に注意したい。
