これはけっして、被害妄想ではありません。セキュリティのことを考えずに、公衆Wi-FiネットワークやオープンWi-Fiネットワークを利用するのは危険です。

最近では、Android用のセキュリティツールキット『dSploit』のせいで、そうしたハッキングは誰でもできるほど簡単になってしまいました。今回の記事では、dSploitなどのツールがある現状で、いかに自衛するかの方法をまず紹介します。また、より詳しく知りたい人のためにdSploitの仕組みについても説明します。

ハッキングツールからどうすれば自衛できる?

実際にやってみれば簡単なことばかりです。公衆Wi-Fiを使う前には、悪意ある人があなたのパスワードなどを常に狙っていると心得て、以下の自衛策を施しましょう。

  • HTTPS接続に対応しているすべてのサイトでHTTPSを有効化し、『HTTPS Everywhere』をインストールする
    このソフトウェアを使えば、可能な時にはいつでもHTTPS接続(暗号化通信)を利用できるようになります。ウェブブラウジングのトラフィックが暗号化されずに送信される心配もなくなります。

  • Disconnectなどのプライバシー保護用のブラウザ拡張機能を使う
    Disconnectには、ウィジェットの乗っ取りやサイトジャッキングを防ぐ機能もあります。米LifehackerのオススメはDisconnectですが、ほかにもさまざまな選択肢があります

  • 公衆ネットワークや無料ネットワークなどのオープンネットワークでブラウジングする場合には、VPNを利用する
    VPNを使用すべき理由VPNが信頼できるかどうかを確認する方法は以前に紹介しました(英文記事)。有線か無線か、パブリックかプライベートかにかかわらず、すべてのデータを暗号化し、同じネットワーク上にいる誰かから守りたいのなら、VPNを使うのが最も確実な方法です。

  • インターネットを安全に利用するための適切な方法を実践する
    フィッシングや詐欺を見抜くスキルを磨き、狡猾にあなたをだまそうとする悪人を最大限に警戒し、オンライン詐欺から身を守る方法を覚えましょう。わざわざセッションを乗っとったり、パスワードを盗んだりしなくても、あなたのデータを盗むことはできます。あなたが見ているウェブサイトを、見た目のそっくりなサイトと入れ替え、あなたに膨大なデータを入力するように要求するだけで事足りるのです。賢くなりましょう。

できる限りHTTPSを使ったり、図書館で仕事をする際にVPNで接続したりするのは、それほど手間のかかることではありません。公衆Wi-Fiを使わず、家に戻るまで待つという選択肢もありますし、代わりに携帯電話でテザリングしても良いのです(この選択肢については、常に考えておいてください)。

誰もがそうしていれば、dSploitなどのツールの悪用はたいした問題にならず、本当に必要とする人だけが使うことでしょう。とはいえ、そうしたツールが性能の優れたものである以上は、必要な措置をとって自衛するのが合理的です。

では、より詳しく知りたい人のために、Androidツール『dSploit』についても解説していきます。仕組みを理解すれば、dSploitを悪用する人たちから、パスワードや個人データを守る方法がより見えてくることでしょう。

dSploitとは何か?

dSploitとは、いくつかのセキュリティツールをひとつのアプリケーションにまとめたものです。ルート化済みのAndroid(2.3以降)端末上で動作し、コードは「GitHub」で無償提供されています。

セキュリティのプロが使ったり、ネットワークセキュリティやハッキング、侵入テストの表と裏を体験して楽しんだりするぶんには、とても役に立つツールです。はっきりさせておきたいのですが、dSploitを悪者扱いしようというつもりはありません。dSploitは『Firesheep』や『Faceniff』、『Droidsheep』といったアプリケーションとは違って、ネットワークのクラッキングやユーザーセッションの乗っ取りだけを目的に開発されたものではありません。

セキュリティのプロや、手ごろな方法でネットワークセキュリティについて学びたいアマチュア(あるいは、仕事で職場のWi-Fiセキュリティ保全を担当しているものの、プロの侵入テストを依頼するだけの金銭的余裕がない人)、ネットワークを自衛したい人にとっては、dSploitは役に立つツールです。その一方で、あなたのデータを盗もうとしている人間の役にも立ちます。

dSploitを使えば、オープンネットワーク上をプレーンテキストで送信されるパスワードを探り出すことや、セキュリティ対策が不十分なWi-Fiネットワークのクラッキングができます。そのほかにも、ネットワークの脆弱性スキャンや、共用ルーターのキーのクラッキングもできます。もちろん、ブラウザやウェブサイト、ソーシャルネットワークのセッションを乗っ取って、支配することも可能です。このページで、dSploitの全機能のリストを見ることができます。

dSploit(と類似アプリケーション)の仕組み

dSploitを使うと、2つのことが簡単にできます。1つは、暗号化されずに送信されるパスワードの検出。もう1つは、アクティブなブラウザセッションを乗っとって、あるサイトやサービスにすでにログインしている人になりすます操作です。どちらでも、dSploitをインストールすれば、まさにワンタッチで実行できます。

暗号化されていないパスワードを読み取れる

1つ目は簡単です。HTTPSやSSLを使わずにサイトを閲覧したりログインしたりすると、パスワードは暗号化されないまま送信されるはずです。ネットワーク上でパケットを嗅ぎ回っていれば、本格的なパケットインスペクション(やり取りされるデータの監視)をしなくてもパスワードを入手できます。悪意ある連中がひとたびパスワードを手に入れたら、それを各種のサイトやサービスで手あたり次第に試して、あなたが別のアカウントでも同じパスワードを使っていないかどうかを調べてみることでしょう。

「OpenSourceGangster」の提供する上記の動画では、このアプリケーションの仕組みと使い方がさらに詳しく説明されています。

cookieを盗み取る

2つ目は、もう少し複雑です。なじみのない人のために説明すると、「セッションハイジャック(乗っとり)」とは、セキュリティで保護されたサービスにおいて、cookie(クッキー)を盗み取り、自分以外のユーザーが確立した有効なアクティブセッションを乗っ取って、そのユーザーになりすます行為を指します。

クッキーではログイン名やパスワードなどの秘密データが送信されないため、クッキーは暗号化されていない状態で送信されるのが普通です。たいていの場合、実行中のセッションを利用しているユーザーを識別し、ユーザーがリロードするたびに認証をやり直さなくても済むよう、ウェブサイトやSNSでクッキーが利用されています。Wi-Fi経由でパスワードやセッションを探り出すアプリケーションでは、クッキーが最も一般的な攻撃経路となっています。

dSploitのセッションハイジャック手法は、これまでに紹介したほかのツールとほぼ同じです。というのも、その手法がきわめて効果的だからです。「MakeUseOfでは、dSploitの仕組みを詳しく説明しており、このアプリケーションを使ってできることもいくつか紹介されています。

たいていのウェブサイトでは、ユーザー名とパスワードしか暗号化しませんから、その部分さえ解読してしまえば、ほかの部分も解読できてしまいます。多くのサイトがHTTPSに移行していますが、たいていはユーザーがHTTPS機能を有効化しなければなりません(あとで説明しますが、これについては役に立つツールがあります)。HTTPSへの移行措置がまったくとられていないサイトも多くあります。

以前の記事では、米Lifehackerがおすすめするプライバシー保護用のブラウザ拡張機能『Disconnect』を使って、ウィジェットやセッションの乗っ取りを防ぐ保護機能を追加できることを説明しています。具体例を知りたい人は、併せて参考にしてみてください。

実際にリスクはあるか?

こうしたツールから生まれる本当のリスクは、状況によってさまざまです。近所のカフェで出くわした誰かが、dSploitやFiresheepなどのアプリケーションを使ってパスワードの奪取やセッションの乗っ取りを企んでいる可能性は、とても低いでしょう。ですが、すでに述べたように、そういう人間が1人でもいれば、あなたの日常はめちゃくちゃになってしまうのです。

その「誰か」は、FacebookやTwitterのセッションを自由に横取りしたり(そのあとでユーザーのパスワードを変更し、Facebookアカウントを自分のものにしてしまうことも可能です)、Amazonのショッピングセッションを乗っ取って住所やクレジットカード情報を盗んだり、あなたのメールやチャットを読んだりできるのです。誰にでも使える簡単なツールが出回り、データの暗号化による自衛手段を講じていない人が増えるにつれて、そのリスクは大きくなっています。

Alan Henry(原文/訳:梅田智世、吉武稔夫/ガリレオ)

Photos by bloomua (Shutterstock).