Wi‑Fiを使わない際は「完全に無効化」せよ――iPhoneとAndroidユーザーにサイバー当局警告
ここ数週間、スマートフォン利用者に向けて、各国のサイバー当局から数多くの警告が出されている。メッセージのやり取りには暗号化されたメッセージアプリだけを使うこと。SMSによるセキュリティコードはもう使わないこと。商用の個人向けVPNサービス(一般消費者向けの市販VPNサービス。運営者の信頼性やセキュリティに問題があるものも多く、後述の「信頼できるVPN」とは区別される)は避けること。そして、できるだけ早くスマートフォンをアップデートすること――ちょうど今週はそれがとりわけ重要になっている。しかし、今度はそれだけでは済まない。“使用していないとき”には「Wi‑Fi機能を完全に無効化する」よう求められているのだ。
上記の助言の大半は、米国のサイバー防衛機関であるCISAから出されたものだが、最新のもの、特にWi‑Fiについては英国の機関と連携して発表されたフランスの同等機関CERT‑FRによるものだ。Wi‑Fiについての助言はこれまでも数多くあったが、インターフェース(機能)そのものを完全に無効化せよというのは新しい。VPNについては、CISAとCERT‑FRとで見解が異なり、CISAは個人向けVPNを非推奨としており、CERT‑FRは「信頼できるVPN」(既知かつ管理されたVPN)を推奨している。
「こうした日常的に使われるデバイスには複数の脆弱性が存在し、デバイスのアーキテクチャの複数の層にわたって広範な攻撃対象領域(攻撃界面)があるのです」とCERT‑FRは述べる。「これらの脆弱性は、無線インターフェース、アプリケーション、オペレーティングシステム、さらにはハードウェア部品の内部にさえ存在している可能性があります」。
CERT‑FRはあらゆる点をカバーしており、そこに並ぶ助言の多くは、もはや読者にもおなじみのものだろう。アプリは公式ストアからのみインストールすること、アプリの権限設定を確認すること、スマートフォンをアップデートして再起動すること、公衆Wi‑Fiの利用時は信頼できるVPNを使うこと、そしてそうしたネットワークに自動接続しないこと、などである。
いわゆる「juice jacking」(ジュース・ジャッキング)にも触れている。これは公共の充電スタンドからの脅威で、米国の運輸保安庁TSAも今年警鐘を鳴らしたものだ。CERT‑FRは「充電器とスマートフォンの間に『信頼できるUSBデータブロッカー』を挟んでいない限り、こうした充電は行うべきではありません」と警告する。また、「たとえば充電中など、スマートフォンを放置しておくときには、完全に電源を切っておくべきです」ともしている。
中間者攻撃を避けるため不要時にはWi-Fi接続を無効化
しかし、特に際立っているのは無線接続に関する部分だ。そこには、すでによく知られている古い2G(第2世代)ネットワークに起因する脅威も含まれる。これは「弱い暗号アルゴリズム」に依存しており、そのアルゴリズムは「2010年以降、公に破られている」のだという。CERT‑FRは「モバイル端末には、基地局であるBase Transceiver Station(ベース・トランシーバ・ステーション)の正当性を検証する手段がなく、そのことがAITM(Adversary‑in‑the‑Middle)攻撃(中間者攻撃の一種)を可能にしているのです」と指摘する。
Wi‑Fiについても、同機関は次のように説明する。「ネットワーク、とりわけ暗号化されていない公衆ネットワークは、その構成に脆弱性や弱点を抱えている可能性があり、AITM攻撃に対して脆弱になります。攻撃者はユーザーとWi‑Fiアクセスポイントの間に位置することで、機密情報を傍受したり、改ざんしたり、収集したりすることができるのです」。
これは、ここ数週間ニュースで見出しを賑わせている、いわゆるEvil Twin攻撃(偽のWi-Fiアクセスポイントを設置する手法)の類型を指しており、この攻撃については今年、TSAも警告を発している。フランスの機関は「偽のWi‑Fiアクセスポイントを使えば、被害者をフィッシングサイトにリダイレクトしたり、閲覧中のウェブサイトにマルウェアを注入したりすることで、認証情報を盗み取り、スマートフォンを侵害できます」と警告する。
筆者自身もこれまで、ネットワークへの自動接続や自動参加を無効にすること、また一時的に利用するネットワークについても自動参加設定をオフにすることを繰り返し勧めてきたが、CERT‑FRの勧告はそれをさらに1歩進めたものだ。
同機関は「偽のネットワークに接続してしまうことを避けるため、Wi‑Fiが不要なときには、スマートフォンのWi‑Fiインターフェースを完全に無効化してください」と述べる。「iOSでは、Wi‑Fiをオフにするには『設定』アプリから操作しなければなりません。コントロールセンターのWi‑Fi項目は、インターフェース自体をオフにするのではなく、ネットワークから切断しているだけだからです」とも説明している。
同機関はさらに「スマートフォンに保存されている既知のネットワーク、プライベートネットワークも含めて、自動接続機能を無効にしてください」と推奨し、あわせて「モバイル端末を公衆ネットワーク(公衆Wi-Fi)に接続することは、可能な限り避けるべきです。どうしても避けられない場合には、公衆ネットワークを経由する情報を暗号化するために、必ず信頼できるVPNを使用しなければなりません」としている。
どこまで対策を徹底するかは、利便性とリスクのバランスをどう取るかという各自の判断にかかっている。しかし、現在われわれが目にしているようなモバイル分野の脅威の状況は、これまでほとんど例がなかったと私は感じている。
おそらく、そのバランス自体が変わりつつあるのかもしれない。
編注:iOSでコントロールセンターからWi‑Fiをオフにした場合、機能自体はバックグラウンドで動作し、常に接続先を探し続ける。またこのとき、ネットワークへの自動接続や自動参加がオンになっていると、悪意のある第三者による偽Wi-Fiネットワークに自動接続してしまうおそれがある。
Androidの場合は、Wi-Fiの無効化よりも、Android 16で採用された「高度な保護機能(Advanced Protection Mode)」を有効化した上で、自動接続の制限、接続時の保護設定などを利用することが推奨されている。Google アカウントを保護する「高度な保護機能プログラム」(Advanced Protection Program)とは異なる点に注意したい。
