カフェや駅、ホテルなどで公衆Wi-Fiを使う機会が増える一方で、「いつものWi-Fi名に接続したつもりが偽物だった」という被害も現実に起きています。なりすましWi-Fi(Evil Twin)は、正規のWi-Fiと同じSSIDを名乗り、接続した利用者の通信やログイン情報を盗み取る手口です。
気づかないまま使い続けると、ID・パスワードの流出やセッション乗っ取りにつながり、被害が拡大する恐れがあります。しかも、復旧を急いで設定変更や削除を進めると、状況を客観的に説明するための記録が不足し、対応の優先順位を誤ることもあります。
そこで本記事では、なりすましWi-Fiの攻撃フローを説明、そして安全に回避するための対策をわかりやすく解説します。
目次
なりすましWi-Fi(Evil Twin)とは
なりすましWi-Fi(Evil Twin)は、正規のWi-Fiと見分けがつきにくい偽アクセスポイント(偽AP)を用意し、利用者を接続させて通信を盗聴・改ざんする手口です。端末側は「知っているSSID」だと判断して自動接続することがあり、そこを突かれると、偽APを経由してインターネットへ通信する状態になります。
特に公衆Wi-Fiでは、ログイン画面(キャプティブポータル)が表示されること自体が珍しくないため、偽の入力画面を見抜きにくい点が特徴です。
なりすましWi-Fiは「Wi-Fiに接続しただけ」で成立する場合があり、気づきにくいのが厄介です。さらに、ログイン情報を入力してしまうと、社内メールやSaaS、VPNなどにも波及し、影響範囲が一気に広がることがあります。
不安がある場合は、まずは状況を整理し、疑わしい接続があったかどうかを確認できる準備を進めることが大切です。
なりすましWi-Fiが疑われるサイン
見た目が似ていても、挙動には差が出ることがあります。次のサインが複数当てはまる場合は、接続を続けずに確認を優先してください。
- 同じSSID名が複数表示され、どれが正規か判別しづらい
- やけに電波が強いSSIDが突然現れる
- 突然切断され、再接続が頻発する
- 接続直後にログイン画面が出て、IDやメール入力を強く促される
- HTTPSではないページへ誘導されたり、警告が表示される
- その場の案内と違う利用規約・ロゴ・URLが表示される
サインだけでは断定できないこともあります。焦ってパスワード変更やアプリ削除を繰り返すより、まずは「どのSSIDに、いつ接続したか」「どんな画面が出たか」をメモやスクリーンショットで残すと、後の確認がスムーズになります。
なりすましWi-Fiの攻撃フロー6ステップ図解
なりすましWi-Fi(Evil Twin)の典型的な流れを、6ステップで整理します。どの段階で被害が成立するかを理解すると、予防策の優先順位もつけやすくなります。
①偵察(周囲のWi-Fi調査)
攻撃者は、カフェ・駅・ホテルなどで周囲のアクセスポイント(SSID、暗号化方式、チャネルなど)を確認し、利用者が多いWi-Fi名を狙います。よくある名前ほど、利用者が迷わず接続しやすいからです。
②偽AP構築(同名SSIDの用意)
次に、正規のWi-Fiと同じSSIDを名乗る偽アクセスポイントを用意します。端末のWi-Fi一覧では区別がつきにくく、暗号化方式まで似せられると、利用者側での判別がさらに難しくなります。
③接続誘導(自動接続や切断誘導)
端末の自動接続機能を利用し、電波が強い偽APへつながりやすい状況を作ります。環境によっては、既存接続を切断させて再接続を促すような妨害が絡むこともあります。
④偽ポータル(入力画面で搾取)
接続後に表示される「ログイン画面」や「利用規約画面」を偽装し、メールアドレスや会員ID、Wi-Fiパスワード、場合によっては会社のSaaSやVPNの認証情報まで入力させて盗み取ります。
⑤盗聴・改ざん・セッション乗っ取り
通信が偽APを経由するため、暗号化が弱い通信や一部アプリのやり取りが覗かれたり、改ざんされたりするリスクが高まります。Cookieやセッショントークンが狙われると、ログイン情報を直接盗まれなくても、セッション乗っ取りにつながることがあります。
⑥不正アクセス・二次被害
窃取した認証情報が悪用されると、メール・クラウドストレージ・社内システムへの不正アクセスや、取引先になりすました攻撃など、二次被害へ発展します。個人の被害に見えても、業務利用端末の場合は組織全体に波及する点に注意が必要です。
攻撃フローを理解しても、実際に「どのSSIDへ接続していたのか」「どの情報が入力・送信されたのか」を事実として確かめるのは簡単ではありません。自己流で設定変更や削除を進めると、証拠となるデータの保全に支障が出ることもあります。
少しでも心当たりがある場合は、まずは現状を崩さずに記録を残し、必要に応じて専門家へ相談できる状態にしておくと安心です。
なりすましWi-Fiで起こり得る被害
なりすましWi-Fiは「通信の入口」を奪う手口のため、被害が一度起きると影響範囲が読みにくくなります。個人利用でも危険ですが、業務アカウントに波及すると対応コストが大きくなります。
アカウント情報の窃取
偽ポータルに入力したID・パスワードが盗まれると、メールやSNS、クラウドサービスに不正ログインされる可能性があります。
セッション乗っ取り
ログイン情報を盗まれなくても、セッションが奪われると、ログイン済みの状態を悪用されることがあります。二要素認証があっても、状況によっては被害が成立する場合があります。
通信内容の盗聴・改ざん
偽APを経由することで、通信内容が覗かれたり、DNSの誘導などで偽サイトへ飛ばされるリスクが高まります。
業務システムへの侵入
業務メールやSaaS、VPNの認証情報が漏れると、社内ネットワークへの侵入の足がかりになります。被害の範囲が広がるほど、封じ込めや説明対応も難しくなります。
不正送金・詐欺への悪用
認証情報やメールが奪われると、取引先になりすました送金詐欺や、連絡先への詐欺拡散など、周囲を巻き込む二次被害につながることがあります。
なりすましWi-Fiを避ける対処法と安全な使い方
対策の基本は「ネットワークを信用しない前提」を徹底し、接続前後で確認を習慣化することです。ここでは実務でも使いやすい対策を、具体的な行動として整理します。
SSIDの正規性を確認してから接続する
店舗掲示や公式案内にあるSSID名と一致するかを確認し、同名SSIDが複数ある場合はスタッフに確認するのが安全です。表示名だけで判断しない姿勢が、なりすましWi-Fi対策の第一歩になります。
- 店内掲示・公式サイトのSSID名を確認します。
- 同名SSIDが複数ある場合は接続せず、提供元に確認します。
- 不自然なログイン画面が出たら入力せず、画面を閉じます。
自動接続をオフにして不要なWi-Fiを削除する
過去に接続したSSIDへ自動接続すると、偽APに優先的につながる原因になります。特に公衆Wi-Fiは、不要になったら削除しておくと安心です。
- 端末のWi-Fi設定で「自動接続」をオフにします。
- 利用しない公衆Wi-Fiの保存済みネットワークを削除します。
- 外出先では「接続先を選んでから接続する」運用に切り替えます。
VPNとHTTPSを前提に運用する
VPNは通信を暗号化し、盗聴されても中身を読み取りにくくします。あわせて、ブラウザやアプリがHTTPSで通信しているかを確認し、警告が出るサイトではログインしないことが大切です。
- 公衆Wi-Fiに接続する前にVPNを有効化します。
- ログインや決済はHTTPSを確認してから行います。
- 証明書警告が出た場合は操作を中止し、別回線へ切り替えます。
機微情報の入力を避け、業務はモバイル回線へ切り替える
社内メール、SaaS、VPN、管理画面などの重要操作は、公衆Wi-Fi上では避けるのが安全です。どうしても必要な場合は、モバイル回線やテザリングへ切り替える判断が有効です。
- 公衆Wi-Fiでの業務ログインや決済を避けます。
- 必要時はモバイル回線やテザリングへ切り替えます。
- 業務端末はMDMやポリシーで接続先制限を検討します。
疑わしい場合は記録を残して接続を中止する
不自然な挙動が出た場合は、操作を続けるほど状況が複雑になります。まずは接続を中止し、SSID名、表示画面、時刻などを記録しておくと、後から事実確認がしやすくなります。
- Wi-Fiを切断し、必要なら機内モードで一時遮断します。
- SSID名・画面・URL・時刻をスクリーンショットで残します。
- 入力してしまった場合は、後述の専門相談も含めて対応を整理します。
サイバーセキュリティの専門業者に相談する
なりすましWi-Fiが疑われる状況では、「何に接続していたのか」「どの情報がやり取りされたのか」を客観的に確かめることが重要です。自己判断で設定変更や削除を進めると、証拠保全に支障が出る可能性があります。
サイバーセキュリティの専門業者であれば、端末やネットワークの記録を保全し、通信や認証情報の窃取が起きた可能性、影響範囲、再発防止策まで整理できます。私たちデジタルデータフォレンジックは、官公庁等に対応してきた知見をもとに、状況に合わせた調査と初動支援を行っています。
お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
詳しく調べる際はフォレンジック調査会社に相談を
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
