sg sg-security-overview threat_vulnerability network
まず結論
Evil Twin攻撃とは、正規のWi-Fiにそっくりな偽のアクセスポイントを用意し、利用者を接続させる攻撃です。
SG試験では、「本物に見えるWi-Fiへ接続したつもりが、実は攻撃者のWi-Fiだった」というリスクを判断できるかが問われることがあります。
Evil Twinは、無線LANのなりすましアクセスポイントの代表的な攻撃例として理解するとよいです。
特に、次の切り分けが大切です。
- 正規Wi-Fiに似せた偽APへ接続させる → Evil Twin攻撃
- SSIDを一覧に表示されにくくする → SSIDステルス
- 同じ無線LAN内の端末同士の通信を防ぐ → プライバシーセパレーター
- 無線通信の内容を暗号化する → WPA2 / WPA3
選択肢では、「偽のアクセスポイント」「正規のSSIDに似せる」「利用者を接続させる」という表現に注目します。
直感的な説明
カフェでWi-Fiを使うときに、次のようなSSIDが見えたとします。
- Cafe_WiFi
- Cafe_Free_WiFi
- Cafe_WiFi_Guest
どれも本物っぽく見えるため、利用者は深く考えずに接続してしまうかもしれません。
しかし、その中の1つが攻撃者の用意した偽Wi-Fiだった場合、利用者の通信が攻撃者を経由する可能性があります。
これがEvil Twin攻撃のイメージです。
「Evil Twin」は、直訳すると「悪い双子」です。
本物によく似た悪質なアクセスポイントを作り、本物だと思わせて接続させる攻撃だと考えると分かりやすいです。
見た目が似ているだけでは、安全とは限りません。
特に公衆Wi-Fiでは、SSID名だけで本物かどうかを判断しないことが大切です。
定義・仕組み
Evil Twin攻撃は、攻撃者が正規のアクセスポイントに似せた偽アクセスポイントを設置し、利用者をそこへ接続させる攻撃です。
攻撃者は、正規のSSIDと同じ名前や、似た名前を使うことがあります。
利用者が偽アクセスポイントに接続すると、攻撃者は次のような行為を狙う可能性があります。
- 通信内容を盗み見る
- 偽のログイン画面を表示する
- IDやパスワードを入力させる
- 偽サイトへ誘導する
- マルウェア配布サイトへ誘導する
この攻撃で重要なのは、利用者が自分から偽Wi-Fiへ接続してしまう点です。
つまり、Evil Twin攻撃は、暗号方式そのものを破るというより、本物に見せかけて利用者をだます攻撃です。
関連する用語との関係は次のとおりです。
| 用語 | 主な意味 |
|---|---|
| Evil Twin攻撃 | 正規Wi-Fiに似せた偽APへ接続させる攻撃 |
| なりすましアクセスポイント | 正規APに見せかけた悪質なAP全般 |
| SSIDステルス | SSIDを一覧に表示されにくくする設定 |
| WPA2 / WPA3 | 無線通信を暗号化する方式 |
SG試験では、攻撃の細かい手順よりも、偽の接続先に誘導する攻撃として押さえることが重要です。
どんな場面で使う?
Evil Twin攻撃は、不特定多数がWi-Fiを探して接続する場所で起こりやすいです。
代表的な場面は次のとおりです。
- カフェやホテルの無料Wi-Fi
- 駅や空港の公衆無線LAN
- イベント会場の臨時Wi-Fi
- 学校や会社の近くで見えるSSID
- 会社名や店舗名に似せたSSIDが表示される場面
利用者側の対策としては、次の点が大切です。
- SSID名だけで本物と判断しない
- 公式掲示や案内で正規SSIDを確認する
- 不審なログイン画面でIDやパスワードを入力しない
- 重要な通信ではHTTPSやVPNの利用を確認する
- 自動接続設定をむやみに有効にしない
管理者側では、正規のSSIDを明確に案内し、不審なアクセスポイントを監視することが重要です。
また、従業員に対して、外出先のWi-Fi利用ルールを教育することも必要です。
SG試験では、選択肢に
- 正規のWi-Fiと同じSSIDを使う
- 利用者を偽のWi-Fiに接続させる
- 偽のログイン画面で認証情報を入力させる
- 公衆Wi-Fiで本物に見せかける
といった表現があれば、Evil Twin攻撃の文脈として考えます。
よくある誤解・混同
Evil Twin攻撃でよくある誤解は、SSIDが正規のものと同じなら安全だと考えることです。
SSIDは名前なので、攻撃者が同じ名前や似た名前を設定することがあります。
そのため、SSIDだけで安全性を判断するのは危険です。
なりすましアクセスポイントとの違い
なりすましアクセスポイントは、正規のアクセスポイントに見せかけた悪質なAP全般を指します。
Evil Twin攻撃は、その代表的な攻撃例として考えると分かりやすいです。
| 用語 | 見方 |
|---|---|
| なりすましアクセスポイント | 悪質なAPそのものに注目 |
| Evil Twin攻撃 | 偽APへ接続させる攻撃手口に注目 |
SG試験では、厳密な分類よりも、偽APに接続させる攻撃として判断できれば十分です。
SSIDステルスとの違い
SSIDステルスは、SSIDを一覧に表示されにくくする設定です。
Evil Twin攻撃は、SSIDを似せて利用者をだます攻撃です。
選択肢で、
- SSIDを隠す
- 無線LAN名を表示されにくくする
と書かれていたら、SSIDステルスの話です。
選択肢で、
- 正規SSIDに似せる
- 偽のAPへ接続させる
と書かれていたら、Evil Twin攻撃を考えます。
暗号化との違い
WPA2やWPA3は、無線通信を暗号化する仕組みです。
一方、Evil Twin攻撃は、利用者を偽の接続先に誘導する攻撃です。
暗号化は重要ですが、利用者が攻撃者の用意した偽Wi-Fiに接続してしまうリスクを、暗号化だけで完全に防げるわけではありません。
SG試験では、通信内容を守る話なのか、接続先を偽装する話なのかで切り分けます。
フィッシングとの関係
Evil Twin攻撃では、偽Wi-Fiに接続させたあと、偽のログイン画面へ誘導することがあります。
この場合、IDやパスワードをだまし取る点ではフィッシングに近い性質があります。
ただし、Evil Twin攻撃の中心は、まず偽の無線LANへ接続させることです。
選択肢では、偽サイトだけでなく、偽アクセスポイントが出ているかを確認します。
まとめ(試験直前用)
- Evil Twin攻撃は、正規Wi-Fiに似せた偽APへ利用者を接続させる攻撃
- SSIDが同じ、または似ているだけでは安全とは判断できない
- 偽のログイン画面でIDやパスワードを狙われることがある
- SSIDステルスはSSIDを隠す設定であり、Evil Twin攻撃とは別
- SG試験では、偽Wi-Fiへ接続させる攻撃かどうかで判断する
確認問題
Evil Twin攻撃の説明として、最も適切なものはどれか。
ア. 正規のWi-Fiに似せた偽アクセスポイントを用意し、利用者を接続させる。
イ. アクセスポイントのSSIDを端末の一覧に表示されにくくする。
ウ. 同じ無線LANに接続している端末同士の通信を遮断する。
エ. 登録済みのMACアドレスをもつ端末だけを接続可能にする。
回答と解説
正解は **ア** です。 Evil Twin攻撃は、正規のWi-Fiに似せた偽アクセスポイントへ利用者を接続させる攻撃です。 イはSSIDステルス、ウはプライバシーセパレーター、エはMACアドレスフィルタリングの説明です。 SG試験では、**SSIDを隠す設定**なのか、**偽SSIDで利用者を誘導する攻撃**なのかを切り分けます。🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- 生体認証とは?指紋・顔・虹彩・静脈認証の違い【SG試験】