無料サービスを中心に、公衆Wi-Fi(無線LAN)サービスを提供する一般企業や団体が増えている。訪日外国人の観光需要などもあり、利用者は概ね順調に増加中だ。その陰で、セキュリティへの不安を印象付ける事件が起こっている。Wi-Fi設備を狙ったサイバー攻撃である。

Wi-Fi設備にマルウエアが潜む

 ロシアのカスペルスキーは2014年11月、ホテルのWi-Fiサービスを狙った新手のサイバー攻撃「Darkhotel」を確認したとする調査リポートを公表した。アジア地域で調査を実施し、「汚染」された複数のホテルを確認したという。

 攻撃の手口はこうだ。攻撃者はまず、通信機器やサーバーの脆弱性など、Wi-Fi設備にある脆弱な部分を見つけて、最初のマルウエア(不正ソフト)を潜ませる。宿泊者のパソコンに別のマルウエアを配信する役割を担った、「母体」となるマルウエアである。

 この母体は、Wi-Fi接続時に表示される利用手続きのWeb画面をトリガーにして活動する。宿泊客が利用手続きを済ませると、米アドビシステムズの「Flash Player」など著名ソフトの更新を促す偽の画面を出す。宿泊者が偽画面にだまされて更新ボタンを押すと、端末用のマルウエアがダウンロードされパソコンに潜入する。このマルウエアに、キーロガーなどパソコンから情報を抜き取る様々な機能が搭載されていた(図1)。

図1●Wi-Fiサービスを踏み台にするサイバー攻撃が登場
図1●Wi-Fiサービスを踏み台にするサイバー攻撃が登場
ロシアのカスペルスキーが報告した「Darkhotel」は、認証画面をトリガーにして「Flash Player」などの偽のアップデート画面を利用者のパソコンに表示し、マルウエアをダウンロードさせる。まず攻撃者がホテルのWi-Fi設備の脆弱性を突き、配信用マルウエアを潜ませたと見られる。
[画像のクリックで拡大表示]

 今回のマルウエアは本社勤務の研究員がアジアのある国に出張した際に宿泊したホテルで偶然発見したという。複数のホテルから協力を得て調査した結果、今回のケースでは宿泊者がWeb画面で入力する部屋番号やIDなどの情報を用いて、特定の企業幹部に対象を絞り込む「標的型攻撃」だったことも判明した。カスペルスキーは「今回はホテルだったが、あらゆるWi-Fi設備が攻撃対象になり得る」(日本法人の石丸傑マルウエアリサーチャー)と警告する。