Evil Twin (悪魔の双子) Attack は、正規 AP と同じ SSID (ネットワーク名) をより強い電波で発信する偽アクセスポイント (Rogue AP) を立て、被害者を本物ではなく攻撃者に接続させる中間者 (MITM) 攻撃。一度つながれば攻撃者は被害者の通信を盗聴し、偽のログインページ (Captive Portal) で認証情報を奪い、DNS 詐称や sslstrip を仕掛けられる。根本原因は Wi-Fi クライアントが AP を「SSID」でしか見分けず、記憶済みネットワークに自動再接続するという設計の弱点。本稿は仕組み・典型 4 ステップ・2 系統のバリアント・WPA3 / 802.11w / サーバ証明書検証 / VPN / WIDS による防御までを扱う。
本質は次の 3 つ。(1) Evil Twin は 「本物と同じ名前の偽 Wi-Fi を立てて、利用者をそっちに引き込む」攻撃。引き込んだあとは攻撃者が通信路の真ん中に座る (中間者)。(2) なぜ成立するかというと、スマホや PC は AP を SSID (名前) でしか識別しないうえ、一度つないだ名前には自動で再接続するから。同じ名前で電波が強ければ、無条件で信用してしまう。(3) 防御は 「公衆 Wi-Fi のログインページにパスワードを打ち込まない」「未知の Wi-Fi では VPN を張る」「企業はサーバ証明書の検証を必須にする」。他人の電波を勝手に妨害・盗聴すれば日本では電波法・不正アクセス禁止法違反になる。
Evil Twin とは — 同名 SSID でなりすます偽 AP #
Evil Twin とは、攻撃者が立てる不正なアクセスポイント (Rogue AP) の一種で、正規 AP とまったく同じ SSID を名乗るのが最大の特徴。たいてい正規 AP より強い電波で発信し、被害者の端末に「こっちの方が電波が強くて快適だ」と判断させて引き寄せる。
被害者がこの偽 AP につないだ瞬間、攻撃者は通信路の真ん中に座る中間者 (Man-in-the-Middle) になる。そこからできることは多岐にわたる。
- 平文通信の盗聴 (sniffing)
- Captive Portal (偽ログインページ) を表示してメール / パスワード / Wi-Fi PSK を詐取
- DNS 詐称で偽サイトへ誘導
- sslstrip で HTTPS を HTTP に格下げして通信内容を奪う
Evil Twin は 「人気店と同じ看板を、より目立つ場所に出した偽店舗」のようなもの。客 (端末) は看板 (SSID) だけを頼りに店を選ぶので、看板が同じで目立てば偽店舗に入ってしまう。中に入ったら最後、店員 (攻撃者) が会話 (通信) をすべて聞き、レジ (ログイン画面) で暗証番号 (パスワード) を入力させる、という構図。
なぜ成立するのか — SSID 識別と自動再接続の弱点 #
Evil Twin が成立する理由はシンプルで、Wi-Fi の設計そのものに 2 つの弱点があるから。
| 弱点 | 内容 |
|---|---|
| SSID でしか AP を識別しない | オープン / PSK (WPA2-Personal) ネットワークでは、クライアントは AP を名前 (SSID) で見分けるだけで、AP に「暗号学的な身元証明」を要求しない。同名の AP は同一ネットワークと見なされる |
| 記憶済み SSID への自動再接続 | 多くの端末は一度つないだ SSID を覚え、近くに同名の電波が現れるとユーザの操作なしに自動で再接続する。攻撃者がより強い電波を出せば、そちらに勝手に乗り換える |
つまり「同じ名前で、より強い電波を出す AP」は、端末から無条件に信用されてしまう。これが Evil Twin の決定的な強さであり、パスワードを知らなくても偽 AP を立てられる理由でもある (オープン網や、PSK を別途入手・誘導する場合)。
端末は基本的に「同じ SSID なら電波 (RSSI) が強い方を選ぶ」ローミング動作を持つ。攻撃者が被害者の近くで強い偽 AP を出し、後述の Deauth で本物から切断すれば、端末は自然に偽 AP へ吸い寄せられる。
法的・倫理的な注意 #
Evil Twin は「偽 AP を立てる」「他人の電波を妨害する (Deauth)」「他人の通信を盗聴する」という、いずれも単独で違法になりうる行為の組み合わせ。許可なく Rogue AP を運用し、他人の通信を捕捉することは、日本の電波法・不正アクセス禁止法に明確に抵触する違法行為になりうる。
- 電波法 — Deauth による電波妨害は同法 109 条 2 項 (無線通信の妨害) の対象。同じ SSID での電波発射も、他人の通信妨害目的であれば問題になる
- 不正アクセス禁止法 — Captive Portal で他人の認証情報を詐取し、それを使ってサービスへログインすれば不正アクセス行為に該当する
- その他 — 盗聴・なりすましは状況により詐欺・業務妨害・通信の秘密侵害にも発展しうる
- 自分が所有・管理している機材だけで完結する環境 — 自分の AP・自分の端末・電波が外に漏れない隔離されたラボ
- 書面で明示的に許可された対象 — レッドチーム / ペネトレーションテスト契約で、スコープ (対象 SSID・期間・物理範囲) が文書化されているもの
- 正規の学習プラットフォーム — Wi-Fi 攻撃の演習が許可されたラボ環境
「カフェや空港でちょっと試す」は その瞬間に犯罪。公衆環境では WIDS / WIPS で検知される確率も高く、特定された場合の社会的・法的代償は計り知れない。なお切断 (Deauth) のステップは関連記事 Deauthentication Attack で詳説しているので、法的位置付けもそちらを参照のこと。
攻撃の流れ — Recon → Deauth → 偽 AP → Captive Portal #
典型的な Evil Twin はおおむね 4 ステップで進む。Deauth で本物から引き剥がし、同名・同チャンネルの偽 AP に乗り換えさせ、最後に偽ページで仕上げる、という多段構成。
airodump-ng で把握する。偽 AP を本物そっくりに作るための下準備。aireplay-ng で本物 AP からクライアントを切断する。詳細は関連記事 Deauthentication Attack を参照。切断された端末は同名で電波の強い偽 AP に再接続しやすくなる。hostapd / airbase-ng、あるいは wifipumpkin3 / airgeddon / Fluxion / eaphammer といったフレームワークを使う。$ airodump-ng wlan0mon
# 周囲の AP を一覧表示し、ターゲットの
# SSID / BSSID / CH / 接続中クライアントを確認する$ aireplay-ng -0 0 -a <BSSID> wlan0mon
# -0 0 Deauth を 0=無制限に送り続ける
# -a 切断対象の正規 AP の BSSID$ airbase-ng -e "FreeWiFi" -c 6 wlan0mon
# -e なりすます SSID (本物と同じ名前)
# -c 本物 AP と同じチャンネル番号バリアント — 公衆 Wi-Fi なりすまし / WPA-Enterprise 認証情報窃取 #
Evil Twin には大きく 2 系統のバリアントがある。狙う認証情報の種類が違う。
| バリアント | 狙い | 代表ツール |
|---|---|---|
| オープン / Captive Portal 型 (公衆 Wi-Fi なりすまし) | 「Free Airport WiFi」等を装い、ログインページでメール / パスワードを直接入力させて奪う | wifipumpkin3 / airgeddon / Fluxion |
| WPA-Enterprise (802.1X) 型 | RADIUS / AP になりすまし、EAP 認証情報 (MSCHAPv2 などのチャレンジ/レスポンス・ハッシュ) を捕獲してオフラインで解析 | eaphammer / hostapd-mana / hostapd-wpe |
① オープン / Captive Portal 型 — 公衆 Wi-Fi なりすまし #
空港・カフェ・ホテルでよくある「無料 Wi-Fi」を装うパターン。被害者が「Free Airport WiFi」のような SSID に接続すると、偽のログインページが表示され、メールアドレスや SNS のパスワードを入力させて盗む。HTTPS を使っていても、sslstrip と組み合わせれば平文を奪える場合がある。
② WPA-Enterprise (802.1X) 型 — 認証情報窃取 #
企業の Wi-Fi で使われる WPA-Enterprise (802.1X) を狙うパターン。eaphammer のようなツールは正規の RADIUS サーバ / AP になりすまし、クライアントが送ってくる EAP 認証情報 (たとえば MSCHAPv2 のチャレンジ/レスポンス・ハッシュ) を捕獲する。捕獲したハッシュはオフラインでクラックされ、社内ネットワークへの初期侵入に使われる。
WPA-Enterprise 型が成功する最大の要因は、クライアントが RADIUS サーバの証明書を検証していない (または「常に許可」になっている) こと。証明書を検証していれば、偽の RADIUS は正しい証明書を提示できず認証が止まる。後述の防御章で詳述する。
防御 — WPA3 / 802.11w / サーバ証明書検証 / VPN / WIPS #
Evil Twin は「偽 AP を立てる」「Deauth で引き剥がす」「偽ページで奪う」の多段攻撃なので、防御も多層になる。
| 対策 | 効果 |
|---|---|
| WPA3 / 802.11w (PMF) | 管理フレームを保護し、Deauth による強制切断を無効化 → 偽 AP への乗り換えを誘発しにくくなる (詳細は Deauthentication Attack) |
| サーバ証明書の検証 (Enterprise) | クライアントに RADIUS サーバ証明書の検証を必須化。正しい証明書を持たない偽 RADIUS は拒否される — 802.1X 環境で最も重要な防御 |
| VPN の利用 | 信用できない Wi-Fi では VPN を張り、通信を端末〜VPN サーバ間で暗号化 → 中間者にいても中身は読めない |
| HSTS / TLS の徹底 | サイト側が HSTS + TLS を全面適用していれば sslstrip は無効化される |
| WIDS / WIPS | 「同一 SSID を名乗る複数 BSSID」「未登録の Rogue AP」を検知 (Aruba / Cisco / Meraki 等) し、自動で防御 |
| ユーザ教育 | Wi-Fi のパスワードを Web ページに入力しない。オープン網を疑う。見覚えのない「再ログイン」要求を警戒する |
WPA-Enterprise (802.1X) の Evil Twin 対策の本丸は クライアント側でのサーバ証明書検証の強制。具体的には、接続プロファイルで「信頼する CA / サーバ証明書」を固定し、「証明書を検証しない」「ユーザに毎回確認させる」設定を禁止する。これだけで、正しい証明書を持てない偽 RADIUS は認証段階で弾かれ、eaphammer 系の攻撃は成立しなくなる。
(1) Wi-Fi のパスワードを、ブラウザに出てきたページに入力しない — 正規の AP がそんな再入力を求めることはまずない。(2) 駅・空港・カフェなど未知のオープン Wi-Fi では VPN を張る。(3) 不要な場面では Wi-Fi の自動接続をオフにし、知らない SSID を端末に覚えさせない。この 3 つで個人レベルの Evil Twin 被害は大きく減らせる。
まとめ — 関連ツールと攻撃の位置づけ #
- Evil Twin Attack は「正規 AP と同じ SSID をより強い電波で発信する偽 AP」を立て、被害者を攻撃者側に引き込む中間者攻撃
- 成立する根本理由は Wi-Fi が AP を SSID でしか識別せず、記憶済みネットワークへ自動再接続すること。だから同名・強電波の AP は無条件で信用される
- 典型は Recon → Deauth → 偽 AP → Captive Portal の 4 ステップ。切断のステップは関連記事 Deauthentication Attack で詳説
- バリアントは ① 公衆 Wi-Fi なりすまし (Captive Portal でメール/パスワード詐取) と ② WPA-Enterprise の EAP 認証情報窃取 (eaphammer 等) の 2 系統
- 偽 AP の実装には
airbase-ng/hostapd/wifipumpkin3などが広く使われる - 防御は WPA3 / 802.11w で Deauth を無効化、Enterprise ではサーバ証明書検証を必須化、ユーザ側は パスワードを Web に打たない・VPN を張る。技術的に簡単でも、他人の電波に撃てば日本の電波法・不正アクセス禁止法違反。学習は自分の機材か契約済みの対象でのみ
