2022年11月、アメリカとカナダの大学の研究者たちが、ドローンを使って、建物の外からWi-Fi機器の位置を特定する方法を発表しました。この方法は、Wi-Peepと呼ばれ、Wi-Fiと「peep(のぞき見の意味)」を組み合わせた造語です。同一のWi-Fiを介して互いに通信するデバイスを「のぞき見」することが可能なため、その名がつけられました。この研究によって、Wi-Fiネットワークの特定の機能や、デバイスの位置が特定されてしまう潜在的なリスクが、初めて指摘されました。ただ、映画「007」のジェームズ・ボンドを連想させるようなこのWi-Peep攻撃が発生する可能性はそれほど高くはありません。しかし、Wi-Fi機器の場所が特定されると、どのようなリスクがあるのかは知っておくべきです。
Wi-Peep攻撃の特徴
研究結果を詳しく見る前に、ここで実際の生活における攻撃はどのようなものかを考えてみましょう。攻撃者の目的は、Wi-Fi機器が建物のどこにあるかを把握することです。そのために、最も安価なマイクロコンピューターを搭載したドローンを標的とする建物の近くで飛ばします。データを正確に収集するには、建物との距離が1.5メートル前後である必要があります。
ただ、攻撃者は、なぜデバイスの位置を特定しようとするのでしょうか?仮に、標的とされる建物が、銀行であったり極秘情報を扱う研究機関だとしましょう。このような建物のセキュリティシステムではWi-Fiモジュールが使用されています。このことが、「なぜ」という質問の答えとなります。セキュリティシステムの場所の情報は、攻撃を仕掛ける側にとって、物理的な侵入を計画する際に大変に有益な情報となり得るのです。
では研究者は、どのようにしてこの攻撃を再現したのでしょうか?
Wi-Peep攻撃は、どのWi-Fiデバイスにもある二つの重要な機能を悪用します。一つは、Wi-Fiデバイスの節電メカニズムです。例えば、スマホにあるWi-Fiモジュールは、短期間ワイヤレスレシーバーをシャットダウンすることで電力消費量を抑えます。一方のワイヤレスアクセスポイントはこのモードで使用されているWi-Fiモジュールについて考慮する点があります。それは、ルーターが特定のデバイスへのデータパケットを蓄積させておき、Wi-Fiモジュールが再度データを受信する準備が整ったことを示したら、蓄積したデータパケットをすべて一度に伝送します。
攻撃を成功させるためには、攻撃者であるスパイは、MACアドレスのリストを入手する必要があります。これは、個々のデバイスIDで、後ほどデバイスの位置を特定するために使用されます。同じ家の中やオフィス、ホテルなどにあるデバイスは、通常共有のWi-Fiネットワークに接続しており、Wi-Fiの名前は、使用者でなくてもわかるように公になっています。
研究によりますと、偽のデータパケットが、接続されている共有のWi-Fiネットワークから送られたように見せかけて伝送し、データが蓄積されていることを、接続しているすべてのデバイスに知らせることが可能であることがわかりました。このシグナルに対して、デバイスは応答しますが、その際ネットワークに接続されているデバイス全てのMACアドレスを即座に送信します。さらに、これよりもより簡単な方法があります。ワイヤレスの無線トラフィックを傍受する、という方法です。しかし研究者によりますと、この方法だと、パッシブモードで、約12時間データを蓄積する必要があるといいます。
ワイヤレスデータを送受信する機能で悪用される可能性があるもの二つ目は、Wi-Fi Politeと呼ばれる機能です。この名前は、2020年初頭の 研究論文の著者によって名づけられたもので、次のようなものです。ワイヤレスデバイスは常に別のデバイスから送信されるアドレス要求に応答します。これは、デバイスが共通のWi-Fiネットワークに接続していない場合や、要求が暗号化されていない場合、不正なものである場合でも同じです。それに応答するWi-Fiモジュールは、「データを受信しました」という、簡単な確認メッセージを送信しますが、その際、Wi-Fiとデバイスとの距離が明らかになることがわかりました。このようなパケットの受信への応答時間は10マイクロ秒と厳密に決められています。そのため、攻撃者は要求を送ってから応答を受信するまでの時間を計測して、この10マイクロ秒を減算し、デバイスに無線信号が届くまでにかかる時間を計算することができます。
この情報から何がわかるのでしょうか?それは、固定の場所に置かれているWi-Fi機器の周辺を移動しながら、自分の位置情報と目的の対象物までの距離を把握することで、デバイスまでの距離をほぼほぼ正確に特定することができます。研究では、この攻撃の成功を妨げる、障害をどう乗り越えるかに焦点が当てられています。Wi-Fiの無線トランスミッターからの信号は、部屋の壁やその他の障害物によって跳ね返るため、距離を計算することが難しくなります。実際に、標準の応答時間は10マイクロ秒ですが、実際の値はデバイスによって8から13マイクロ秒と異なるという結果もでています。攻撃者のWi-Fiモジュールそのもののジオロケーションの正確性も影響します。ジオポジショニングシステム(GPSやGLONASSなど)の正確性が十分であるとは言い切れません。収集されるデータにはたくさんの不要な情報が含まれますが、十分な計測が行われれば、比較的精度の高い結果を得ることは可能です。具体的には、数万回記録すれば、水平方向約1.26~2.30メートルの誤差の範囲で、正確な位置情報を得られます。垂直方向では、91%の確率でフロアを正確に特定できるということです。
高度な攻撃は低コストで実現可能
ワイヤレスデバイスの座標を特定するシステムは、正確性に欠けることがわかりましたが、それでもまだ興味深いものではあります。研究者が使用したのは、激安な装置だったからです。理論的には、スパイは標的とするものの周りをゆっくりと歩くだけで、攻撃を実行できることになります。研究者は、ESP32チップセットのマイクロコンピューターとWi-Fiモジュールを装備した低価格のドローンを使用しました。この調査キットの総費用(ドローンの費用を除く)は、なんと20ドル未満だったというのは驚きです。しかも、被害者のデバイスでこの攻撃を追跡することは実質不可能です。Wi-Fiモジュールの標準機能を使用しており、この機能は無効にすることができず、挙動を変えることもできません。被害者のデバイスと攻撃者のマイクロコンピューター間の通信が可能であれば、攻撃することは可能です。Wi-Fiを使用したデータ伝送が可能な範囲は数十メートルですが、ほとんどの場合は、それだけあれば十分な距離です。
あいまいな用途
実生活における攻撃を想定すると、攻撃者が入手したデータはどのように使われるのでしょうか。研究者は、いくつかのシナリオがありうると考えています。第一に、特定の個人のスマートフォンのMACアドレスがわかれば、外出中の行動をおおまかに把握できます。攻撃時スマホが、どのワイヤレスネットワークにも接続されていない場合でも行動を追跡することは可能です。第二に、セキュリティシステムで保護された建物内(競合他社のオフィスや銀行の敷地など)のWi-Fiデバイスの配置図を作成することで、実際の攻撃が現実的なものとなります。たとえば、監視カメラがデータ伝送のためにWi-Fiを使用していれば、監視カメラのおよその位置を特定できます。
他にも利点はあります。例えば、ホテルでWi-Fiデバイスの数に関する情報を収集できれば、ホテルに滞在している人の数を推定することができます。このような情報は、ライバル企業にとっては価値のある情報です。あるいは、ワイヤレスデバイスの数を把握すれば、標的が自宅にいるかどうかを判断する上で役立ちます。MACアドレスも、デバイスの座標情報がない場合にも利用できます。公の場でスマホの使用状況に関する情報を収集することもできます。スパイ行為や強盗といった明らかな犯罪行為に加え、個人のプライバシーを脅かす脅威となります。
しかしながら、このような攻撃が実際に起こるのか、直接的なリスクは極めて低いといえるでしょう。標的に物理的に近づかなくてはならない攻撃やデータ収集には、多大な労力がかかるため、Wi-Peep攻撃が大規模な攻撃で使用されることはないでしょう。また標的を絞った攻撃においても、他の方法のほうがより効果的であるといえます。そうとはいえ、科学的な研究は複雑なテクノロジーのマイナーな機能を、悪意のある目的のために利用する方法を理解する上で役に立ちます。この研究に携わった研究者は、自身の研究の真の利益は、ワイヤレスでのデータ伝送技術において今後このような小さなセキュリティおよびプライバシーにかかわるリスクをなくすことにあると述べています。
カスペルスキーは、アンチドローンシステムを使用することをお勧めします。これだけではWi-Peep攻撃に対抗はできませんが、少なくとも空中からのスパイ行為に対する保護を強化することはできます。