こんにちはkimiです。
最近では街中を歩くと無料で使えるWi-Fiのサービスがたくさんあり、生活スタイルによっては月間7GB制限が気にならなくなる人も出てきたかもしれません。
しかし公衆Wi-Fiを信用しすぎて行動していると、大変なことになる可能性が…。
なんと今回、Wi-Fiを悪用しクレジットカード情報を盗む手口が見つかったとのこと。一体どのようなものなのでしょうか?
Apple Payに偽装してクレジットカード情報を盗み取る!?
今回明らかになったのはモバイルセキュリティ企業Wanderaが発見した脆弱性。
例えば店舗内の無料Wi-Fiに接続後ブラウザを立ち上げると、企業が用意したページが強制的に出てきますよね。
多くの場合、企業が用意したページはログイン画面で、あらかじめメールアドレスなどを登録しておき、その情報を入力することで無料Wi-Fiが使えるようになります。
Photo credit: chrisoakley / Foter / CC BY
今回の手口は、そのログインページのレイアウトを「Apple Payの支払い情報入力画面」に偽装してしまうことで、ユーザーが気付かずクレジットカード情報を入力し、攻撃者にクレジットカード情報を渡してしまう…というものなんだとか。
Photo credit: Sean MacEntee / Foter / CC BY
下が実際の画面です。左がホンモノのApple Payの支払い情報入力画面で、右がそれに偽装したニセモノのページ。
ニセモノのほうにはWi-Fiログイン画面を偽装させているので、画面上部に「Log In」という文字が表示されています。
「Wi-Fiに接続していきなりクレジットカード情報を入力する人なんて本当にいるの?」と思われるかもしれませんが、Apple Payを使用中になんらかの理由でWi-Fi接続が途切れたら…?
再度接続するときにホンモノそっくりなこの画面が表示され、「偽装されたページ」と気づかずに入力してしまったり…さらにApple Payのレジ近くなど、人々がApple Payをよく使いそうな場所に攻撃者がWi-Fiを設置すれば、情報を盗むのは格段に容易くなります。
「でも日本ではまだApple Payは開始されてないし、自分には関係ないや」と思った方!
もし今回の脆弱性が悪用され、例えばSNSのログイン画面に偽装したページなどを表示し、「無料Wi-Fiを利用するにはSNSやメールアカウントでのログインが必要です」などと表示するようにすれば、日本でもパスワードを盗まれるなどの被害が発生してしまうかもしれません。
Photo credit: Sean MacEntee / Foter / CC BY
公衆Wi-Fiはとても便利なものですが、本当に使っていい接続先なのか、常に頭の片隅で考えながら利用するようにしましょう!
