偽の無料Wi-Fiアクセスポイントを空港や飛行機内に設置して個人情報を盗んだ男が逮捕される

オーストラリアの空港や国内線の機内に偽の無料Wi-Fiアクセスポイントを設置して他人の個人情報を盗んだとして、42歳の男が逮捕・起訴されました。オーストラリア連邦警察は、公共の無料Wi-Fiに安易にアクセスすることを控えるよう警鐘を鳴らしています。

WA man set up fake free wifi at Australian airports and on flights to steal people’s data, police allege | Cybercrime | The Guardian
https://www.theguardian.com/technology/article/2024/jun/28/wa-man-fake-free-wifi-airports-data-theft-ntwnfb

Australian charged for ‘Evil Twin’ WiFi attack on plane
https://www.bleepingcomputer.com/news/security/australian-charged-for-evil-twin-wifi-attack-on-plane/

起訴されたのは西オーストラリア州在住の42歳男です。男はパース市、メルボルン市、アデレード市の空港や国内線の機内、さらには自身が勤めていた以前の職場に関連する場所に偽のWi-Fiアクセスポイントを設置しました。男が設置した偽のWi-Fiアクセスポイントは空港や機内で提供されている無料Wi-Fiアクセスポイントのものによく似たSSIDが設定されており、勘違いして接続したユーザーをダミーページに誘導し、メールアドレスやSNSのログイン情報の入力を要求したとのこと。入力された情報は男のデバイスに保存され、個人情報にアクセスするために使われた可能性があります。

しかし、航空会社から「飛行中の航空機内で不審なWi-Fiネットワークが確認された」との通報を受け、オーストラリア連邦警察は2024年4月から捜査を行っていました。

そして2024年6月28日に、パース空港に戻った男の荷物を捜索したところ、携帯の無線Wi-Fi端末、ノートPC、携帯電話が発見されました。さらにパース郊外にある男の自宅を捜索した後、警察は男を逮捕しました。

男は、電子通信不正妨害、重大犯罪を意図したデータ所持、制限データへの不正アクセスまたは改ざん、個人の金融情報の不正取得、犯罪目的で身分証明書を所持した罪で起訴されました。有罪が確定すれば、男は最大で23年の禁固刑が科せられます。

セキュリティ研究者のダニエル・カード氏によると、男が行ったサイバー攻撃は「Evil Twin(邪悪な双子)」と呼ばれるそうですが、無料のWi-Fiアクセスポイントを設置する都合上、本人がその場にいる必要があるため、実際に行われるケースはかなり珍しいとのこと。

オーストラリア連邦警察サイバー犯罪課は公共のWi-Fiを利用する際の注意として、「無料Wi-Fiにアクセスする際に個人情報を入力しない」「不審なネットワークに接続した場合はパスワードを変更する」「不審なアクティビティは警察に報告する」「公共ネットワークで銀行取引などの機密取引にアクセスしない」「デバイスのファイル共有を無効にする」「VPNを使用する」を挙げました。

一方、カード氏は「長距離の旅行中でもオンライン状態を維持する必要性が高まっているため、人々にWi-Fiを使わないように指示するのは非現実的です」と述べ、ユーザー名とパスワードではなく多要素認証の導入と堅牢なセキュリティ標準がアカウントの保護のために必要だと主張しています。