スマートフォンから無線ラン(Wi−Fi=ワイファイ)にアクセスする過程で、インターネットサイトへのアクセス用のIDや暗証番号、電子メールの内容などの個人情報が、「ハッカー」にそのまま漏洩されかねないことが、実験の結果、国内では初めて確認された。
UNIST(蔚山科学技術大学)・電気電子コンピューター工学部のソ・イソン教授の研究チームは先月28日、大学研究室で、「偽の無線乱へのアクセス装置」(以下、偽AP)を製作し、実験に参加した所属研究員や東亜(トンア)日報記者の情報をハッキングすることに成功した。
実験対象10ヶ所のうち、ダウムやヤフー、グーグル、フェイスブックのツイッターのホームページや、UNISTのホームページ、授業管理システム(ブラックバード)、さらには、情報通信産業の支援に向け設立された知識経済部傘下の情報通信産業振興院までが被害を受けた。自社内の暗号化システムを別途に設けているネイバーやネクソンは、ハッキングに失敗した。個人の通信アクセスを途中から横取りするのは不法だが、UNIST側は、研究のために記者や研究院の同意を得て、この実験を行った。
これは昨年12月、韓国インターネット振興院が開催した「ウェブサイトのセキュリティ強化に向けたカンファランス」の中で、偽APで実演したスマートフォンのハッキングと同様である。また、先月25日(現地時間)、英紙ガーディアンがセキュリティ専門家らの協力を得て、ロンドンの駅やコーヒーショップに偽のAPを設置し、複数のスマートフォンの・ユーザーの名前や暗証番号、メッセージなどをハッキングしたのと似ている。
ソ教授チームはさらに、無線ランへのアクセス問題点の補足に使うSSL(Sexure Sockets Layer)にまで入り込むことに成功した。SSLとは、端末やポータルなどのサーバーが通信する際、「認証キー(key)」を相互に確認することで、個人情報などを保護する技術だ。SSL認証方式は、有線インターネット上で、セキュリティ強化に向け使っており、最近、スマートフォンのセキュリティ強化に向け、無線インターネットにも導入している。
今回の実験が成功したことを受け、例えば、カフェやデパートなど、いかなるところでも、スマートフォンでポータルサイトなどのインターネットにアクセスする際、これを途中から横取りし、ユーザーの全ての個人情報を獲得できることが明らかになった。ソ教授は、「偽APを公共場所などに設置すれば、スマートフォンのユーザーらの情報を大量に流出させることができる」と言い、「追加のセキュリティ向け技術開発が求められる」と話した。
しかし、別途の公認人証書などにより、2重、3重のセキュリティ体制を敷いている金融機関などの情報は、偽のAPではアクセスできなかった。
yhlee@donga.com kyoutae@donga.com