先週握手会に行った時にヲタクの方が会場の無料無線LANを使用して選挙の投票しよーって言ってた声が聞こえました。

個人的にちょっと危ないなーと思ったので、実際にフィッシングサイトを作って実験してみました。

実験は投票期間が終了している６月１７日に行いました。

まず、選挙ページは昨年もTwitterにメモりましたがHTTPSでの通信ではないためシリアルナンバーが丸見えです。

AKBの選挙ページ暗号化されてないからシリアル平文送信 pic.twitter.com/9BaaB3EfLK

— 謎の男 (@secret_return) 2016年6月17日

でも、通信内容を覗くだけだと既に使われたシリアルナンバーが見えるだけなのでまぁそんなに意味はないのです。

そのためフィッシングサイトを用意し、DNS Spoofingで投票ページにアクセスしたときにフィッシングサイトに誘導するよう仕向けます。

下の動画がデモです。

この様に本物の投票ページで投票したかのように見えますが、実際には投票されておらず、攻撃者にシリアルナンバーが盗まれます。

簡単にできる攻撃なので選挙だけに限らず、無料のWi-Fiを使う時はログインとかはしない方がいいとは思っています。はい。