last update 2017年10月16日 17:00

Wi-Fiセキュリティプロトコル「WPA2」に深刻な脆弱性が発見される

wpa2_vulnerability

Wi-Fi セキュリティプロトコルの「WPA2」の仕様に脆弱性が発見されたことが明らかになりました。

Iron グループCTOの Alex Hudson 氏によれば、詳細は欧州時間の10月16日にも公表される可能性があるとのことですが、CCSメインカンファレンスの11月1日14時(現地時間)からの枠や、12月上旬の「black hat Europe 2017」でも公演予定とのことです。

今回のセキュリティ問題は、Wi-Fi の鍵管理プロトコルである「WPA2」に関するもので、広範な Wi-Fi 機器に存在している脆弱性とみられます。

技術的詳細は現時点では不明となっていますが、「ノンス」と呼ばれる使い捨ての乱数値の再利用による「鍵の再インストール攻撃(Key Reinstallation AttaCK:略称KRACK)」という概要が明らかとなっています。

本脆弱性を悪用するには、攻撃者は被害者と同一 Wi-Fi 基地局へアクセスできる距離にいる必要があり、インターネット上における広範な脅威とはなりません。しかし、物理的にWi-Fi基地局へリーチできる環境においては、警戒すべきセキュリティ問題として取り上げられるようになるものと考えられます。

また、盗聴の可能性に関しても、VPNやHTTPSなどのより高いネットワークレイヤーで暗号化されている場合に関しては、今回の脆弱性の影響はないものと考えられます。

(2017/10/17 更新追記)Wi-Fi を巡っては WEP の脆弱性と非推奨など、セキュリティにまつわる混乱が過去にもありましたが、今回の件は端末側のパッチにより対処可能とのことで、WPA2 自体の利用は非推奨とはならないようです。

なお、現時点では、脆弱性識別子「CVE」の以下の番号が関係していると見られます。

CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

参考・関連情報:

コメントを記入

CAPTCHA