昨日、ベルギーのルーヴェン・カトリック大学でネットワークプロトコルを研究するMathy Vanhoef氏らによって、Wi-Fi暗号化に使われる「Wi-Fi Protected Access II(WPA2)」プロトコルに脆弱性が見つかっていたが、昨日の予告通り、同問題の詳細が現地時間10月16日に特設サイトで公開された。
発表によると、同脆弱性は総称して「KRACKs(Key Reinstallation Attacks)」、脆弱性の件数は10件であるとのこと。
「WPA2」を使用する全ての端末に影響があるが、パッチの適用で対処可能
今回の脆弱性は、Wi-Fiのアクセスポイントと接続する際の認証手続き「4-way handshake」が原因だとする。「4-way handshake」は、接続する側と接続される側(アクセスポイント)で情報を送り合うことで、お互いの端末情報や暗号キーのやり取りをおこなう。
この情報のやり取りに失敗した際、アクセスポイント側には再度情報を送る機能が備わっており、接続する側は受け取る暗号キーが再インストールされ、それまでの情報のやり取りが一度リセットされる仕組み。
しかし、Mathy Vanhoef氏らは、この仕様を悪用することで外部から攻撃ができるとする。これらの端末間の情報のやり取りの間に割って入るようなメッセージを送ることによって、ユーザーが意図しないWebサイトへ飛ばしたり、端末のデータ通信から情報を盗み見ることが可能だという。
今回の脆弱性は特定の端末が対象になるものではなく、「WPA2」を使用する端末全てが対象。AppleやAndroid、Windows、Linuxなど主要な製品にまで影響が及ぶ。
ただ、Mathy Vanhoef氏らによれば、AndroidやLinuxの場合はこの暗号化キーに「0」を設定することも可能なため、他の端末に比べてより簡単にデバイスを乗っ取ることができるという。
これらの報告を受けて、Wi-Fiの規格標準化団体であるWi-Fi Allianceは16日、同脆弱性に対して「脆弱性を修正したアップデートで対処することができる」とコメント。この脆弱性の発見から、すでに対策に取り組んでおり、各メーカー宛に脆弱性の検証スクリプトを配布済みだという。
メーカー各社は、今回の脆弱性の公表を受けて、近くセキュリティアップデートを配信するだろう。The Vergeによると、すでにMicrosoftは同脆弱性に対応済で、10月10日にリリースしたWindowsアップデートを適用することで対策することが可能だとしている。
また最も影響が大きいAndroid端末に関して、Googleは「今後数週間以内に」影響を受けるデバイスの修正を約束している。
しかし、すべてのメーカーが脆弱性に対応するまではしばらく時間がかかる見通し。それまでの間、ユーザーができるセキュリティ対策としては、「WPA2」を使用しないぐらいしかないのが現状。
ただ、だからと言って「WEP」などのセキュリティが高くないものを使用することをMathy Vanhoef氏は推奨しておらず、「WEP」を使うぐらいなら引き続き「WPA2」を使用する方が良いとのこと。