Wi-Fiセキュリティプロトコル「WPA2」に深刻な脆弱性が発見される
Wi-Fi セキュリティプロトコルの「WPA2」の仕様に脆弱性が発見されたことが明らかになりました。
Iron グループCTOの Alex Hudson 氏によれば、詳細は欧州時間の10月16日にも公表される可能性があるとのことですが、CCSメインカンファレンスの11月1日14時(現地時間)からの枠や、12月上旬の「black hat Europe 2017」でも公演予定とのことです。
今回のセキュリティ問題は、Wi-Fi の鍵管理プロトコルである「WPA2」に関するもので、広範な Wi-Fi 機器に存在している脆弱性とみられます。
技術的詳細は現時点では不明となっていますが、「ノンス」と呼ばれる使い捨ての乱数値の再利用による「鍵の再インストール攻撃(Key Reinstallation AttaCK:略称KRACK)」という概要が明らかとなっています。
本脆弱性を悪用するには、攻撃者は被害者と同一 Wi-Fi 基地局へアクセスできる距離にいる必要があり、インターネット上における広範な脅威とはなりません。しかし、物理的にWi-Fi基地局へリーチできる環境においては、警戒すべきセキュリティ問題として取り上げられるようになるものと考えられます。
また、盗聴の可能性に関しても、VPNやHTTPSなどのより高いネットワークレイヤーで暗号化されている場合に関しては、今回の脆弱性の影響はないものと考えられます。
(2017/10/17 更新追記)Wi-Fi を巡っては WEP の脆弱性と非推奨など、セキュリティにまつわる混乱が過去にもありましたが、今回の件は端末側のパッチにより対処可能とのことで、WPA2 自体の利用は非推奨とはならないようです。
なお、現時点では、脆弱性識別子「CVE」の以下の番号が関係していると見られます。
CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.
参考・関連情報:
こんな記事も読んでみませんか?
- Androidの「Stagefright」脆弱性有無を診断できるアプリ「Stagefright Detector」
- 【攻略】Ingress Prime初心者が早く知っておいた方が良い事まとめ【イングレス】
- 【Let's Encrypt】certbotの仕様についてAIに質問した回答のメモ(ChatGPT 4)
- 【Android】APKファイルを強制インストールする方法(Google Play以外から入手)
- Windows 10でディスク・CPU利用率が常に高い場合の対処方法(Antimalware Service Executable)
- 「ミティキュア」によるダニアレルゲン舌下免疫療法も始めてみた【体験記・シダキュア併用】