Image From Flickr
15日、ルーヴェン・カトリック大学でネットワークプロトコルなどを研究しているMathy Vanhoef氏が、無線LAN(Wi-Fi)暗号化規格「WPA2」に脆弱性を発見したという報告書を提出。キーの管理に脆弱性があり、キーの再インストールを悪用した攻撃ができるという内容で、脆弱性は「KRACK」と名づけられています。現状の対策について、セキュリティに詳しいクラウドコンサル企業クラスメソッドの森永大志さんがQ&A形式で解説します。
クラスメソッドAWS事業部の森永です。セキュリティチームのリーダーをしております。先日公開された無線LAN(Wi-Fi)の脆弱性について想定される質問に回答いたします。脆弱性とは、プログラムの不具合や設計ミスにより生まれるセキュリティ上の欠陥のことを指します。
Q.何が発表されたの?
無線LAN(Wi-Fi)の暗号化方式の1つであるWPA2の脆弱性が公開されました。
他にWEPやWPAという規格もありますが、現状WPA2が最もセキュア(安全)な方式とされており、身のまわりにある製品の多くがWPA2の規格を使って通信するようになっています。
つまり企業やエンジニアが使用している機器だけでなく、世界中の一般家庭で使われている通信機器にも影響があるということです。
Q.最悪の場合どうなるの?
無線LAN(Wi-Fi)による通信を改ざんされる可能性があります。
通常、無線LAN(Wi-Fi)の通信は暗号化されているため、途中で傍受しても読めません。内容を書き換えることもできません。しかし、今回の脆弱性を突くことで、通信を傍受したり、内容を書き換えたりする可能性があります。
通信を傍受されると、ログインするためのパスワードや、買い物に使うクレジットカードの番号が漏洩する可能性があります。通信内容を書き換えることで、意図しないうちにコンピュータウィルスをダウンロードさせられるなど、致命的な問題に発展する可能性もあります。
最近のWebサイトはTLSという方法で通信を暗号化されているものが大半です(URLの頭に「https」と書いてあるもの)。こちらで暗号化した通信の傍受は、今回発見された脆弱性とは切り分けて考える必要があります。またVPNなどで通信を暗号化している場合も直接は通信内容を見ることができません。
ただ、今回の脆弱性とは別に、これらの通信を暗号化させないようにしたり、通信内容を知る攻撃もありますので、対処の必要がないわけではありません。
Q.すぐにやるべきことは何?
パソコンやスマートフォン、電化機器、ゲームなどWi-Fiに接続するデバイス(クライアントといいます)のOSやファームウェアなどをアップデートしてください。
今回の脆弱性はクライアントを対象としているため、クライアントにパッチを適用することで対処できます。各社が今回のアップデートに対応したパッチを公開、あるいは準備しています。無線LANルーター(アクセスポイント)のファームウェアも更新してください。遅れて配信されるケースもあるため、継続的にアップデートをしてください。
Q.家の無線LANは大丈夫?
まずクライアントのパッチを適用しているかを確認してください。
アクセスポイントをアップデートするのも忘れないでください。クライアント、アクセスポイントともに、今後別の脆弱性が出る可能性がありますので、今後すべて最新のパッチを当てることを推奨します。
なお、KRACKを使った攻撃は無線LANのパスワードを盗み取るものではありませんので、無線LANのパスワード変更は意味がありません。
Q.パソコンは大丈夫?
ソフトウェアメーカーがパッチを提供している場合はすぐにパッチを適用してください。
MicrosoftはWindows 7以降のOSについては既にパッチを公開しています。Linuxも多くのディストリビューションで公開済みです。Macについては次のアップデートで対応予定とのことです。パッチが提供されるまで有線LANを使用する方法もあります。
Q.スマホは大丈夫?
原稿執筆段階でiOSやAndroidなどにはまだパッチが提供されていません。無線LAN接続以外のデータ通信(3G・4G・LTEなど)で通信するぶんには問題ありません。
また、スマホはテザリング機能が付いたものがありますが、テザリングはWPA2を使っていることが多いため注意が必要です。
Q.ゲーム機は大丈夫?
現状各社パッチは提供していないようです。安全性を重視するなら、有線LANを使うなどしましょう。
Q.無線LANにつながる家電は大丈夫?
最近増えている無線LANなどにつながる家電も今回の脆弱性の対象になります。パッチが公開されたらすぐ適用するようにしましょう。
おそらく、家電などが一番遅くまでパッチが公開されずに取り残される可能性があります。ログインのためにパスワードを入力する必要がある機器などは、メーカーに対応を問い合わせるのも良いかと思います。
著者紹介──森永大志
普段はAWSというクラウドサービスを用いてWebシステムの構築、コンサルをしたり、新しい技術を検証しブログを書いたりしています。弊社ブログで様々な技術情報を垂れ流しにしておりますのでご興味ある方はぜひご覧ください。
https://dev.classmethod.jp/
今月末に福岡でAWSのセキュリティという話もします(Developers.IO 2017 WORLD in 福岡)。こちらもご興味のある方はぜひお越しください。
http://dev.classmethod.jp/news/developers-io-2017-world-fukuoka/
クラスメソッド
https://classmethod.jp/
※お詫びと訂正:記事初出時、クライアントもしくはアクセスポイントどちらかで対策をとっていればよいと解釈できる表現がありましたが、正しくはクライアントとアクセスポイント両面からの対策が必要です。お詫びするとともに、該当箇所ならびに周囲の表現を修正します(23日)
