2017年10月16日から、Wi-Fi接続等で使用する認証プログラムのWPA2(Wi-Fi Protected Access II)に脆弱性があることが公表されました。
今や、PC、スマホ、IoT機器など多くのデバイスが無線接続しているので、どのような影響があるのか心配しました。
しかし、Wi-Fiの規格標準化団体であるWiFi Allianceは「簡単なソフトウェアアップデートによって解決できる」と発表しました。
既に、主要なメーカー各社は、セキュリティパッチをユーザーに提供開始しています。
まずは、PC、スマホなどデバイスのアップデートを早急に実施しましょうね。
ちなみに、私の職場も無線環境は整っています。
接続方式は、WPA2-EAPです。
こういった環境では、「KRACKs」がどう影響するのかも心配(興味)です。
WPA2の脆弱性「KRACKs」とは?
WPA2の脆弱性「KRACKs」は、WPA2の脆弱性を突き、WiFi接続の通信内容盗聴や改ざんを可能にするものです。
どういった原理で悪用できるのかは、以下の特設サイトで公開されています。
https://www.krackattacks.com/
「KRACKs」は、Wi-Fi接続時の認証プログラムであるWPA2プロトコルの脆弱性を突いたものです。
暗号化方式であるAES等は無関係です。
つまり、暗号化方式が破られたという訳ではありません。AESは、今なお盤石でしょう。
Twitter等では、「WPA2でなくWEPを使え」なども見受けられました。
でもWEPこそ、素人でも通信を簡単に盗聴・改ざんすることができますので、WEPは使わないに越したことはありませんね。
「KRACKs」の影響
「KRACKs」は、WPA、WPAどちらも対象の脆弱性です。
攻撃対象は、クライアント端末です。
そのため、無線APなどは攻撃対象にならない可能性がかなり大です。
クライアント端末が攻撃を受けた場合は、通信の盗聴や改ざんの被害に遭います。
個人情報やクレジット番号などの入力や、個人データのアップロード、ダウンロードには注意が必要です。
ただし、暗号化通信(SSL等)をしていれば、盗聴されることはありません。
また、攻撃経路として、インターネットを介した攻撃はできません。
攻撃者は無線APの近く(電波の届く範囲)で、攻撃する必要があります。
このように、インターネットを介した攻撃は出来ないので、対策のしようがあると感じます。
公衆WiFiや、個人宅では、近くに攻撃者がいる可能性も否定できません。用心する必要があるでしょう。
「KRACKs」の対策
Wi-Fiの規格標準化団体であるWiFi Allianceは、「簡単なソフトウェアアップデートによって解決できる」と発表していましたね。
対策としては、端末のアップデートを実施してください。
・Windows端末
Windowsでは、セキュリティーパッチが提供されています。
最新アップデート適用済でしたら、WiFi接続にそこまで慎重にならなくても良さそうですね。
・Apple端末(PC、スマホ)
次期アップデートで対策予定です。
しばらくはWiFi接続は慎重に行い、パッチが適用されるのを待った方が良さそうです。
・Android端末
Androidも、Googleが数週間以内に対策パッチを提供する予定となります。
こちらも、パッチが適用されるまで慎重にするのが良さそうです。
なお、Android端末はGoogleがパッチを適用しても、Android端末会社が
独自にパッチを提供することが大多数です。
お使いのAndroid端末メーカーのサポートページ等から最新ファームを取るようにしましょう。
・Linux端末
Linuxでも、適時パッチが提供される予定っぽいですね。
それまでは、慎重に。
ちなみに、IoT機器の対策については、製造メーカー各社にゆだねられています。
各々よく確認し、場合によっては機器交換などサポートが充実しているメーカーや機器に
買い替えしましょう。
無線APの対策は?
今回は、WPA2の脆弱性ということですが、無線AP側の対策は必要なのでしょうか?
「KRACKs」は、クライアント端末を攻撃ターゲットにしていることから、どちらかというと、クライアント端末のセキュリティパッチが重要ですね。
しかし、今後「KRACKs」がどのような動きをするのかは予測できません。
無線AP側の対策も講じることがおススメです。
私の会社では、BuffaloやIOデータといった無線APが多く設置されています。
両社のサイトを本日(10/17)確認したところ、特に何もアップデートされていませんでした。
今後、何かしらの動きがあるものと思いますので、適宜適用しようと思います。
なお、私の会社は「WPA2-EAP」で無線接続をしていますが、今回の「KRACKs」では、「EAP」だろが「PSK」だろうが関係なさそうですね。
WPA2の認証プログラムの脆弱性なので、その下の暗号化したキーの処理(PSK/EAP)は関係なしっぽさげ。
ここに良く纏められていて、EAPについても少し書かれていました。
https://irishinfosecnews.wordpress.com/2017/10/16/secure-wifi-hijacked-by-krack-vulns-in-wpa2/
「KRACKs」のまとめ(いまのところ)
最初、WPA2の脆弱性と聞いて、どれほどの影響が出るのか不安でしたが、何とか対策があるようで良かったです。
ただし、公衆の場でのWiFi接続は当分(セキュリティパッチが出ていない端末)控えた方が良さそうですね。
また、IoT機器や無線APなども、メーカーのサポートページを定期的に確認して、最新のファームウェアが出たら、インストールするように心がけましょう。
♪ カテゴリーリスト♪