WPA2の脆弱性「KRACKs」で無線AP側の対応は必要か?


2017年10月16日から、Wi-Fi接続等で使用する認証プログラムのWPA2(Wi-Fi Protected Access II)に脆弱性があることが公表されました。

今や、PC、スマホ、IoT機器など多くのデバイスが無線接続しているので、どのような影響があるのか心配しました。

しかし、Wi-Fiの規格標準化団体であるWiFi Allianceは「簡単なソフトウェアアップデートによって解決できる」と発表しました。

既に、主要なメーカー各社は、セキュリティパッチをユーザーに提供開始しています。

まずは、PC、スマホなどデバイスのアップデートを早急に実施しましょうね。

ちなみに、私の職場も無線環境は整っています。

接続方式は、WPA2-EAPです。

こういった環境では、「KRACKs」がどう影響するのかも心配(興味)です。





 

WPA2の脆弱性「KRACKs」とは?

WPA2の脆弱性「KRACKs」は、WPA2の脆弱性を突き、WiFi接続の通信内容盗聴や改ざんを可能にするものです。

どういった原理で悪用できるのかは、以下の特設サイトで公開されています。
https://www.krackattacks.com/

「KRACKs」は、Wi-Fi接続時の認証プログラムであるWPA2プロトコルの脆弱性を突いたものです。

暗号化方式であるAES等は無関係です。

つまり、暗号化方式が破られたという訳ではありません。AESは、今なお盤石でしょう。

Twitter等では、「WPA2でなくWEPを使え」なども見受けられました。

でもWEPこそ、素人でも通信を簡単に盗聴・改ざんすることができますので、WEPは使わないに越したことはありませんね。

 

「KRACKs」の影響

「KRACKs」は、WPA、WPAどちらも対象の脆弱性です。

攻撃対象は、クライアント端末です。

そのため、無線APなどは攻撃対象にならない可能性がかなり大です。

クライアント端末が攻撃を受けた場合は、通信の盗聴や改ざんの被害に遭います。

個人情報やクレジット番号などの入力や、個人データのアップロード、ダウンロードには注意が必要です。

ただし、暗号化通信(SSL等)をしていれば、盗聴されることはありません。

また、攻撃経路として、インターネットを介した攻撃はできません。

攻撃者は無線APの近く(電波の届く範囲)で、攻撃する必要があります。

このように、インターネットを介した攻撃は出来ないので、対策のしようがあると感じます。

公衆WiFiや、個人宅では、近くに攻撃者がいる可能性も否定できません。用心する必要があるでしょう。

 

「KRACKs」の対策

Wi-Fiの規格標準化団体であるWiFi Allianceは、「簡単なソフトウェアアップデートによって解決できる」と発表していましたね。

対策としては、端末のアップデートを実施してください。

・Windows端末
Windowsでは、セキュリティーパッチが提供されています。
最新アップデート適用済でしたら、WiFi接続にそこまで慎重にならなくても良さそうですね。

・Apple端末(PC、スマホ)
次期アップデートで対策予定です。
しばらくはWiFi接続は慎重に行い、パッチが適用されるのを待った方が良さそうです。

・Android端末
Androidも、Googleが数週間以内に対策パッチを提供する予定となります。
こちらも、パッチが適用されるまで慎重にするのが良さそうです。
なお、Android端末はGoogleがパッチを適用しても、Android端末会社が
独自にパッチを提供することが大多数です。
お使いのAndroid端末メーカーのサポートページ等から最新ファームを取るようにしましょう。

・Linux端末
Linuxでも、適時パッチが提供される予定っぽいですね。
それまでは、慎重に。

ちなみに、IoT機器の対策については、製造メーカー各社にゆだねられています。
各々よく確認し、場合によっては機器交換などサポートが充実しているメーカーや機器に
買い替えしましょう。



無線APの対策は?

今回は、WPA2の脆弱性ということですが、無線AP側の対策は必要なのでしょうか?

「KRACKs」は、クライアント端末を攻撃ターゲットにしていることから、どちらかというと、クライアント端末のセキュリティパッチが重要ですね。

しかし、今後「KRACKs」がどのような動きをするのかは予測できません。

無線AP側の対策も講じることがおススメです。

私の会社では、BuffaloやIOデータといった無線APが多く設置されています。

両社のサイトを本日(10/17)確認したところ、特に何もアップデートされていませんでした。

今後、何かしらの動きがあるものと思いますので、適宜適用しようと思います。

なお、私の会社は「WPA2-EAP」で無線接続をしていますが、今回の「KRACKs」では、「EAP」だろが「PSK」だろうが関係なさそうですね。

WPA2の認証プログラムの脆弱性なので、その下の暗号化したキーの処理(PSK/EAP)は関係なしっぽさげ。

ここに良く纏められていて、EAPについても少し書かれていました。
https://irishinfosecnews.wordpress.com/2017/10/16/secure-wifi-hijacked-by-krack-vulns-in-wpa2/

 

「KRACKs」のまとめ(いまのところ)

最初、WPA2の脆弱性と聞いて、どれほどの影響が出るのか不安でしたが、何とか対策があるようで良かったです。

ただし、公衆の場でのWiFi接続は当分(セキュリティパッチが出ていない端末)控えた方が良さそうですね。

また、IoT機器や無線APなども、メーカーのサポートページを定期的に確認して、最新のファームウェアが出たら、インストールするように心がけましょう。



 

♪ カテゴリーリスト♪  

label, , , ,

About the author