無線LANセキュリティ規格「WPA」突破――その対策は？（1/2 ページ）

WPAで用いられる暗号化プロトコルの「TKIP」が研究者によって解読された。無線LANの管理者はどのような対策を立てるべきだろうか。

[Andrew Garcia，eWEEK]

　セキュリティ研究者は今週、無線LANセキュリティ規格「WPA」をどのようにして突破できたかについて説明することになっているが、eWEEK Labsでは、このことが無線LANの管理者にとってどのような意味を持つかを説明しよう。

　今週東京で開催される「PacSec 2008」カンファレンスでは、研究者のエリック・テューズ氏とマーティン・ベック氏が、WPAの暗号化技術を破るために考案した手法について説明することになっている。

　今のところ、この攻撃の影響が及ぶ範囲は限られている。この攻撃はTKIP（Temporal Key Integrity Protocol）で暗号化されたネットワークにのみ有効であり、また、トラフィックを追加することはできてもデータを傍受することはできないからだ。だが、この攻撃手法をめぐり大きな混乱が生じるであろうことは確実だ。

　本稿では、この攻撃とその影響について5つの要点を概略する。この攻撃の手法とその限界、そして無線LANとそのLANを通過するデータを攻撃者から保護するための対策など、いずれも無線LANの管理者にはぜひとも理解しておいてもらいたい重要なポイントばかりだ。

　最初のポイントは、テューズ氏とベック氏が考案したこの攻撃手法はTKIPで保護されているネットワークに対してのみ有効だという点だ。TKIPは一定時間ごとに暗号鍵を自動的に変更するためのプロトコルで、当初は「WEP2」と呼ばれていたものだ。無線データを保護するための暗号化技術「WEP（Wired Equivalent Privacy）」が解読されたのを受けて、「ユーザーがハードウェアを買い換えずに従来のWEP対応製品のまま、データ保護のためのアップグレード手段を手に入れられるように」という意図で暫定的に導入されたセキュリティ規格だ。TKIPにはWEPの基盤が採用されているが（従って、WEPと同じRC4という暗号化アルゴリズムを使用する）、暗号鍵はWEPよりも長く、鍵はパケットごとに更新され、鍵の作成に使われる初期化ベクター（IV）は24ビットから48ビットに強化され、またメッセージの改ざんを検出するための「Michael」と呼ばれる整合性チェック機能（MIC）が追加されている。

　新しい攻撃手法の根底にあるのは、このMichael MIC機能だ。この攻撃では、クライアントと認証サーバとが共有するペアマスター鍵（PMK）をクラッキングするのではなく、個々のパケットを解読する手法が用いられる。つまり、セッションを保護しているペア一時鍵（PTK）を解読することで、例えばARP（アドレス解決プロトコル）パケットのように、ほんの数バイトの未知のデータで構成される非常に小さなパケットを解釈しようという手法だ。

　Michaelは1分間にエラーを2つ検出した場合には、デバイスを60秒間停止させ、鍵を書き換えるようになっているため、攻撃者は慎重に探りを入れる必要がある。だが、こうした小さなパケットであれば推測すべき要素も極めて少ないため、Michaelに探りを入れてエラーを戻すのをやめさせるのに数分もあれば十分だ（わたしが入手した情報によると、クラッキングにかかる時間は12〜15分ほどだという）。この解読がうまくいけば、攻撃者は既存の攻撃手法を用いて、オリジナルのWEPに組み込まれている（そしてTKIPでも依然として使われている）整合性チェック機能を回避できる。

　一方、同じWPAでも、TKIPではなくAESで保護されたネットワークはこの攻撃の影響を受けない。なぜなら、AESはCCMP（Counter Mode with Cipher Block Chaining Message Authentication Code Protocol）と呼ばれる、まったく異なる暗号化手法を用いているからだ。

　2つ目のポイントは、この攻撃では暗号鍵は破られず、またMichael MIC機能を実際に突破できるのは小さなパケットを解釈する場合に限られることから（推測すべき要素が多過ぎると、定期的な鍵の更新が行われるまでに解読を完了できないため）、攻撃者は無線LAN経由でデータを解読したり、傍受したりすることはできないという点だ。ただし、この攻撃手法をMACスプーフィングとともに利用すれば、攻撃者は無線LANのアクセスポイントを装い、ストリームに少量のトラフィックを注入できる。こうしたトラフィックの注入をクライアントのARPキャッシュやDNSキャッシュの改ざんに用いれば、意図されていない（そして恐らくは無法な）目的地にマシンをリダイレクトできる。

　「最悪のシナリオとして考えられるのは、攻撃者がアクセスポイントを装いつつ、クライアントに最大7個のパケットを注入するというケースだ。クライアントはそうしたパケットを適切に暗号化されたものとして受け止めるだろう。そうなれば、ARPスプーフィングによってあらゆるタイプのサービス拒否（DoS）状態を発生させられる。あるいはクライアントに対し、インターネット上のサーバとやりとりしているように見せ掛けることもできるだろう」とAirTight Networksで無線セキュリティを担当する上級研究者のリック・ファリーナ氏は語っている。

　ただし、無線LANのユーザーや管理者は、「WPA2」規格はこの攻撃の影響を受けないという点に留意すべきだ。WPA2対応のWi-Fi認定にはオプションとしてAESベースとTKIPベース両方のセキュリティ規格が含まれているため、この攻撃を防御するには、無線LANの管理者はWPA2対応のネットワークでAES暗号化技術のみをサポートするよう確認する必要がある。