Wi-Fiセキュリティ新規格「WPA3」の脆弱性、対処するソフトウェアアップデートが公開

Wi-Fi Allianceは、2018年に発見されたWi-Fiセキュリティの新規格「WPA3」の脆弱性に対処するためのソフトウェアアップデートが公開されたことを明らかにした。

[鈴木聖子，ITmedia]

　2019年4月10日、業界団体Wi-Fi Allianceは、2018年に登場したWi-Fiセキュリティ規格「WPA3」について調べていた研究者が発見した同規格の脆弱（ぜいじゃく）性に対処するためのソフトウェアアップデートが公開されたことを明らかにした。

　WPA3の脆弱性を発見したのは、ニューヨーク大学アブダビ校のマシー・ヴァンホフ氏とテルアビブ大学のエーヤル・ローネン氏。両氏は今回の脆弱性について論文を公開し、「Dragonblood」という解説サイトを立ち上げた。ちなみにヴァンホフ氏はWPA2の「KRACK」と呼ばれる脆弱性を指摘した研究者だ。

DragonbloodのWebサイト

　解説サイトによると、脆弱性は「WPA3-Personal」などのホームネットワーク向け規格に存在し、「WPA3対応デバイスに対するダウングレード攻撃」と「WPA3のDragonfly Handshakeの弱点」の2種類に分類される。攻撃は、例えば既存のWPA2ツールを使うなどして比較的低コストで仕掛けることが可能だという。

　WPA3では「Dragonfly Handshake」という仕組みを使って、ネットワークのパスワード破りをほぼ不可能にしている。しかし今回見つかった脆弱性を悪用すれば、攻撃者がWPA3のWi-Fiネットワークのパスワードを取得できてしまう恐れがある。もしもHTTPSのような追加の対策が実装されていなければ、クレジットカード番号やパスワード、チャットおよびメールの内容といった情報が流出する恐れがある。

　ヴァンホフ氏とローネン氏の研究チームはこの問題についてWi-Fi Allianceや米セキュリティ機関CERT Coordination Centerと連携して、対策に当たり影響を受けるベンダーに通知した。

　Wi-Fi Allianceの発表によると、今回の脆弱性によって、WPA3-Personalの初期実装の一部が影響を受ける。影響を受けるデバイスのメーカーは、問題解決のためのソフトウェアアップデート配信を始めているという。

　「ソフトウェアアップデートを適用すれば、今回指摘された問題は全て回避できる」とWi-Fi Allianceは説明する。発表された時点で脆弱性の悪用は確認されていないという。Wi-Fi Allianceは、ユーザーに対して、デバイスメーカーから提供されるアップデートを適用し、常に最新の状態を保つよう呼び掛けている。