「WPA2」の脆弱性情報、セキュリティ機関が公開 パッチ適用を呼び掛け:特にAndroidに深刻な影響
影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。
Wi-Fiで使われている暗号化技術「WPA2」(Wi-Fi Protected Access II)に脆弱性が報告された問題で、米セキュリティ機関のCERT/CCは10月16日、セキュリティ情報を公開した。影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。
CERT/CCによると、この問題ではWPA2のハンドシェイクトラフィックが操作され、ノンス(使い捨てのランダムな文字列)およびセッション鍵のリセットが誘発され、被害者の無線アクセスポイント(AP)やクライアントによって鍵が再インストールされる恐れがあるという。
この問題について解説した専用サイトによれば、この脆弱性を突いて「Key Reinstallation Attacks(KRACK)」と呼ばれる攻撃を仕掛けられると、暗号化されて安全が守られているはずの情報を読み取られる可能性があり、クレジットカード番号やパスワードのようなセンシティブな情報のほか、チャットやメール、写真などを盗まれる恐れもある。さらに、データの挿入や操作を行って、例えばランサムウェアなどのマルウェアをWebサイトに挿入することも可能とされる。
脆弱性は10件あり、研究者はこれまでの調査で、Android、Linux、Apple、Windows、OpenBSD、MediaTek、Linksysなどに影響を確認。特にAndroidは深刻な影響を受けるという。
WPA2プロトコルは無線ネットワーキングで広く普及していることから、あらゆる実装が影響を受ける公算が大きいとCERT/CCは指摘し、アップデートが公開されたらインストールするようユーザーに呼び掛けている。
CERT/CCが現時点で影響を確認した製品には、Cisco、Google、Microsoft、Samsung Mobile、東芝といった主要メーカー多数が含まれる。
SANS Internet Storm Centerによれば、今のところ脆弱性実証コードは公開されていないものの、数週間以内には簡単に利用できる攻撃ツールの出現が予想され、それまでに、最低でもクライアントにはパッチを適用しておく必要があると強調している。
関連記事
- Wi-Fiの暗号化技術「WPA2」に脆弱性発見か 専門家が公開を予告
「WPA2」で使われている暗号化技術の仕様自体に問題があるという。【続報あり】 - WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解
「WPA2」の脆弱性は、ソフトウェアアップデートで解決できる――Wi-Fiの規格標準化団体が見解を発表。 - 便利な公衆無線LAN、犯罪者が狙うのはココ!
ネットの脅威は巧妙になる一方で、どんどん判別するのが難しくなっています。次々と出てくる新たな攻撃をかわす方法はあるのでしょうか。 - ホテル向けゲートウェイ機器に脆弱性、Wi-Fi利用の宿泊客が攻撃される恐れ
ホテルのWi-Fiサービスを利用した宿泊客などが通信を傍受されたりマルウェアに感染させられたりする恐れもあるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.