Windows Phonesの認証プロトコルにセキュリティ問題、認証情報流出の恐れ

[鈴木聖子，ITmedia]

　米Microsoftは、Windows Phonesに使われているWi-Fi認証プロトコルにセキュリティ問題が報告されたとして、8月4日付でセキュリティ情報を公開した。この問題を悪用された場合、標的とされた端末から認証情報が流出し、ネットワークリソースに不正アクセスされる恐れがあるとしている。

　同社によると、脆弱性が指摘されているのは「PEAP-MS-CHAPv2」というWi-Fi認証プロトコル。攻撃者がコントロールするシステムをWi-Fiアクセスポイントに見せかけて、標的とする端末が自動的にこのアクセスポイントで認証を試みるよう仕向け、ユーザーのドメイン認証情報を傍受できてしまう恐れがあるという。

　攻撃者はこの認証情報を使ってネットワークリソースにログインし、ユーザーとしてあらゆる動作を実行することが可能になる。8月4日の時点でこの脆弱性を突く攻撃の発生は確認されていないとしている。

　この問題はWindows Phone 8とWindows Phone 7.8が影響を受ける。対策として、Windows Phone 8で認証プロセスを開始する前に、ワイヤレスアクセスポイントを確認するための証明書を要求する設定にする方法などを紹介している。