ITmedia NEWS > セキュリティ >
ニュース
» 2017年10月27日 09時00分 公開

ITりてらしぃのすゝめ:WPA2の脆弱性は“大げさ”だった? 「初報だけ盛り上がる問題」を考える (1/3)

先日話題となった、WPA2の脆弱性に関する問題。初報は「やや大きく取りあげられすぎている」という印象だったが……。

[宮田健,ITmedia]

 先日、久しぶりの海外出張に行ってきました。5日間のラスベガス滞在だったのですが、その間にITmedia NEWS編集部から「急いで書いて!」といわれた事件がありました。それが、話題になった無線LANの暗号化手法「WPA2」(Wi-Fi Protected Access II)の脆弱性、通称「KRACKs」です。

WPA2 「Black Hat Europa 2017」の講演予告ページに掲載された概要

 ところが……現地では取材に大忙し。しかも航空会社のトラブルで乗り継ぎに失敗し、1日延泊した結果――既にKRACKsに関する話題はタイミングを完全に逸し、ほとんど話題にならない状態です。

連載:ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。


 それでも、脆弱性に起因する事件は「話題にならなくなってから」が重要です。今回はタイミングを外したからというわけではないものの、話題になった脆弱性の「その後の継続ウォッチが重要だ」ということを知ってほしいと思います。

話題になった脆弱性をどう受けとめるか

 2014年4月、オープンソースの暗号ライブラリ「OpenSSL」に脆弱性が発見され、多くのサーバに影響があることが判明しました。この脆弱性は「Heartbleed」(ハートブリード)と名付けられ、大変な話題に、そして問題になりました。

 このころから、影響の大きな脆弱性には「名前」が付けられ、プロモーション的な動きが出てくるようになりました。名前が付くことで“キャッチー”になり、IT専門メディア以外でも取り上げられるようになります。

 その後、脆弱性に名前が付くというトレンドがありました。例えば、サーバのシェルと呼ばれるプログラムに存在した脆弱性「ShellShock」をはじめ、「POODLE」「GHOST」「Dirty COW」「BlueBorne」など。

 もしかしたら、その名前を覚えているという方もいるかもしれません。そして、今回のWPA2に関する脆弱性は、その後「KRACKs」(Key Reinstallation Attacks:鍵再インストール攻撃)という名前が付きました。

 このように、名前が付いた脆弱性は多数あります。中には、発見したセキュリティベンダーの「売名行為」のために名前が付いたのではないかと思うものすらあります。名前が付いた脆弱性の全てというわけではありませんが、報道でセンセーショナルに取り上げられることも多いです。

 それにより、脆弱性の知名度が上がることはいいことかもしれません。が、あくまで冷静に対応することが求められると私は考えています。

初報が出たら――まずは冷静に情報収集を

 さて、このように「センセーショナルな報道」が行われる、名前の付いた脆弱性。少し気を付けないといけないのは、得てして初報が「センセーショナルすぎる報道」になりがちということです。

 今回のKRACKsに関しても、初報では名前が出ていなかったものの、研究者マシー・ヴァンホフ氏による「WPA2に深刻な脆弱性が存在する。詳細はハッカーイベント、Blackhatで発表する」という内容が発端でした。

 このツイートが発端となり、SNSやニュースがこの問題をピックアップします。誰もが使っている無線LANに関する問題であったことからか、本当に大きな話題になりました。ここまで大きな反応になったことに、当の発表者本人も驚いたというコメントを残しています。

 発表した本人がこのような受け取り方をしているということは、やはり初報は「やや大きく取りあげられすぎている」ということだったのではないかと思います。

 ただ、これは初報を非難しているわけではありません。最初の時点では、あまりにも情報が少なすぎるのです。この時点では、「攻撃対象は企業か個人か」「攻撃が実際に行われていたのか」を把握することに注力しましょう。

       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.