WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解

[山口恵祐，ITmedia]

　Wi-Fiの暗号化技術「WPA2」（Wi-Fi Protected Access II）にセキュリティ上の脆弱性が見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日（米国時間）、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。

　脆弱性は、ベルギーのマシー・ヴァンホフ氏（ルーヴェン・カトリック大学）が複数発見したもの（コードネーム：KRACKs）。WPA2プロトコルの暗号鍵管理にいくつかの脆弱性があり、「Key Reinstallation Attacks」と呼ばれる手法で悪用が可能という。

　Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に取り組み、加盟するメンバー企業が使用できる脆弱性検出ツールを提供、メーカー側にも必要なパッチを迅速に提供できるよう呼び掛けているという。ユーザーには使用しているデバイスで最新のアップデートを順次適用するように促している。

　現時点で、今回の脆弱性が悪用されている証拠はないとしている。

　脆弱性を発見したヴァンホフ氏は、このほど開設したWebサイトで脆弱性の詳細やデモ動画などを公開した。その中にあるQ&Aコーナーでは、脆弱性への対応などについて以下のように回答している。

ヴァンホフ氏が開設したWebサイト

• 利用しているデバイスのアップデートを適用すること
• Wi-Fiのパスワードを変更する必要はない
• ルーターのセキュリティアップデートが必要ない場合もある（メーカーに問い合わせるべき）
• デバイスにパッチを適用するまで「一時的にWEPを使う」判断は間違っており、WPA2を使い続けるべき
• 脆弱性を初めて外部に公開したのは2017年7月14日頃。実験に使用したWi-Fi製品のメーカーに連絡した
• 私（ヴァンホフ氏）はバグの奨励金を申請しておらず、まだ受け取っていない

ヴァンホフ氏が公開した脆弱性のデモ動画