影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。
Wi-Fiで使われている暗号化技術「WPA2」(Wi-Fi Protected Access II)に脆弱性が報告された問題で、米セキュリティ機関のCERT/CCは10月16日、セキュリティ情報を公開した。影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。
CERT/CCによると、この問題ではWPA2のハンドシェイクトラフィックが操作され、ノンス(使い捨てのランダムな文字列)およびセッション鍵のリセットが誘発され、被害者の無線アクセスポイント(AP)やクライアントによって鍵が再インストールされる恐れがあるという。
この問題について解説した専用サイトによれば、この脆弱性を突いて「Key Reinstallation Attacks(KRACK)」と呼ばれる攻撃を仕掛けられると、暗号化されて安全が守られているはずの情報を読み取られる可能性があり、クレジットカード番号やパスワードのようなセンシティブな情報のほか、チャットやメール、写真などを盗まれる恐れもある。さらに、データの挿入や操作を行って、例えばランサムウェアなどのマルウェアをWebサイトに挿入することも可能とされる。
脆弱性は10件あり、研究者はこれまでの調査で、Android、Linux、Apple、Windows、OpenBSD、MediaTek、Linksysなどに影響を確認。特にAndroidは深刻な影響を受けるという。
WPA2プロトコルは無線ネットワーキングで広く普及していることから、あらゆる実装が影響を受ける公算が大きいとCERT/CCは指摘し、アップデートが公開されたらインストールするようユーザーに呼び掛けている。
CERT/CCが現時点で影響を確認した製品には、Cisco、Google、Microsoft、Samsung Mobile、東芝といった主要メーカー多数が含まれる。
SANS Internet Storm Centerによれば、今のところ脆弱性実証コードは公開されていないものの、数週間以内には簡単に利用できる攻撃ツールの出現が予想され、それまでに、最低でもクライアントにはパッチを適用しておく必要があると強調している。
Copyright © ITmedia, Inc. All Rights Reserved.