「WPA2」の脆弱性情報、セキュリティ機関が公開 パッチ適用を呼び掛け特にAndroidに深刻な影響

影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。

» 2017年10月17日 09時49分 公開
[鈴木聖子ITmedia]

 Wi-Fiで使われている暗号化技術「WPA2」(Wi-Fi Protected Access II)に脆弱性が報告された問題で、米セキュリティ機関のCERT/CCは10月16日、セキュリティ情報を公開した。影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。

photo 「WPA2」の脆弱性について、米セキュリティ機関のCERT/CCが情報を公開した

 CERT/CCによると、この問題ではWPA2のハンドシェイクトラフィックが操作され、ノンス(使い捨てのランダムな文字列)およびセッション鍵のリセットが誘発され、被害者の無線アクセスポイント(AP)やクライアントによって鍵が再インストールされる恐れがあるという。

 この問題について解説した専用サイトによれば、この脆弱性を突いて「Key Reinstallation Attacks(KRACK)」と呼ばれる攻撃を仕掛けられると、暗号化されて安全が守られているはずの情報を読み取られる可能性があり、クレジットカード番号やパスワードのようなセンシティブな情報のほか、チャットやメール、写真などを盗まれる恐れもある。さらに、データの挿入や操作を行って、例えばランサムウェアなどのマルウェアをWebサイトに挿入することも可能とされる。

専用サイト(Key Reinstallation Attacks)で公開された脆弱性のデモ動画
photo SANS Internet Storm Centerによれば、今のところ脆弱性実証コードは公開されていないが、じきに攻撃ツールが出現するという

 脆弱性は10件あり、研究者はこれまでの調査で、Android、Linux、Apple、Windows、OpenBSD、MediaTek、Linksysなどに影響を確認。特にAndroidは深刻な影響を受けるという。

 WPA2プロトコルは無線ネットワーキングで広く普及していることから、あらゆる実装が影響を受ける公算が大きいとCERT/CCは指摘し、アップデートが公開されたらインストールするようユーザーに呼び掛けている。

 CERT/CCが現時点で影響を確認した製品には、Cisco、Google、Microsoft、Samsung Mobile、東芝といった主要メーカー多数が含まれる。

 SANS Internet Storm Centerによれば、今のところ脆弱性実証コードは公開されていないものの、数週間以内には簡単に利用できる攻撃ツールの出現が予想され、それまでに、最低でもクライアントにはパッチを適用しておく必要があると強調している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ