23億人のユーザーが影響を受ける可能性 Wi-Fiソフトウェアに2つの脆弱性：セキュリティニュースアラート

Top10VPNはOSSのWi-Fiソフトウェアに新たな2つの脆弱性があると報じた。この脆弱性はエンタープライズと自宅のWi-Fiネットワークに影響を与えるとされている。

[後藤大地，有限会社オングス]

　独立系VPNレビュー・比較サイトである『Top10VPN』は2024年2月13日（現地時間）、オープンソースのWi-Fiソフトウェアに2つの新しい脆弱（ぜいじゃく）性が見つかったと報じた。

　そのうちの一つは社内のWi-Fiネットワークに接続するデバイスに影響を与え、もう一つは自宅のWi-Fiに影響を与える可能性がある。

New Wi-Fi Authentication Vulnerabilities Discovered（出典：Top10VPNのWebサイト）

全世界の23億人のユーザーが影響を受ける恐れ　脆弱性の詳細は？

　脆弱性の詳細は以下の通りだ。

• CVE-2023-52160：　「wpa_supplicant」のv2.10およびこれ以前のバージョンに存在する脆弱性。このソフトウェアは「Android」においてワイヤレスネットワークへのログイン要求を処理するために使われるデフォルトのソフトウェアであり、全世界で23億人のAndroidユーザーが影響を受ける可能性がある。さらに、ほとんどの「Linux」デバイスおよび「Chromebook」もこのソフトウェアを搭載している。脆弱性自体は認証サーバの証明書を検証するように適切に構成されていないWi-Fiクライアントにのみ影響する。最近の調査結果によると、影響を受けるデバイスは特にこれが頻繁に発生することが示されている
• CVE-2023-52161：　「iwd」のv2.13およびこれより以前のバージョンに存在する脆弱性。iwdはIntelによって開発されたLinux専用のWi-Fiソフトウェアであり、Linuxの包括的な接続ソリューションとしてパッケージ管理システムなどからインストールして利用できる。影響を受けるユーザーはCVE-2023-52160よりも少ないが、この脆弱性はiwdをアクセスポイントとして使用する全てのユーザーが影響を受ける

　脆弱性によって悪用が懸念されるネットワークは以下の通りだ。

• CVE-2023-52160：　エンタープライズモードに存在する相互認証プロセスの悪用に関連した脆弱性であり、WPA2／3のエンタープライズモードを使っているWi-Fiネットワークが影響を受ける
• CVE-2023-52161：　家庭用Wi-Fiネットワークが影響を受ける

　これらの脆弱性を悪用された場合、以下の攻撃を受ける可能性がある。

• 機密データの傍受
• マルウェアへの感染
• ランサムウェア攻撃
• ビジネスメール詐欺（BEC）
• パスワード窃取

　Top10VPNはサイバー攻撃の被害者とならないためにソフトウェアアップデートを推奨している。ただし、Androidユーザーに関しては修正を含むパッチが提供されるまでに数カ月から数年という長い時間がかかる可能性があるとし、それまでの間、保存されているエンタープライズネットワークのCA証明書を手動で構成することが推奨される。