WPA2にも脆弱性が見つかる

月曜日の早朝に、WiFiで最も広く利用されている暗号化規格であるWPA2の脆弱性が明らかになったと発表されました。KRACK(Key Reinstallation AttaCK:キー再インストール攻撃)と呼ばれる、WPA2暗号化を対象とする新しい攻撃方法によって、デバイスとその無線アクセスポイントの間でやり取りされる情報を読み取られてしまう恐れがあります。この攻撃は、一般的には高い確率で検知できるとされている中間者攻撃の一種です。この攻撃が成功すると、ハッカーがこの脆弱性を悪用し、データを盗んだり、同じWiFiネットワークを利用しているセキュアではないデバイスにアクセスしたりする可能性があります。

もちろん、コンピューターの処理能力の向上に伴い、どのような暗号化プロトコルであっても、いずれかの段階で突破されることは免れない状況を迎えていました。今回は、セキュリティ専門家であるMathy Vanhoef氏をリーダーとする、ベルギーのルーヴェン・カトリック大学のセキュリティ研究者チームが、この脆弱性を発見し、月曜日の朝にその詳細を発表しました。

KRACKは基本的には、WiFiで使用される「暗号化アルゴリズムのNonceを強制的に再利用する」ことで、WPA2プロトコルを突破します。暗号化において、「Nonce」とは、1回しか使用されることのないランダムな数です。多くの場合は、認証プロトコルの公開鍵コンポーネントで発行されるランダムな(あるいは事実上ランダムな)数であり、これによって、古い通信を再利用できないようにしています。ところが今回、WPA2で使用されるこのランダムな数が十分にランダムではないことがわかり、そのために、このプロトコルに脆弱性が存在することが明らかになりました。

米国コンピューター緊急対策チーム(CERT)が日曜日に発表した、この脆弱性に関連する警告では、「この脆弱性が悪用された場合の影響としては、復号化、パケットリプレイ、TCP接続の乗っ取り、HTTPコンテンツインジェクションなどが考えられる」と説明されています。

本当に深刻な問題なのか

まず初めに、エンドポイントデバイスと脆弱性が存在する無線アクセスポイントとの間のトラフィックを捕捉するには、攻撃者がある程度近い距離に接近する必要があります。したがって、この問題が解決されるまでの間、公共WiFiを使用する場合は特に、注意するようお勧めします。もちろん、公共WiFiの利用に注意が必要なことは、何年も前から指摘されてきました。

さらには、この攻撃がSSLなどの追加の暗号化された方法を使用した接続経由で送信される情報のセキュリティに影響する可能性は低いと考えられます。たとえば、HTTPSサイトにアクセスすると、毎回、ブラウザによって、暗号化の別のレイヤーが作成され、このレイヤーがあれば、この新しいセキュリティ脅威があっても、オンラインバンキングやオンラインでの商品の購入を安全に実行できます。したがって、WiFi接続でオンライン取引を利用する際は、ブラウザの隅に小さい鍵アイコンが表示されているのを確認するよう、お勧めします。

また、ほとんどの方がVPN接続をすでにご利用されていると思いますが、VPN接続であれば、WPA2接続に侵入されても、会社のデータは引き続き保護されます。

フォーティネットのセキュア無線アクセスポイント製品スイートおよびWiFi対応ソリューションをご利用いただいている方は、フォーティネットの最新PSIRT Advisoryで、影響を受けるフォーティネットデバイスのバージョンと、この脆弱性への対策をご確認ください。

このような状況はインターネットでは常に繰り返されることであり、ユーザーにとって最も重要なのは、あわてずに行動することです。もちろん、大きな問題であるのは確かであり、多くのデバイスが影響を受けるのも事実です。しかしながら、信頼できる情報を入手し、適切な計画に従い、VPNやSSLの使用などの基本的なセキュリティ対策をユーザーに繰り返し周知することで、デバイスのパッチやアップデートが公開されるまでの間も、データのセキュリティが確保されるようにすることが重要です。

しかしながら、早急な見直しが必要であるのは確かです。過去1年間に多くの脆弱性が発見され、新たな脆弱性が公開されるたびに、それを悪用した攻撃が実際に始まるのを、我々は目撃してきました。セキュリティ対策が十分でない組織、特に、パッチの適用やプロトコルの入れ替えが適切に行われていない組織が、そのような攻撃で最も深刻な被害を受けていることがわかっています。最も重要なのは、脆弱性が明らかになってから、それを狙った攻撃が開始するまでの間のギャップを可能な限り解消するよう、リソースを集中させることです。

こちらから、毎週お届けするFortiGuard Labsのメールを購読いただき、最新の脅威情報をご確認ください。