2017年10月16日、Wi-Fiの暗号化技術WPA2(Wi-Fi Protected Access II)に脆弱性があることが発表された。
Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse【外部サイト】
実際にどういった脆弱性なのだろうか。
対応策はあるのだろうか。
WPA2の脆弱性
今回の脆弱性は “KRACKs”(key reinstallation attacks/鍵再インストール攻撃)と呼ばれており、ユーザーが使用する端末とWi-Fiのアクセスポイントの間で行われる、認証や暗号鍵などのメッセージのやり取りを利用したもの。
このメッセージを失くした場合、アクセスポイントからユーザーの端末に再送信されるのだが、同じWi-Fiネットワーク接続可能範囲内に存在する悪意の第三者(攻撃者)がニセのメッセージをユーザーに送信することで、やり取りされる情報を復号して読み取ったり、不正サイトに誘導したり、様々な攻撃を加えることが可能というものだ。
対応策はあるのか
この脆弱性は、Wi-Fi機器への対応パッチを適応することで修正が可能だという。
しかし対応パッチの作成には、しばらく時間がかかりそうだ。
またVPNの利用やSSL化されたサイトでも、この攻撃を完全に避けることはできないようだ。
それまでに僕たちにできる対応策を考えてみよう。
- フリーWi-Fiはできるだけ使わない。
KRACKsは、同一Wi-Fiネットワーク接続可能範囲内で行われる。
カフェや空港など不特定多数の人が使うフリーWi-Fiでは、その危険性が高い。
有効な対応パッチが一般化するまでは、できるだけフリーWi-Fiは使わない方が良いだろう。
やむを得ず使う場合は、クレジットカード番号など高度な個人情報のやり取りは控えよう。 - モバイルデータ通信を使う。
重要なデータのやり取りは、(特に日本国内では)比較的安全性が高いモバイルデータ通信で行うほうが良いだろう(ギガが減るけど…)。
PCやMac、Wi-Fi専用のiPadやその他タブレット端末を使う場合も、スマートフォンなどでテザリングを使う方法もある。
ただしスマートフォンと使用機器との接続にWi-Fiを使う場合は、同様の危険性があるので接続機器数を常にチェックし、周囲には注意しよう。 - イーサーネットを使う。
KRACKsは、アクセスポイントとユーザーの端末の間に割り込むことによって行われる。
これはWi-Fiネットワーク、無線だから可能なことだ。
したがってイーサーネット(有線LANなど)で有線化(非無線化)してしまえば、割り込みできない。
ホテルなどの外出先はもちろん、家庭内でも可能であればイーサーネット接続すれば今回の攻撃からは逃れることができる。
まとめ
今回の脆弱性は軽視できるものではないが、チョット注意するだけでほとんどの攻撃から身を守ることは不可能ではない。
大切なのは、そういう攻撃があることを理解しながら(どうしても必要な場合は)慎重にWPA2を使用すること、対応パッチがリリースされたら速やかに適応することだ。
そして今回の件に限らず、僕たちのデータ・通信は、常に誰かに狙われていることも意識しておく必要がある。
