シスコ、認証プロトコルLEAPの脆弱性を認める--EAP-FASTへの移行を推奨

　Cisco Systemsの無線LAN製品は、以前に発見されていたある脆弱性を悪用するソフトウェアツールの登場で、再び攻撃の危険性にさらされているが、同社ではすでにこの問題を解決する新しいプロトコルを用意したという。

　CiscoのLEAP（Lightweight Extensible Authentication Protocol）に脆弱性が存在することは以前から指摘されていたが、同社は今週になってこの点を認め、顧客に対してEAP-FAST（Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling）と呼ばれる新しいセキュリティプロトコルを使用するよう呼びかけている。LEAPにある脆弱性を利用すると、いわゆる辞書攻撃をつかって無線LANへの不正侵入用にパスワードを推測しやすくなる。

　辞書攻撃とは、マッチするパスワードを発見するまで大量の単語リストを走査していくもので、パスワードをつかって認証を行うすべてのシステムにとって脅威となっている。しかしLEAPの問題は、走査の対象となるパスワードの数を大幅に絞り込めてしまう点で、これにより辞書攻撃にかかる時間が短くなり、マッチするパスワードも容易に見つけられてしまうと、Ciscoに脆弱性を報告したセキュリティ専門家のJoshua Wrightは説明している。さらにLEAPは、オフライン状態でもパスワードを解析できることから、パスワードを試す時間をハッカーに与えてしまうという。

　ネットワークセキュリティ団体のSANS Instituteで働くWrightは2003年8月にLEAPの脆弱性を発見し、後にこの脆弱性を悪用するASLEAPと呼ばれるツールを開発した。同氏はCiscoに接触し、同社が代わりとなる認証プロトコルを開発して、LEAPの利用に関するリスクを顧客に告知するまで、同ツールを手元に留めておくことに同意した。

　「LEAPのなかにこの脆弱性を発見した際、私はCiscoのウェブサイトにアクセスし、これに関するリファレンス情報を探した」と、Wrightは自身のウェブサイトに記している。「そして、ユーザーパスワードに対する辞書攻撃の脆弱性に関する簡単な記述が1つあるのを発見したが、このような致命的な欠陥に対する注意にしては不十分だと思った」（Wright）

　CiscoはLEAPの問題のいくつかを解消したEAP-FASTを開発し、今年2月にこれに関するドキュメントをIEEEに提出した。LEAPとは異なり、この新プロトコルでは、走査の対象となるパスワードの数を絞り込めないようになっている。つまり、EAP-FASTでは、一致するパスワードを発見するためには、辞書ファイルにあるすべての単語を試さなければならなくなっており、攻撃に要する時間が長くなる分だけ、ネットワークへ侵入することも難しくなるということだ。EAP-FASTはまた、オフラインでのパスワード検索もできないようになっているため、ハッカーは考えられるだけの数のパスワードをオンライン状態で試さなければならず、一定回数のパスワード入力を試してマッチするパスワードが見つけられなければ、ネットワークからはじかれてしまうことになる。

　LEAPに比べればEAP-FASTも幾分かマシになったといえるが、それでも完全に辞書攻撃のリスクがなくなったわけではないと、Wrightは警告している。パスワードでアクセスを制限する他のどんなセキュリティの仕組みでもそうだが、EAP-FASTにも辞書攻撃に屈する可能性が残されている。

　Ciscoはこの件に関する声明を発表し、同社は既知の脆弱性を突いた辞書攻撃の可能性があることを認識していると述べている。同社では、顧客に対して、自社におけるセキュリティポリシーの見直しを行い、これまでに発表されたベストプラクティスを採り入れ、強力なパスワードを使って自社のシステムがこの種の攻撃でも破られないようにするよう呼びかけている。同社はまた、LEAPを使用している顧客でパスワードに関する強力な方針を実施に移せない企業に対しては、EAP-FASTへの移行を勧めている。