米国時間10月16日の朝はIT管理者にとって、いつにも増して憂鬱な月曜日の朝となった。WPA2の無線セキュリティを実質的に打ち破るバグが公開されたからだ。
「KRACK」(Key Reinstallation Attackの略)と名付けられたこのバグは、WPA2(Wi-Fi Protected Access II)の仕組みにおける根本的な脆弱性となる。
WEPを改善して策定された同セキュリティプロトコルは、ルータ、携帯端末、IoT(モノのインターネット)デバイスからのあらゆる通信を保護するために使われているが、このシステムの4ウェイ・ハンドシェイクに問題が存在する。
各ベンダーの対応は以下のとおり。
Apple:「iPhone」と「iPad」を提供する同社は米CNETに対し、「iOS」「macOS」「watchOS」「tvOS」に対する修正がベータ段階にあり、数週間のうちにソフトウェアアップデートとしてリリースする予定であることを認めた。
Aruba:Arubaはいち早くセキュリティアドバイザリを発行し、「ArubaOS」「Aruba Instant」「Clarity Engine」をはじめとするこのバグの影響を受けるソフトウェア向けのパッチをダウンロード提供している。
Cisco:同社は、どの製品が実際にKRACKの影響を受けるかを現在調査中だが、「複数のCisco製ワイヤレス製品がこの脆弱性の影響を受ける」と述べている。
Cisco PSIRTは、この問題の関連情報を提供するセキュリティアドバイザリを公開して、影響を受ける可能性があり、顧客による今後の注意が必要となる可能性のあるCisco製品を明らかにしている。
「一部のCisco製品に対する修正を既に提供しており、引き続き準備が整い次第、関連製品に対する追加のソフトウェア修正を発行していく」と広報担当者は述べた。
Fortinet:本稿執筆時点で正式なアドバイザリは公開されていないが、Fortinetのサポートフォーラムによると、「FortiAP 5.6.1」は今回の攻撃に関連するほとんどのCVEに対する脆弱性が解消されているようだ。ただし、最新版である5.4.3には、まだ影響がある可能性がある。ファームウェアアップデートが予定されている。
FreeBSD Project:本稿執筆時点で正式な回答はない。
Google:Googleは米CNETに対し、「問題を認識しており、影響を受けるデバイスに対するパッチを数週間のうちに発行する予定だ」と述べた。
Intel:Intelはセキュリティアドバイザリを公開し、影響を受けるチップセットと、システムメーカーによって使用されているIntel Active Management Technologyに対する、更新されたWi-Fiドライブおよびパッチの一覧を示している。
Linux:Chargedが伝えているように、パッチが既に提供されている。「Debian」ビルドには現在パッチが適用可能で、「OpenBSD」は7月に修正済みだ。
Netgear:Netgearは、一部のルーターハードウェアに対する修正をリリース済みだ。
Microsoft:同社は自動アップデートを通じてセキュリティ修正をリリースした。広報担当者は米CNETに対し、10月10日のアップデートを適用していれば、今回の脆弱性から保護されると語った。
OpenBSD:パッチが現在提供されている。
Wi-Fi Alliance:同団体は、KRACKを検出するツールを加盟企業に提供し、新規加盟企業に対してはこのバグのテストを求めている。
Wi-Fi Standard:ベンダーに対する修正が提供されているが、エンドユーザーに対しては直接提供されていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス