Wi-Fiのセキュリティプロトコル「Wi-Fi Protected Access 2(WPA2)」に脆弱性が複数確認されたという情報がベルギー、ルーヴェン・カトリック大学のセキュリティ研究者のMathy Vanhoef氏によって、10月16日に公開された。
この脆弱性は、WPA2の暗号化の仕組みを侵害するもので「Key Reinstallation Attacks(KRACKまたはKRACKs)」と名付けられている。WPA2の認証手続きの1つであり、トラフィックを暗号化する鍵の生成時に使用される「4-way handshake」で見つかったもので、脆弱性を悪用すると、暗号化の際に鍵と同時に利用される補助的変数(Nonce)がワンタイムパスワードのようにその都度生成されず、ハンドシェイク中にNonceおよびセッション鍵が再利用できてしまうという。
総務省では、現時点でこの脆弱性を悪用した攻撃・被害は確認されていないと発表しているが、脆弱性の悪用によるWPA2通信盗聴の可能性を示唆。ルータなどの機器に対し、各メーカーから修正プログラムが配布され次第、速やかに適用して最新の状態にアップデートするように促したほか、クレジットカード番号や個人情報などの情報をインターネット上で入力する際には、HTTPS化されたサイトであることを確認するよう推奨している。
ルータやスマートフォンを販売しているメーカーでは、KRACKsの発表を受け、影響を受ける可能性のあるモデルについて調査中としているところが多い。ただし、いくつかのWi-Fiルータメーカーでは、対象モデルおよび対象外モデルの一部を公表し始めている。
Wi-Fiルータを販売しているバッファローでは、KRAKCsの影響について調査中としつつ、影響を受けないモデルをリストアップしている。同じく、Wi-Fiルータなどを取り扱うアイ・オー・データ機器も調査状況と、影響を受ける可能性のあるモデルを17日に掲載。「Aterm」ブランドのWi-Fiルータを手がけるNECプラットフォームズでは、AtermStation内の「お知らせ」にて対象製品リストを公開している。対象モデルの対策ファームウェアも準備中のようだ。
プラネックスコミュニケーションズでは、影響について調査中であることを公表。アップデートなど修正が発生した場合には、ダウンロードページで公開する。エレコムでも影響状況を順次公開していくという。
多くのメーカーでは、Wi-FiルータのKRACKsにおける影響について、クライアント接続機能を有した製品が対象となり、APモード、ルータモードでの使用であれば影響はないとしているところが多い。親機の場合、子機モードを解除すると影響を回避できるようだ。
ユーザーが利用するデバイスについては、PCとスマートフォンで状況は異なるようだ。Microsoftでは、10月10日に配信したWindows Updateを適用することで、今回の脆弱性問題を回避できるという。対応OSは、Windows 10/8.1/RT 8.1/7、Windows Server 2016/2012/2008。一方Googleでは、「問題を認識しており、影響を受けるデバイスに対するパッチを数週間のうちに発行する予定だ」と米CNETに回答している。
また、大手キャリア向け端末やSIMフリー端末など、主要なAndroidスマートフォンメーカーにも対策の状況を聞いた。「Xperia」を販売するソニーモバイルコミュニケーションズは、現在調査中のためコメントは差し控えるとの連絡があったほか、京セラやシャープ、ASUS、ファーウェイ・ジャパンについては調査を進めており、対応については改めて連絡する旨の回答を得た。なお、サムスン電子ジャパンについては、執筆時現在、回答を得られなかった。
MacやiPhoneなどを手がけるAppleでは、「iOS」「macOS」「watchOS」「tvOS」に対する修正がベータ段階にあり、数週間のうちにソフトウェアアップデートとしてリリースする予定だと発表している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」