門林 雄基氏によるコラム、【通信プロトコルの脆弱性(2)】を公開

「話題になったKRACK脆弱性ですら、「忘れられた脆弱性」になる可能性がある」
　今回も前回リンクに引き続き、ネットワークの通信プロトコルに潜む脆弱性について見ていきましょう。前回のコラムリンクを書いてから、Wi-Fiでひろく使われている暗号プロトコルの脆弱性 (KRACK脆弱性) が話題になりましたが、これはまさにプロトコル脆弱性の一例です。実際、皆さんの身近なところでWi-Fiの暗号通信を改ざんしようとか、盗み見ようという人はいないと思いますが、プロトコル脆弱性は影響範囲が大きく、ほとんどのパソコンやスマートフォンで対策する必要があるので、大きな話題となりました。
　ただ、あれだけ騒いでもOSの更新が止まってしまった古いスマホやタブレットは使われ続けるでしょうから、KRACKも「忘れられた脆弱性」の仲間入りをすることになるでしょう。それ以前に、Wi-Fiのパスワードが簡単すぎて暗号通信になっていないネットワークも沢山あるので、暗号プロトコルの脆弱性だけ直したところで「頭隠して尻隠さず」になっているケースも多いと思います。

　さて、「なかなか治らない脆弱性」「忘れられた脆弱性」ともいえるプロトコル脆弱性ですが、どんな状況で気をつけるべきでしょうか。


「プロトコル脆弱性の影響が最も大きいのは、モバイル環境」
　はっきり言いましょう。プロトコル脆弱性の影響が最も大きいのは、モバイルです。特に都市部や空港など、不特定多数の人が往来するモバイル環境では誰が何をやっているか、分かったものではありません。

　そんな悪い人はいないよ

　と思われたかもしれません。私もそう思います。しかしプロトコル脆弱性を突いてくるのは悪い人だけではなく、悪いプログラム、つまりウイルスやボットネットの類もあるわけで、これがやっかいです。
　少し前の話ですが、若い人たちは平均して１日に１つ、アプリを入れ替えているという統計がありました。周りを見渡して、あなたと同じWi-Fiを使っている若い人たちは何人いるでしょうか。その人たちが毎日入れ替えているアプリは、安全でしょうか。怖くなったら、Wi-Fiをオフにしたほうがいいかもしれません。もちろん、問題はWi-Fi に限った話ではなく、Bluetoothを経由することも十分考えられます。

　別に隠すものはないし

　という考え方もありますが、プロトコル脆弱性で怖いのは盗聴だけではありません。もっと怖いのは、いつものサイトにアクセスしているつもりが、悪性サイトに誘導されるケースです。もっとも、ネット銀行も買い物もしない、友達もいない、仕事もしないというのであれば悪性サイトに誘導されても平気かもしれません。
　なお最近のモバイル系の脆弱性といえば、最新のWi-Fiの脆弱性ともいえるKRACKとならんでBluetoothの脆弱性 BlueBorneが挙げられます。BlueBorneは不特定多数の人が往来するモバイル環境でBluetoothをオフにしたくなるような恐ろしい脆弱性です。（ちなみに、BlueBorneはいくつかのソフトウェア脆弱性とプロトコル脆弱性をごちゃ混ぜにして名前をつけたものです。このように脆弱性の専門家たちもソフトウェア脆弱性とプロトコル脆弱性を、おそらく注意を喚起するために、マーケティング目的で区別せずに扱うことがあるので、少々注意が必要です。）

　不特定多数の人が往来するモバイル環境でWi-Fi, Bluetoothを使うことがリスクだとすると、街中ではどうすればいいでしょうか。私は電話ボックスが復活したらいいのにな、と勝手に考えています。ケーブルでつなぐのはオシャレじゃないかもしれませんが、ワイヤレスに比べれば確実に安全です。誰が聞き耳を立てているかわからない満員電車の中で秘密の商談をしないのと同じで、大事なオンライン取引は物理的に隔離した環境でやるべきです。そうそう、ホテルのWi-Fiが狙われている、なんていう話も数年前にありました。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
リンク


【門林 雄基氏のコラム】
・第1回：サイバーセキュリティに求められるバランス感覚リンク
・第2回：サイバーセキュリティが損なわれる原因を理解する(1)リンク
・第3回：サイバーセキュリティが損なわれる原因を理解する(2)リンク
・第4回：サイバーセキュリティが損なわれる原因を理解する(3)リンク
・第5回：サイバーセキュリティが損なわれる原因を理解する(4)リンク
・第6回：サイバーセキュリティが損なわれる原因を理解する(5)リンク
・第7回：サイバーセキュリティが損なわれる原因を理解する(6)リンク
・第8回：通信プロトコルの脆弱性(1)リンク