この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

WPA2の脆弱性「KRACKs」とは何か?

2017/12/19


 無線LANで利用されている通信規格「WPA2」で、「暗号化通信が破られる脆弱(ぜいじゃく)性が見つかった」というニュースが世界中を駆け巡った。一部では「壊滅的」ともいわれたKRACKsがどのような脆弱性なのかを確認してみよう。

無線LAN

暗号化通信でも情報が盗聴される可能性

 2017年10月、無線LANで利用されている通信規格「WPA2」(Wi-Fi Protected Access II)で利用される暗号鍵の交換プロトコルに脆弱性が見つかった。悪用されると、暗号化通信が復号されてしまい、通信内容を盗聴される恐れがある。

 この脆弱性は、通信のセッション内で暗号鍵を強制的に再インストールすることから、「Key Reinstallation Attacks(暗号鍵再インストール攻撃、通称:KRACKs)」と呼ばれ、その恐怖とともにニュースはあっという間に広がった。発見したのはベルギーにあるルーヴェン・カトリック大学の研究者、マシー・ヴァンホフ(Mathy Vanhoef)氏だ。

図1 「KRACKs」の攻撃イメージ
図1 「KRACKs」の攻撃イメージ
出典:IPA「WPA2 における複数の脆弱性について」

 KRACKsに関するレポートは、情報処理推進機構(IPA)をはじめ、多くのセキュリティベンダーがまとめている。影響を受けるのは、アクセスポイント(ルーターなど)とそこに接続する端末(iOS、Android、Windows、Linux)と幅広い。既に関係するベンダーが、修正パッチやアップデートファイルの提供に動いている。

IPA「WPA2 における複数の脆弱性について
トレンドマイクロ「WPA2の脆弱性『KRACKs』、ほぼすべてのWi-Fi通信可能な端末機器に影響
カスペルスキー「KRACK: Wi-Fiの安全を脅かす脆弱性
NTTデータ先端技術「【緊急レポート】KRACKs(key reinstallation attacks:鍵再インストール攻撃)について」 

 本件に関しては、各社が迅速に動いたことで「思ったほど致命的ではなかった」という印象を抱いたセキュリティ担当者も多いようだ。そこで今回は、大騒ぎとなったKRACKsという脆弱性を振り返ることで、あるべき「心構え」はどのような形だったのかを考えてみたい。


1

再確認:KRACKsによる攻撃が成功するためには

 KRACKsは、無線LANのプロトコルに起因する脆弱性だ。主に無線LANクライアント側のアルゴリズムにおいて、暗号鍵を管理する部分を攻撃し、盗聴を可能にする。本来、暗号鍵を作るための変数(nonce)は都度生成されるが、この脆弱性を攻撃されることにより、同じものが何度も再利用されてしまう。  

 本脆弱性は、あくまで暗号化のための鍵を盗むという点がポイントであり、AESなどの暗号化アルゴリズムそのものが破られたわけではない。また、無線LANアクセスポイントとそこに接続する機器との間の暗号化された無線通信が復号されるのであって、その中を流れているHTTPSの通信が復号されるものではない。  

 これまでの脆弱性とは異なる点として、特定のOSだけの問題ではなく、WPA2を利用する機器であれば影響を受けることが挙げられる。また、WPA2を利用する時には「パスワード」を設定するが、どのようなパスワードを用いたとしてもKRACKsの影響から逃れることはできない。つまり、強固なパスワードへの変更は本件に限れば対処にならない。

セキュリティ情報局にご登録頂いた方限定で「WPA2の脆弱性「KRACKs」とは何か?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


無線LAN/WPA2の脆弱性「KRACKs」とは何か?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「無線LAN」関連情報をランダムに表示しています。

無線LAN」関連の製品

デバイスの利用禁止/接続先ネットワークの制限 秘文 Device Control 【日立ソリューションズ】 無線LANを左右するAPコントローラー、オンプレミス型とクラウド型の違いとは? 【エヌ・ティ・ティ・データ・ジェトロニクス】 D-Link クラウド管理型 Wi-Fiソリューション DBA-1510P 【ディーリンクジャパン】
その他エンドポイントセキュリティ関連 無線LAN アクセスポイント
スマートフォン、USBメモリなど様々なデバイスの利用を制限
Wi-Fi制御、VPN利用の強制
マルウェア対策製品と連携し、感染PCのネットワーク通信を自動遮断、感染拡大を防止
無線LANを左右するAPコントローラー、オンプレミス型とクラウド型の違いとは? 無線LANをクラウドから一元管理する次世代ソリューション「D-Link Business Cloud」に対応した無線LANアクセスポイント。

無線LAN」関連の特集


今やIP電話は一般的になり始めました。そこで必要なのがIP電話機。固定型だけでなく、ソフトフォン、無…



ファイアウォールやURLフィルタリング、IPS、VPN…個別に進化してきた製品を“ひとまとめ”にし、…



機能を最小限に抑えた端末を用いたシンクライアントの技術。働き方革命に伴って、その仕組みが再び注目を集…


「ネットワーク機器」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30009892


IT・IT製品TOP > ネットワーク機器 > 無線LAN > 無線LANのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ