この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

WPA2の脆弱性「KRACKs」とは何か?

2017/12/19


 無線LANで利用されている通信規格「WPA2」で、「暗号化通信が破られる脆弱(ぜいじゃく)性が見つかった」というニュースが世界中を駆け巡った。一部では「壊滅的」ともいわれたKRACKsがどのような脆弱性なのかを確認してみよう。

無線LAN

暗号化通信でも情報が盗聴される可能性

 2017年10月、無線LANで利用されている通信規格「WPA2」(Wi-Fi Protected Access II)で利用される暗号鍵の交換プロトコルに脆弱性が見つかった。悪用されると、暗号化通信が復号されてしまい、通信内容を盗聴される恐れがある。

 この脆弱性は、通信のセッション内で暗号鍵を強制的に再インストールすることから、「Key Reinstallation Attacks(暗号鍵再インストール攻撃、通称:KRACKs)」と呼ばれ、その恐怖とともにニュースはあっという間に広がった。発見したのはベルギーにあるルーヴェン・カトリック大学の研究者、マシー・ヴァンホフ(Mathy Vanhoef)氏だ。

図1 「KRACKs」の攻撃イメージ
図1 「KRACKs」の攻撃イメージ
出典:IPA「WPA2 における複数の脆弱性について」

 KRACKsに関するレポートは、情報処理推進機構(IPA)をはじめ、多くのセキュリティベンダーがまとめている。影響を受けるのは、アクセスポイント(ルーターなど)とそこに接続する端末(iOS、Android、Windows、Linux)と幅広い。既に関係するベンダーが、修正パッチやアップデートファイルの提供に動いている。

IPA「WPA2 における複数の脆弱性について
トレンドマイクロ「WPA2の脆弱性『KRACKs』、ほぼすべてのWi-Fi通信可能な端末機器に影響
カスペルスキー「KRACK: Wi-Fiの安全を脅かす脆弱性
NTTデータ先端技術「【緊急レポート】KRACKs(key reinstallation attacks:鍵再インストール攻撃)について」 

 本件に関しては、各社が迅速に動いたことで「思ったほど致命的ではなかった」という印象を抱いたセキュリティ担当者も多いようだ。そこで今回は、大騒ぎとなったKRACKsという脆弱性を振り返ることで、あるべき「心構え」はどのような形だったのかを考えてみたい。


1

再確認:KRACKsによる攻撃が成功するためには

 KRACKsは、無線LANのプロトコルに起因する脆弱性だ。主に無線LANクライアント側のアルゴリズムにおいて、暗号鍵を管理する部分を攻撃し、盗聴を可能にする。本来、暗号鍵を作るための変数(nonce)は都度生成されるが、この脆弱性を攻撃されることにより、同じものが何度も再利用されてしまう。  

 本脆弱性は、あくまで暗号化のための鍵を盗むという点がポイントであり、AESなどの暗号化アルゴリズムそのものが破られたわけではない。また、無線LANアクセスポイントとそこに接続する機器との間の暗号化された無線通信が復号されるのであって、その中を流れているHTTPSの通信が復号されるものではない。  

 これまでの脆弱性とは異なる点として、特定のOSだけの問題ではなく、WPA2を利用する機器であれば影響を受けることが挙げられる。また、WPA2を利用する時には「パスワード」を設定するが、どのようなパスワードを用いたとしてもKRACKsの影響から逃れることはできない。つまり、強固なパスワードへの変更は本件に限れば対処にならない。

セキュリティ情報局にご登録頂いた方限定で「WPA2の脆弱性「KRACKs」とは何か?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


無線LAN/WPA2の脆弱性「KRACKs」とは何か?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「無線LAN」関連情報をランダムに表示しています。

無線LAN」関連の製品

NetSkateKoban(不正接続端末検知・遮断/Network可視化システム) 【ギガ+他】 RADIUS認証・アカウント管理アプライアンス Account@Adapter+ 【エイチ・シー・ネットワークス】 ギガビットレイヤー2スイッチ AX2100Sシリーズ(AX2130SS) 【アラクサラネットワークス】
検疫 認証 ネットワークスイッチ
不正端末の接続を検知し、排除。
◎各端末へソフトのインストール不要
◎VLAN対応で、低コスト
◎IPv6対応
◎地図表示によるネットワーク可視化
◎端末の通信誘導(利用限定)
ネットワーク認証に関わる機能を網羅した認証アプライアンス製品。Web/MAC/IEEE802.1X認証に対応、CA局、DHCPサーバ、外部LDAP/AD参照、アカウント申請機能をサポート。 強固なセキュリティ、コンパクト・環境負荷設計、PoE対応などの特長を持ち、8年の無償サポートで安心して使い続けられるギガビットL2スイッチ。

無線LAN」関連の特集


コンピュータ同士がどのような仕組みで通信しているのか?そのための手順や約束事は何か?「通信ネットワー…



携帯電話の普及から社内でもビジネスフォンや固定電話が姿を消し、携帯電話が使われるように。社内電話と携…



不正アクセス増加に伴い、セキュリティ対策の必要性は高まる一方!進化する“セキュリティ診断サービス”の…


「ネットワーク機器」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30009892


IT・IT製品TOP > ネットワーク機器 > 無線LAN > 無線LANのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ