連載
» 2017年12月19日 10時00分 公開

セキュリティ強化塾:WPA2の脆弱性「KRACKs」とは何か? (1/3)

無線LANで利用される通信規格「WPA2」で、「暗号化通信が破られる脆弱性が見つかった」というニュースが世界中を駆け巡った。

[キーマンズネット]

 無線LANで利用されている通信規格「WPA2」で、「暗号化通信が破られる脆弱(ぜいじゃく)性が見つかった」というニュースが世界中を駆け巡った。一部では「壊滅的」ともいわれたKRACKsがどのような脆弱性なのかを確認してみよう。

暗号化通信でも情報が盗聴される可能性

 2017年10月、無線LANで利用されている通信規格「WPA2」(Wi-Fi Protected Access II)で利用される暗号鍵の交換プロトコルに脆弱性が見つかった。悪用されると、暗号化通信が復号されてしまい、通信内容を盗聴される恐れがある。

 この脆弱性は、通信のセッション内で暗号鍵を強制的に再インストールすることから、「Key Reinstallation Attacks(暗号鍵再インストール攻撃、通称:KRACKs)」と呼ばれ、その恐怖とともにニュースはあっという間に広がった。発見したのはベルギーにあるルーヴェン・カトリック大学の研究者、マシー・ヴァンホフ(Mathy Vanhoef)氏だ

「KRACKs」の攻撃イメージ 図1 「KRACKs」の攻撃イメージ(出典:IPA「WPA2 における複数の脆弱性について」)

 KRACKsに関するレポートは、情報処理推進機構(IPA)をはじめ、多くのセキュリティベンダーがまとめている。影響を受けるのは、アクセスポイント(ルーターなど)とそこに接続する端末(iOS、Android、Windows、Linux)と幅広い。既に関係するベンダーが、修正パッチやアップデートファイルの提供に動いている。

 本件に関しては、各社が迅速に動いたことで「思ったほど致命的ではなかった」という印象を抱いたセキュリティ担当者も多いようだ。そこで今回は、大騒ぎとなったKRACKsという脆弱性を振り返ることで、あるべき「心構え」はどのような形だったのかを考えてみたい。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。