メディア

PCやスマホなど、10億台のデバイスが危ない? Wi-Fiに見つかった脆弱性とは:553rd Lap

公私ともに私たちの生活に欠かせない存在となったWi-Fi通信の暗号鍵を解析されるかもしれないという、世界で10億台のデバイスが該当する脆弱性が発見された。

» 2020年03月06日 08時00分 公開
[キーマンズネット]

 動画などの大容量コンテンツが増加し、使用デバイスを問わずWi-Fiの利用が前提となっている。広く利用されるWi-Fiのセキュリティ規格の中でも主流なのが「WPA2」だ。WPA2は、各種デバイスが「Wi-Fi CERTIFIED」認証を得るために搭載が必要となっている。そんなWPA2に関して暗号鍵を解析されてしまう脆弱(ぜいじゃく)性が見つかり、該当するデバイスは世界で10億台という。いったい、何が起きているのか――?

 WPA2に関連する脆弱性はセキュリティ企業のESETより、2020年2月26日に発表された。同社はこの脆弱性を「Kr00k」(正式名称:CVE-2019-15126)と名付けた。

 Kr00kは、BroadcomとCypress Semiconductor(以下、Cypress)のWi-Fiチップのバグに起因する。両社ともWi-Fiチップメーカーとしては非常にポピュラーで、Apple製品をはじめ、多数のメーカーのWi-Fi接続可能なデバイスに採用されている。

 アクセスポイントとWi-Fiデバイスの通信は、AES(Advanced Encryption Standard)といったアルゴリズムによって生成された「暗号鍵」を使用し暗号化されている。そのため、無線による通信を第三者が傍受し、暗号鍵を解析して内容を読み取ることは難しい。

 BroadcomとCypressのWi-Fiチップは、Wi-Fi通信の電波が弱いと一度通信を切断してつなぎ直すという機能が備わっている。この機能が発動した場合、チップ内で暗号鍵の値はゼロにリセットされる。その後、暗号鍵が再生成されデータ通信が再開すれば問題ないが、暗号鍵がゼロになったときに一部のデータがチップのバッファーメモリに残ってしまい、それがそのまま送信されてしまう。それをきっかけに、その後再生成される暗号鍵の解析が容易となり、データを読み取られる可能性が高くなるという。

 この脆弱性は既知のものであり、「All-Zero Encryption Key Vulnerability」と呼ばれる。かつて「KRACK」(「Key Reinstallation AttaCKs」の文字を取った)という相似した脆弱性があり、それに倣って今回はKr00kと名付けられたようだ。

 悪意のある第三者は、ツールを使ってわざとWi-Fiネットワークに負荷をかけてデバイスのゼロリセットを繰り返し促すことで、この脆弱性を何度も利用でき多くのデータを盗み出せる。

 先述したようにBroadcomとCypressのWi-Fiチップを搭載するデバイスは世界中にあるということだ。ESETによると「控えめに見積もっても10億台がKr00Kの影響を受ける可能性がある」という。なお、Apple製品は2019年にパッチがリリースされているため、Kr00Kの心配はない。

 生活に欠かせないWi-Fiなだけに、セキュリティは担保したいもの。今回の公表を受けて各ベンダーから続々と修正パッチが登場しているため、手持ちの機器のアップデート情報は確認しておく必要がある。また、次世代プロトコル「WPA3」を利用してWi-Fi通信を利用している場合、Kr00Kの影響は受けないという。


上司X

上司X: Wi-Fiに新たな脆弱性が見つかって、10億台がヤバいかも……という話だよ。


ブラックピット

ブラックピット:10億台ですか! かなり大規模ですね。


上司X

上司X: 特定のWi-Fiチップで発生する問題だが、そのチップは多くのデバイスに使われているからこういうことが起きてしまうということだな。


ブラックピット

ブラックピット: とはいえ、Wi-Fi接続可能なデバイスを買うのに、わざわざ搭載されてるWi-Fiチップまでチェックする人は少ないでしょう。


上司X

上司X: 確かにキミの言う通り、自分が使っているデバイスの中のWi-Fiチップまで把握している人は少ないだろう。だからこそデバイスメーカーの情報をチェックしてほしいということだ。


ブラックピット

ブラックピット: 僕も家に帰ったらチェックしてみますー。こういう脆弱性のニュースのたびに思うんですが、ニュースを見て「面白そうだからやってみよう」と思う不遜な人間が多少なりともいるんじゃないかなあ、とか。


上司X

上司X: 悪人じゃないユーザーに対処を促す効果の方が大きいだろう。あまりうがった見方ばかりするのは良くないぞ。それにしても10億台だ。自分のデバイスが該当する確率はかなり高い。俺もいろいろと確認しておこう。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。