「WPA2」を使用する全ての端末に影響があるが、パッチの適用で対処可能
「WPA2」の脆弱性「KRACKs」の詳細が公開、各メーカーの提供するソフトウェアアップデートで解決可能 | CoRRiENTE.top
https://corriente.top/post-51540/
上記の記事によると、Wi-Fiの規格標準化団体であるWi-Fi Allianceは16日、同脆弱性に対して「脆弱性を修正したアップデートで対処することができる」とコメント。
この脆弱性の発見から、すでに対策に取り組んでおり、各メーカー宛に脆弱性の検証スクリプトを配布済みだそうです。
なお、以下のITmedia NEWSによると、Microsoftは10月10日の月例セキュリティ更新で対処しています。
WPA2の脆弱性「KRACK」対処パッチ、Microsoftは対応済み、AppleのOSとAndroidは数週間中 - ITmedia NEWS -
http://www.itmedia.co.jp/news/articles/1710/17/news044.html
また、スマホ関係も、GoogleとAppleは11月8日時点で修正情報を提供しています(《補足》参照)。ただし、私たちに提供されるのは、各携帯メーカーからなので、しばらく後になりそう。
すべてのメーカーが脆弱性に対応するまではしばらく時間がかかる見通しですが、上記のCoRRiENTE.topの記事によると、この問題を発見したMathy Vanhoef氏は、
『だからと言って「WEP」などのセキュリティが高くないものを使用することよりも、引き続き「WPA2」を使用する方が良い』
と、上記の記事で言っています。
ちなみに、①「Wi-Fiを使わない」、②「有線LANを使う」、③「WPA2に変わる暗号化システムが作られるのを待つ」という解決策もありますが、いずれも非現実ですね。
《補足》2017.11.8追記 Google、Apple、Wi-Fiの脆弱性「KRACK」を修正
Googleは11月6日「Android」に対し、Wi-Fiの脆弱性「KRACK」を修正するパッチをリリースしました。詳しくは下記。
グーグル、「Android」でKRACK脆弱性に対処 - ZDNet Japan
https://japan.zdnet.com/article/35110019/
Appleは10月31日、「iPhone」と「iPad」向けの最新ソフトウェアアップデート「iOS 11.1」をリリース。Wi-Fiの脆弱性「KRACK」を修正しています。詳しくは下記。
「iOS 11.1」リリース--70以上の絵文字を追加、「KRACK」脆弱性に対処
- CNET Japan
https://japan.cnet.com/article/35109680/
■
■ 無線LANの暗号化技術 「WEP」「WPA」「WPA2」
■
無線LANは、通信を無線で行うため、傍受される危険性が高いので、通信される情報を適切に保護する必要があり、そのために、暗号化方式として、「WEP」「WPA」「WPA2」があります。
「WEP」は古い暗号化技術で、暗号化した内容を簡単に解読されてしまい、その後作られた「WPA」も時間をかければ解読できてしまうと言われています。
WPAの改良版であるWPA2では、より強力な暗号技術であるAESを採用しているため、WEPやWPAの欠点が全て解消されており、現在、最も安全な無線の暗号化技術です。
安全性から言えば、以下のようになります。
” WEP ≪ WPA < WPA2 ”
■WEP・・・暗号化の鍵が固定されており時間をかければ解析される危険性有り
暗号化に使用される鍵は、パスワードを変更しない限り同じものが使用され続けるため、解析された場合に、長期間に渡って通信を傍受されるおそれがあります。
■WPA・・・WEPの強化版となる暗号化方式
TKIPと呼ばれる暗号化アルゴリズムの採用が義務化され、さらに高い安全性を持つAESと呼ばれるアルゴリズムの採用も可能となっています。
■WPA2・・・WPA2は WPAの後継規格で、AESの採用が義務化され2004年に標準化
WPAの改良版であるWPA2では、より強力な暗号技術であるAESを採用しているため、WEPやWPAの欠点が全て解消されています。
■
■ 「WPA2」の脆弱性「KRACKs」とは
■
「WPA2」の脆弱性「KRACKs」の詳細が公開、各メーカーの提供するソフトウェアアップデートで解決可能 | CoRRiENTE.top
https://corriente.top/post-51540/
上記の記事に詳しく紹介されていますが、今回の脆弱性は、Wi-Fiのアクセスポイントと接続する際の認証手続き「4-way handshake」が原因だそうです。
「4-way handshake」は、接続する側と接続される側(アクセスポイント)で情報を送り合うことで、お互いの端末情報や暗号キーのやり取りをおこなう。
しかし、この仕様を悪用することで外部から攻撃ができ、情報のやり取りの間に割って入り、ユーザーが意図しないWebサイトへ飛ばしたり、端末のデータ通信から情報を盗み見ることが可能だそうです。
今回の脆弱性は特定の端末が対象になるものではなく、「WPA2」を使用する端末全てが対象。AppleやAndroid、Windows、Linuxなど主要な製品にまで影響が及ぶので、Microsoft、Apple、Googleからソフトの修正版が出たら、PC、スマホ、タブレット全てで、今後、対応しなければなりません。
