無縫地帯

スマホと共に広く普及してきたWi-Fiの安全性が脅かされる事態到来

先日、世界で広く使われているWi-Fiの認証に関する脆弱性が報じられ騒動がありましたが、まだいろいろあるようなのでまとめてみました。

Wi-Fiネットワーク接続において通信の安全を確保するために広く利用されてきた手法に不具合が発見されました。いまなお関連記事が出ていますが、少し時系列に見返していきたいと思います。

WPA2の脆弱性「KRACKs」公開、多数のWi-Fi機器に影響の恐れ(ZDNet Japan 17/10/16)

Wi-Fi認証の「Wi-Fi Protected Access II」(WPA2)に関する脆弱性の詳細な情報が10月16日、特設サイトで公開された。脆弱性は全部で10件あり、この脆弱性には「KRACKs」(key reinstallation attacks:鍵再インストール攻撃)という通称が与えられた。ZDNet Japan
すでに影響のあるギーク層の多くは本件について認知し今後の対応なども早速検討していることと思われますが、問題なのはこうした技術的話題に関心が低い一般ユーザー層にどうやってこの件を伝え、不要なパニック的事態を避けつつしっかりとセキュリティ対策を講じてもらうかにあると考えられます。

とりあえず、エンドユーザーがいますぐ何かできることはかなり限られており、ハードウェアメーカーがパッチを提供してくれるのを待つよりほかにできることは少ないのかもしれません。

Wi-FiのWPA2脆弱性「KRACK」、今ユーザーにできる対処法(CNET Japan 17/10/17)

KRACKは局所的な脆弱性であり、攻撃者はワイヤレスネットワークの電波が届く範囲内にいる必要があるということを知っておく。

この事実は、ユーザーのホームネットワークがKRACKとはまったく無縁であるということを意味しているわけではないが、広範囲に及ぶ攻撃の可能性は低いと言える。この攻撃にさらされる可能性は、公共ネットワークの方が高いはずだ。CNET Japan
素性の分からない野良Wi-Fiを使うことは以前から危険であると言われてきましたが、今後はWPA2の脆弱性に関するセキュリティアップデートされていないWi-Fi機器を使うとたとえパスワードなどでアクセスが守られているからといっても街中などで公共のWi-Fiサービスを使う際には悪意のある何者かに攻撃されてしまう可能性があるという現実を知っておかねばなりません。なかなか厄介な話です。とくにAndroidスマホは日本国内ではセキュリティアップデートの提供が遅れがちなので気になるところです。


本件だけの問題ではありませんが、古いバージョンのOSで使われているAndroidはちょくちょく企業の情報漏洩の入り口になってしまっている場合もありますので、注意するに越したことはありません。

特にAndroidに深刻な影響:「WPA2」の脆弱性情報、セキュリティ機関が公開パッチ適用を呼び掛け(ITmedia 17/10/17)

脆弱性は10件あり、研究者はこれまでの調査で、Android、Linux、Apple、Windows、OpenBSD、MediaTek、Linksysなどに影響を確認。特にAndroidは深刻な影響を受けるという。ITmedia
これまで携帯電話会社の多くはこうしたセキュリティにまつわる細やかな情報提供をほとんど行ってこなかったように見受けられるわけですが、キャリア自らが公共Wi-Fiサービスなどを広く提供している点と、多くのスマホを販売していることを考え合わせれば、契約ユーザーに対してWi-Fiを利用することで生じる危険性をちゃんと分かりやすく伝え、今後端末メーカーから提供されるであろうパッチの適用をしっかりと促す告知なども十分に行って欲しいものです。また、コーヒーショップやファーストフード店、家電量販店などショップサービスとしてWi-fiを提供するケースも多くなっており、ギガを減らしたくない若いユーザーは格好のターゲットになります。単にスマホは便利です、Wi-Fiを使えばお得ですと宣伝して売るだけであればあまりにもお粗末すぎます。

幸いにも今のところまだ実際にこのWPA2の脆弱性を悪用した攻撃で大きな障害が出たという報道はありませんが、数週間以内には簡単に利用できる攻撃ツールが出現するだろうという予測もあるだけに危機感を持ってこの事態に対応してきたいところです。