\r\n\r\n
Wi-Fi接続を保護するWPA2暗号化セキュリティプロトコルに欠陥があります。これは、ハッカーがパスワード、写真、電子メール、クレジットカード情報などを傍受することができる脆弱性です。また、無作為に訪問したウェブサイトにマルウェアを注入するために使用される可能性もあります。
これは、インターネットに接続されているほとんどの人に悪影響を及ぼす可能性のある、壊滅的な脆弱性である。残念ながら、この問題を解決するために、私たちの誰もができることは何もありません。その代わり、マイクロソフト、グーグル、アップルなどの企業が、できるだけ早くパッチをリリースしてくれることを期待しています。
WPA2の脆弱性(コードネーム:KRACK)は、ベルギーのルーヴェン大学(Katholieke Universiteit Leuven)のセキュリティ研究者mathyvanhoef氏が発見しました。この脆弱性は、クライアントとアクセスポイントの両方が正しい認証情報を持つことを確認するためにWPA2プロトコルによって用いられる4ウェイ・ハンドシェイクを悪用して、キー再インストール攻撃と見なされます。
Ars Technicaが報じたように、事実上、KRACKは攻撃者が既に使用された暗号鍵をクライアントに再利用させることを可能にします。その結果、暗号化を回避し、機密データを含むあらゆるトラフィックを傍受することが可能になります。また、この機会を利用して、希望すれば、Webサイトにマルウェアを仕込むことも可能です。
この脆弱性はWPA2プロトコル自体に存在するため、Wi-Fiに接続されたほぼ全ての機器が影響を受けます。しかし、AndroidとLinuxは暗号鍵の扱い方の違いから、KRACK攻撃に対して脆弱性があります。アンドロイドの絶対的な人気を考えると、これは心配なことです。
WPA2の欠陥が発見された後、セキュリティ研究者は7月に特定のベンダーに対して通知を出しました。その後、8月に「本日(10月16日)、脆弱性を公開する」と大々的に告知された。残念ながら、ほとんどのベンダーでは、これだけでは解決しないようです。
WPA2の不具合に対するセキュリティパッチを公開しました。マイクロソフトはWindows(8以上)のアップデートを公開し、グーグルは今後数週間のうちにパッチを公開する予定です。ですから、プロバイダーがこれらのアップデートをリリースしたら、すぐにワイヤレスルーターなどをアップデートすることしかできません。
残念ながら、すべての脆弱な機器にパッチが適用されるわけではありませんし、パッチが適用されたとしても、アップデートのインストールは個人の責任となります。つまり、今後数年間で数百万台のデバイスがKRACK攻撃にさらされる可能性があるということです。Wi-Fiアライアンスは、そろそろWPA3を開発する時期なのかもしれません。
クラークをどう思う?野放図に悪用される心配はないのでしょうか?このリリースの影響を受ける製品を持つすべての企業は、パッチを優先的に適用すべきでしょうか?それとも、脅威は誇張されているとお考えですか?下のコメント欄で教えてください
Photo credit: Tony Webster via Flickr