「KRACK」(Key Reinstallation AttaCK:鍵再インストール攻撃)と呼ばれる攻撃の詳細が公開された。不吉な響きの名称が冠されたこの攻撃は、ユーザーのデバイスがWi-Fiネットワークとの接続を確立する際に用いる4ウェイ・ハンドシェイクという手順に存在する脆弱性を突くことで、ネットワーク上を流れる暗号化されたデータを復号できるようにするというものだ。攻撃者はこの脆弱性を悪用することで、パスワードを入手せずともネットワークに不正にアクセスし、クレジットカード情報のほかに、個人のパスワードや電子メールなど、ネットワーク上を流れる情報を実質的にすべて入手できるようになる。
Wi-Fi接続時に「Wi-Fi Protected Access II」(WPA2)プロトコルを使用するネットワークは実質的に、どれもこの脆弱性の影響を受けるが、脆弱性が存在しているのはアクセスポイントではない。実際のところKRACKは、ワイヤレスネットワークへの接続に使用するユーザーのデバイスを標的にする。
取り得る対策
では、今すぐ実行できる対策には、どのようなものがあるのだろうか?
WPA2プロトコルを使い続ける。
脆弱性が見つかったとはいえ、WPA2はほとんどのワイヤレスネットワークにとって、最もセキュアなプロトコルであることに変わりはない。
すべてのデバイスとOSを最新バージョンにアップデートする。
使用している電子機器すべてについて、アップデートの有無をチェックし、最新状態になっていることを確認するのが最も効果的な対策だ。ユーザーの命運は、機器メーカーと、既存製品をアップデートする彼らの能力に委ねられている。例えばMicrosoftは既に、この脆弱性に対処するセキュリティアップデートをリリースしている。またGoogleは声明で、「影響のあるデバイスに対するパッチを数週間以内に提供する」と述べている。さらにLinuxのhostapdとWPA Supplicantに対するパッチも利用可能になっている。
パスワードの変更は効果がない。
よりセキュアなパスワードへの変更はそれ自体、悪いことではないが、この攻撃はパスワードそのものを迂回(うかい)するため効果はない。
KRACKは局所的な脆弱性であり、攻撃者はワイヤレスネットワークの電波が届く範囲内にいる必要があるということを知っておく。
この事実は、ユーザーのホームネットワークがKRACKとはまったく無縁であるということを意味しているわけではないが、広範囲に及ぶ攻撃の可能性は低いと言える。この攻撃にさらされる可能性は、公共ネットワークの方が高いはずだ。
CERTのウェブサイトでは、各ベンダーが影響を受けるか否かを示す一覧が公開されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。