Wi-Fi利用時の認証に使われる「Wi-Fi Protected Access II」(WPA2)の脆弱性「KRACKs」(「KRACK」と表記される場合もある)が10月16日に公表されてから、初めての週末を迎える。多数のWi-Fi機器に影響が及ぶとされるだけに、メーカーの対応も本格化し始めた。Wi-Fi機器のユーザーは現在の状況を確認しておこう。
すぐに危険ではない
KRACKsの脆弱性は、PCやスマートフォンなどWi-Fi機能を持つ端末機器と、無線LANルータ/アクセスポイント(AP)との間で、暗号化通信を行うために必要な処理に起因する問題だ。つまり暗号技術(AESなど)や、端末とサーバなどとの間における暗号化通信(HTTPSなど)、VPN(仮想プライベートネットワーク)接続などの問題ではない。
脆弱性の公表後、ネット上では「Wi-Fiは危険」といったコメントも飛び交った。これは“ある意味”で事実だが、KRACKsの脆弱性が発覚したことでいきなり危険になったという認識は間違いだ。
「Wi-Fiは危険」という意味では、例えば、暗号化通信が設定されていなかったり、クラック可能な古い認証方式の「WEP」しか使えなかったりといったケース、あるいは悪意のある人物が通信機器に存在する別の脆弱性を悪用してサイバー攻撃を仕掛けるケース、不正に細工した機器を使ってユーザーの通信内容を盗聴しているケースなど、さまざまな危険性が存在する。そもそも、「絶対に安全なWi-Fi」は存在しない。
WPA2は、Wi-Fi接続時の暗号化通信を行うための認証方式としては、現在普及している中で非常に“堅牢”とされている。今回の脆弱性は、その堅牢性が危ぶまれるものであるものの、他には上述のWEPなどWPA2よりも危険とされる古い方式しかない。このため多くのセキュリティ専門家は、ユーザーに引き続きWPA2の利用を推奨している。また、盗聴といった脅威から通信内容を守るには、HTTPSなどの暗号化通信やVPN接続を利用する方が望ましい。
KRACKsの脆弱性は、WPA2の仕様にあることから、これに基づいて開発・製造された膨大な数の機器やソフトウェアに影響がおよぶとされる。影響範囲が広いだけに、多くの機器メーカーやソフトウェア開発者らが早くから対応に乗り出している。
ユーザーは、機器メーカーやソフトウェア開発者から脆弱性を修正するOSやファームウェアが提供されたら、速やかに適用することが推奨されている。たくさんの機器を所有しているというユーザーには大変だが、脆弱性を解消することが抜本的な対策になるからだ。