Wi-Fiはインターネットの目に見えない結合組織です。しかし月曜日、無線ネットワークがルーターからデバイスに送信される情報を保護するために使用する方法に脆弱性があることが発覚しました。それはWPA2と呼ばれるプロトコルに存在していました。ベルギーのルーヴェン・カトリック大学の28歳のポスドク研究員、マシー・ヴァンホフ氏は、数ヶ月前にKRACKsと呼ばれるこの問題を発見しました。
この問題に関して知っておくべきこと、および対処法について説明します。
それは握手から始まる
ノートパソコンやスマートフォンなどの機器がWi-Fiネットワークに接続すると、2つの機器は複数段階のハンドシェイクを実行します。このプロセスには、例えばスマートフォンがネットワークに接続するための正しいパスワードを持っているかどうかの確認が含まれます。また、ハンドシェイクシステムはデータを安全に保つための暗号鍵も生成するため、誰にも盗聴されることはありません。脆弱性はここに存在します。この脆弱性を悪用すると、これらの鍵の1つが再利用されてしまいます。これはセキュリティ上、避けるべき行為です。
「このWPA2プロトコルの設計には、被害者に鍵の再利用を強制できる弱点があることがわかりました」と、この問題を発見した研究者のヴァンホフ氏は述べている。「これを利用すれば、被害者が送信しているパスワードやユーザー名などの機密情報を盗み出すことも可能です。」
良いニュース:このエクスプロイトが実際に実行されるには、ハッカーがWi-Fiネットワークの範囲内にいる必要があるため、地球の反対側から実行できるような攻撃ではありません。悪いニュース:もし攻撃が成功した場合、攻撃者はデバイスからインターネットに流れるデータを傍受して閲覧できる可能性があります。
「初めてこのプロトコルを発見したとき、本当に驚きました」とヴァンホフ氏は語る。「このWPA2プロトコルは14年も前から存在していたのですから。」
この問題のより詳しい説明を求める人のために、ルーヴェンはこの問題に関する研究論文を発表し、またそれに関するウェブサイトでもすべてを説明しています。
誰が影響を受けるのでしょうか?
問題はWPA2無線プロトコルにあり、特定のデバイスメーカーが開発したものではありません。ヴァンホフ氏によると、iOS、Android、Linux、Windowsといった一般的なOSはすべて影響を受けますが、その程度はそれぞれ異なります。ルーベン氏によると、最も脆弱なデバイスはAndroidとLinux OSを搭載しているとのことです。
自宅の Wi-Fi ネットワークは、空港やオフィスの公衆 Wi-Fi システムのような大規模なネットワークよりも脆弱になる可能性が低くなります。
ルーベン氏によると、この脆弱性を実際に利用した人がいるかどうかはまだ不明だという。「悪用されているかどうかを判断する立場にはありません」と彼は言う。しかし、彼が最も懸念しているのはAndroid搭載スマートフォンだ。
それで何をすべきでしょうか?
今日そしてこれからもずっと、あなたができる最も重要なことは、企業が配信する自動アップデートをインストールすることです。スマートフォンやノートパソコンがiOS、Android、Windows、macOSのいずれであっても、重要なのは「常にアップデートをインストールすること」だとルーベン氏はアドバイスしています。自宅のWi-Fiネットワークのパスワードを変更する必要はないと彼は言います。(マイクロソフトはこの問題に迅速に対応しており、10月10日に修正プログラムをリリースしました。)
家庭用ネットワークやルーターは他のネットワークに比べて脆弱性が低いとはいえ、ルーターのファームウェアを最新に保つことも重要です。例えば、Netgearは、この脆弱性の影響を受けるルーター、カメラ、中継器、その他の機器をリストアップした記事を公開し、最新のファームウェアを入手する方法を説明しています。
ベルキン、リンクシス、Wemoの広報ディレクター、カレン・ソール氏は、この脆弱性を「認識している」と述べています。「当社のセキュリティチームが詳細を確認しており、状況に応じてお知らせします」と彼女はメールで述べ、「必要に応じて、お客様が製品を更新するための手順をセキュリティアドバイザリページに掲載する予定です」と付け加えました。
また、Apple は Popular Science に対し、この脆弱性に対する修正が iOS、macOS、watchOS、tvOS のアップデートを通じて今後数週間以内に一般ユーザーに提供される予定であることを確認しました。これらのアップデートは、パブリックベータ版または開発者ベータ版としてすでにリリースされています。
「慌てる必要はありません」とシマンテックの脅威研究者、キャンディッド・ウエスト氏は言います。しかし、彼はさらにこう付け加えます。「これは、私たちが利用しているWi-FiのWPA-2暗号化の設計に存在する深刻な脆弱性であることは間違いありません。」
ルーベン氏と同様に、ヴエスト氏もデバイスのソフトウェアを更新することの重要性を強調しています。また、機密情報を送信する場合は、ブラウザで接続がHTTPS/SSLで保護されていることを確認することを推奨しています(URLフィールドに鍵マークが表示されているか確認してください)。正しく設定されていれば、このプロトコルはより高いレベルのセキュリティで情報を保護します。本当に心配な場合は、最後の対策として、仮想プライベートネットワーク(VPN)の使用を検討してみてください。
結局のところ、このような脆弱性は「まれ」だが、WannaCry のような悪意のあるコードと比較すると、「インターネットにとってそれほど悪いものではない」と Wueest 氏は言う。
