Oligur

• ニュース

Wi-Fi に重大なセキュリティ上の欠陥が発見され、私たち全員が危険にさらされています。

研究者らは、現代のWi-Fiネットワークを保護するプロトコルであるWPA2に脆弱性を発見しました。ワイヤレス接続を備えたあらゆる最新デバイスがKRACK攻撃の標的となり、クレジットカード番号、パスワード、メッセージなどの情報が漏洩する可能性があります。

WPA2（Wi-Fi Protected Access II）は、Wi-Fiネットワークのセキュリティを確保するためにWi-Fi Allianceによって開発されました。2014年に導入されたWPA2は、ルーターとワイヤレスデバイス間で送信される情報を暗号化し、第三者によるデータの傍受を防ぎます。

しかし、WPA2には深刻な脆弱性があることが判明しました。セキュリティ研究者のマシー・ヴァンホフ氏は、WPA2が機密情報の窃盗に悪用される可能性があり、現代のWi-Fiネットワークはすべて脆弱であると警告しています。「お使いのデバイスがWi-Fiに対応している場合、影響を受ける可能性が高いです。」

私たちは皆、KRACK攻撃の危険にさらされている

この攻撃はKRACK、つまり「キー再インストール攻撃」と呼ばれています。

Android および Linux デバイスが最も脆弱ですが、Apple および Microsoft のデバイスも危険にさらされています。(更新: Apple は iOS、tvOS、watchOS、macOS のベータ版でこの脆弱性を修正したと報告されています。)

初期の調査では、OpenBSD、MediaTek、Linksys、およびその他のデバイスもこの攻撃の「ある種の亜種」の影響を受けることが判明しています。

仕組み

KRACK 攻撃により、ハッカーは Wi-Fi ネットワーク経由で転送されるデータを傍受して復号化できるようになります。

これは、デバイスが接続された際に、すべてのWi-Fiネットワークが新しい暗号化キーを配布するために使用する「4ウェイハンドシェイク」を妨害することで実現されます。より具体的には、新しいキーを含むメッセージの1つをリプレイすることで、暗号化プロトコルを攻撃に対して無防備な状態にします。

一度開かれると、データ パケットを再生、復号化、偽造できるようになります。

デバイスメーカーは認識している

Wi-Fiデバイスベンダーは既にKRACKを認識しており、Vanhoef氏は7月にこの問題をベンダーに報告していました。これにより、ベンダーは問題が公表される前にパッチを準備する時間がありました。しかし、だからといってデバイスが保護されたわけではありません。多くのデバイスがまだアップデートされていない可能性があります。

攻撃者がこの脆弱性を実際に利用したかどうかは不明です。しかし、Vanhoef氏は、この脆弱性が公開されたことで、悪用される可能性が高まったと警告しています。

それは止められる

幸いなことに、KRACKはパッチで阻止できます。新しいセキュリティプロトコルやハードウェアは必要ありません。Wi-Fiのパスワードを変更する必要さえありません。

「代わりに、すべてのデバイスがアップデートされていることを確認し、ルーターのファームウェアもアップデートする必要があります」とヴァンホフ氏は記している。「ルーターをアップデートした後、 念のため Wi-Fiのパスワードを変更することもできます。」

残念なことに、Vanhoef 氏は、WPA2 にも今回と同様の脆弱性が潜んでいると疑っています。

「プロトコルの実装については、より厳格な検査が必要です」と彼は説明する。「そのためには、学術界からの支援とさらなる研究が必要です。」

完全に露出しているわけではない

パニックになる前に知っておくべき重要な注意事項がいくつかあります。

まず、KRACK攻撃を実行するには、ハッカーがあなたのWi-Fiネットワークに接続している必要があります。つまり、ルーターのパスワードが必要になります。もちろん、これを回避する方法はありますが、何らかの保護手段があることを覚えておくことが重要です。

第二に、データ保護のためのセキュリティ対策は他にも存在します。例えば、銀行のように独自の暗号化技術を使用しているウェブサイトは、機密データを保護しています。これにより、たとえKRACK攻撃が成功したとしても、攻撃者がデータを入手することはできません。