CERTコーディネーションセンター(CERT/CC)とWi-Fiアライアンスは米国時間の2017年10月16日、無線LANのセキュリティ規格であるWPA2(Wi-Fi Protected Access 2)の脆弱性を公表した。またJPCERTコーディネーションセンター(JPCERT/CC)は日本時間の10月17日に、この脆弱性を脆弱性対策情報ポータルサイトのJVN(Japan Vulnerability Notes)に掲載した。現在、機器やOSのベンダーが対応を進めている。

JVNに掲載されたWPA2の脆弱性に関する情報
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]

 最近は有線LANの機能を持たず、無線LANだけで接続可能という機器が増えており、現在は無線LANのセキュリティは対策としてWPA2を使うことが基本となっている。その点で、この脆弱性の影響を受ける可能性があるユーザーは多い。リスクと対策を、早めに整理しておくべきだろう。

中間者攻撃が成立すると暗号化通信を見られる

 今回の脆弱性は、無線LAN通信に使う「セッション鍵」の生成に関するもので、ベルギーのルーヴェン・カトリック大学のMathy Vanhoef氏によって報告された。

 セッション鍵は通信を暗号化するために使われる暗号鍵で、セッションごとに変わる。セッション鍵は、「ハンドシェーク」というWPA2で定められたクライアントとAP(アクセスポイント)間でのやり取りを経て作られる。このハンドシェークのプロセスに攻撃者が中間者として入り込む中間者攻撃(報告者はチャンネルベースの中間者攻撃と呼んでいる)に成功すると、セッション鍵の生成に必要な情報を操作して、奪えてしまう。その結果、暗号化された通信を復号されたり、コンテンツを挿入されたりする恐れがある。セッション鍵は、PCなどのクライアントやAPに事前に設定するパスワードとは別のもので、攻撃はパスワードを知らなくても成立し得る。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら