情報セキュリティマガジンVol.7

皆さん、こんにちは。ベレーザコーポレーション上田です。

無線LAN(Wi-Fi)のセキュリティ技術である「WPA2」に脆弱性が発見されて、Wi-Fi利用者も膨大ですから、色んな所で大変な騒ぎになっていますね。

Wi-Fiは煩わしいケーブル配線が不要であり、電波が届く範囲ならどこでも接続できます。その接続方法も簡単であり、ほとんどがパスワードによるアクセス許可が多いです。そんなWi-Fiは会社やプライベートに関らず、PC・タブレット・スマートフォンなどの様々なデバイスと幅広く、便利に利用されている人は多いかと思います。

それと「WPA2」は現在最も安全とされ、標準化されており、Wi-Fiに関係する全てハードウェアやソフトウェアに標準実装されております。Wi-Fiアクセスポイント(以下、AP)のセキュリティ設定も「WPA2」を利用されている方も多いかと思います。セキュリティ設定は他にも「WEP」がありますが、こちらは「WPA2」以前に多く利用されておりましたが、暗号が破られ危殆化(きたいか)しており非常に危険です。

 

WPA2 脆弱性について

今回の脆弱性は「KRACK(Key Reinstallation Attacks)」と呼ばれています。「WPA2」はWi-Fi通信を暗号化し、それには暗号鍵を使います。今回は暗号が破れているのではなく、危殆化ではありませんが、「KRACK」の名の通りで暗号鍵を再インストールできるようです。「WPA2」は共通鍵方式なので、暗号化・復号化には共通の鍵が使われますから、その鍵が分かると暗号化も復号化できてしまいます。脆弱性をつくと、APとクライアント端末の間の鍵を、悪意ある攻撃者の鍵へ再インストールできます。それで、攻撃者は通信内容を復号化できて盗聴できるとのことです。

なお、参考リンクは下記になります。

1.「KRACK」詳細情報 本家
Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

2.IPA情報処理推進機構 重要なセキュリティ情報
WPA2 における複数の脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

上記参考リンク1.のデモンストレーション動画も拝見しました。実際、脆弱性をつくには、実在APのSSIDへ“なりすまし”を行うことになります。利用者は同じSSIDと鍵付きアイコンが表示され、“なりすまし”と分かり難い状況になります。“なりすまし”APに繋がってしまうと、攻撃者が中間に入って、以下のように接続されてしまいます。
  実在AP ⇔ 攻撃者AP ⇔ クライアント端末
これは所謂、Man-In-The-Middle攻撃となります。これで通信内容を盗聴します。

これでWi-Fi通信内容は筒抜けになりますが、
通信内容は更にHTTPSやVPNなどのアプリケーションレベルで暗号化しているものがあります。もしWi-Fi通信が復号化されても、攻撃者はアプリケーションレベルの暗号文は基本的に復号できません。こちらはクライアント側の回避策として参考リンクでも挙げられておりました。また、AP側の回避策もあります。下記へ挙げております。ご参考下さい。

 

回避策について

アクセスポイント側

① AP側の電源が自動的にオフとなるようタイマーを利用する。

アナログ的ですが、電源タイマーを使って、利用時間だけAPの電源を付ける方法です。

② SSIDを攻撃者に特定されないようSSIDステルス機能(ESS-ID)を使用する。

“なりすまし”防止の為にも有効性が高いと思います。更に と組み合わせることで攻撃確率はとても下がると思います。

クライアント側

③ 有線LANを使用する

タブレットやスマートフォンだと基本使えず現実的ではないです。LANケーブルアダプタを入れれば対策できますが現実的ではないです。

④ WEBページ上の重要情報はSSL(HTTPS)を使用する

こちらはWi-Fi通信を盗聴されていても、内部のWEB通信は暗号化されており確かに有効ですが、上記参考リンク1.の動画内にも「ssltrip」というハッキングツールによって盗聴しておりました。それは TLS1.2 以降だと大丈夫らしいので、新しい機器やOSであれば大丈夫だと思いますが、TLS1.2 のみ接続するようにWEBブラウザの環境設定にも注意が必要です。

⑤ 同じく重要情報はVPNを使用する。

VPNはSSLと同様にその通信自体も暗号化されており有効です。プライベートなネットワークという名前の通り、利用範囲が限定されてしまいます。外出先から自宅LANや会社LAN、拠点間接続など限定サイトへ接続するという使い方です。WEBとは使用方法が異なるので、WEBのような公共サイトへの接続なら結局 ④ に注意が必要です。

 

解決策について

それで根本的な解決策も挙げられておりました。脆弱性の存在はプロトコルの標準化レベルですから、WindowsやMacなどOS、中継機能をもつAPが影響範囲になります。それらのセキュリティアップデートを待つ必要があります。それまで上記の回避策の実施が望ましいです。

Windowsは10月10日にWindows Updateによって配信済みです。Windowsユーザーはアップデートして下さい。その他は数週間以内に修正するとの事です。回避策を実施して待つしかないです。ただ、AndroidはGoogleが修正するとの発表がありましたが、タブレットやスマートフォンは更にメーカーやキャリアごとにGoogle修正内容の適用・配信が必要ですから、更に時間が掛かるでしょうし、サポート外の古い機種だと対応しない可能性もあります。Androidユーザーはご注意下さい。

なお、弊社は全てWindowsですので、至急 Windows Update を実施しました。これで解決済みとしましたが、回避策  も対応検討しております。回避策 は以前から対応済みです。AP側も対策を強化していく予定です。

Wi-Fiはとても便利ですが、無線電波は目に見えないだけに悪意な攻撃も目に見えないのが怖いです。どのタイミングでどうやって攻撃されているのか見えないので、皆様も対策は十分に行って下さい。

 

2017-10-20 | Posted in 情報セキュリティマガジンComments Closed 

関連記事