WPA2の脆弱性「KRACK」
2017/10/16 WPA2の脆弱性が発表されました。本脆弱性の対象はWPA/WPA2を使うほぼすべてのデバイスが対象です。適切なアップデートを適用していない場合、攻撃者にトラフィックを解析される恐れがあるため、WiFiの使用は控えたほう良いでしょう。
特に意識してほしいのは本脆弱性は必ずしもAP側に問題があるとは限りません、一部の機能を無効化していれば影響を受けない場合があります。どちらかというと無線クライアント側での対処が必要な場合が多いと認識してください。
まず攻撃者は既存のWiFiのSSIDと同一のSSIDを持つAP設置し、標的となる人を定めます。標的となった人が本来接続したいSSIDに接続しようとしたところに、特別なパケットを送りつけることによって通信チャネルを切り替え、同一のSSIDを持つ偽WiFiへ接続先を切り替えることが可能です。
本脆弱性は攻撃対象WiFiにアクセスできる場所にいる必要があるため、遠隔からの攻撃は出来ません。ただし、AESの脆弱性ではないためパスワードの変更は意味を成しません。現状ではWPA2以上にセキュアな方式はないため、WEP等に変更するのは危険です。本脆弱性はAPだけでなく、無線クライアントもアップデートの対象です、クライアント側のアップデートを忘れないようにしましょう。また、VPNやHTTPSによって適切な暗号化をしている場合は回避できますが、暗号化が正しく実装されていないWebサイトでは偽のアクセスポイントに「SSLstrip」と呼ばれるツールを設置するだけで、ブラウザーの通信をHTTPSからHTTPに強制的に切り替えることが可能です。そのため、脆弱性に対処しているか判断できない公衆無線LAN等には接続しないほうが良いでしょう。また、VPNもVPNサーバにはトラフィックログが保存されている可能性があるため、無料のVPNサービスの利用にも注意が必要です。どちらも不安な場合はおとなしく有線LANを使うしかなさそうです。
この手の脆弱性は今後も出てくると考えられます、Iotの製品選定時は特にそうですが、パッチ提供が遅い製品や、数年でアップデートが打ち切られることが多い国内Android製品は(少なくとも)商用利用は避けたほうが良いかもしれません。
ArubaOSの場合、Mesh機能または802.11rを有効化していると脆弱性の対象になりますが、デフォルトでは無効となっています。InstanstOS(IAP)の場合はWi-Fi Uplink機能も対象になりますが、これもデフォルトでは無効です。Ciscoの場合、802.11r Fast Transitionを無効にする必要があります。デフォルト値はAireOS8.3.111.0未満が無効で、8.3.111.0以降は有効となっています。Mobility Expressでは8.2以前が無効、83.以降は有効となっています。メーカに関わらず802.11rを有効化している場合はVoipのために使用している可能性が高いため、無効化したときの影響範囲(ローミングの劣化)に注意して下さい。
主要なメーカの対応状況は以下のサイトに各リンクがまとめられています。
