2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
How the Krack Hack Breaks Wi-Fi Security(全1記事)
リンクをコピー
記事をブックマーク
ステファン・チン氏:私たちは、Wi-Fiに多くを頼るようになっています。携帯、コンピュータ、時計はパーソナルネットワークに接続されています。スマート冷蔵庫やネットに繋がったジューサーなど、すべてのIoTガジェットは言うまでもありません。
そのため、先週発表されたWi-Fiセキュリティの重大な欠陥は、大きな問題となりました。
ベルギーのセキュリティ研究者、マシー・バンホーフ(MathyVanhoef)氏により発見されたこの脆弱性では、攻撃者はWi-Fiの環境があればどこでも、クレジットカード情報の窃取や、マルウェアの注入などができるといいます。しかも、この欠陥は14年以上も見過ごされてきたのです。実際にはこれほど悪い結果になることは無いようですが、専門家には寝耳に水でした。
Wi-Fiネットワークの暗号化通信で広く用いられているセキュリティプロトコルはWi-Fi Protected Access、通称WPA2です。2004年頃から使われており、パスワードや暗号化キーの漏洩がないとして、安全性が数学的に証明されていました。ところが、そうではなかったのです。
新たに見つかった「KRACKs」という脆弱性では、攻撃者による細工が可能になってしまいます。「KRACKs」(key reinstallation attacks、鍵再インストール攻撃)は、WPA2のセキュリティ上の、4ウェイ・ハンドシェイクという重要なプロセスをエクスプロイト(脆弱性利用)します。
ハンドシェイクとは、携帯などのクライアントの機器と、ルーターなどのアクセスポイントとが、保護された接続を確立する時にやりとりする、一連のメッセージを指します。
4ウェイ・ハンドシェイクでは、最初の2段階で、クライアントとアクセスポイントが、互いにパスワードが正しいか否かを確認します。3つめのメッセージで、アクセスポイントがさらに情報を送ります。4番目のメッセージでは、クライアントから「通信を始めても安全です」と伝えます。
アクセスポイントとクライアントは、この一連のやりとりで、暗号化キーについて合意を行い、これは4番目のメッセージ後に双方にインストールされます。
キーは、この接続で送られるデータ量に関連した特殊な数列に加え、データの欠片つまりパケットの暗号化に使われます。手に入れたらその後の会話が暗号化できる、シリアルのおまけについて来るデコーダーリングの暗号表のようなものです。この場合の会話とは、みなさんがやっと買う決心のついた、高い新作ゲーム購入時に使うクレジットカード番号のような、インターネットで送受信するデータすべての通信です。
Wi-Fiのデータは、範囲内の誰でも傍受可能な空間に放出されますが、暗号化されている限りは、傍受されたとしても、みなさんが送信する情報が盗まれることはありません。コードがわからなければ、ちんぷんかんぷんなのです。
「KRACKs」のエクスプロイトでは、ハンドシェークの3番目のメッセージを標的としたハッカーに、コードを解読されてしまいます。
3番目のメッセージは、接続の際に消えてしまう部分があるため、削除されてしまうことがあります。アクセスポイントは、クライアントから4番目の「安全なので通信します」というメッセージを受信できないと、「どうしたの?受信できなかったの?もう一回送信しますよ」と、3番目のメッセージを再送信します。
バンホーフの論文によれば、ハッカーが、この4番目のメッセージを受信できないようアクセスポイントをブロックすれば、アクセスポイントに3番目のメッセージを再送信させ、暗号化キーをデバイスに再インストールさせて、前述の特殊な数列をもリセットできてしまうのです。これがよくないのです。
つまり、みなさんは同じ暗号化キーと同じ数列を、何度も使用することになります。つまり、まったく同じコードを繰り返し使うことになるのです。この繰り返しにより、コードは解読されてしまいます。すべてのデータパケットが、同じコードで暗号化されるため、ハッカーはコードを暴露してしまうパターンを探し出すことができます。傍受するデータの暗号解読が、非常に容易になってしまうのです。
このエクスプロイトは、接続のタイプにもよりますが、さまざまな悪用が可能になります。理論上は攻撃者はデータ送信も可能であり、デバイスをマルウェアやランサムウェアで汚染できます。
さて、これは確かに大規模な脆弱性であり、対策を取る必要はじゅうぶんにあります。しかし、パニックに陥る必要はありません。わかっている限りでは、Wi-Fiが使えなくなるわけではないのです。
まず悪いニュースですが、WPA2は極めて安全とされているため、ほとんどすべてのWi-Fiネットワークのセキュリティに使用されています。すべてのWI-Fiに、です。
ですからあなたが「うちのWi-Fi接続トースターに影響はあるかな?」と思っている場合、答えはイエスです。なぜならトースターは、あなたの家のWi-Fiネットワークにつながっているからです。お子さんとWi-Fiを、隔離してください。
HTTPではなく、HTTPS経由のサイトであれば、いくらかはセキュリティが高いはずです。なぜなら、URLにHTTPSとある場合、そのサイトは暗号化されているからです。この場合は、みなさんのコンピュータとアクセスポイント間ではなく、みなさんのブラウザとそのWebサイトのサーバとの間のことで、まったく話は異なります。
しかし、データパケットによっては、ハッカーが傍受して暗号を解読できることがありますし、窃取できる情報はたくさんあります。HTTPSを利用していないウェブサイトに有害なソフトウェアを注入することも可能です。これはカフェのWi-Fiのような、セキュリティの弱いWi-Fiネットワークを悪用する時のハッカーの常套手段です。
良いニュースは、ハイテク企業にはすでにKRACKの知識があり、その解決に乗り出していることです。しかし、すべてに修正パッチを充てるには時間がかかります。
携帯その他のデバイスへのアップデートは、すでに始まっています。しかし、みなさんのWi-Fiルーターやスマートトースターに関しては、もう少し時間がかかるかもしれません。
理想は、デバイスとルーターの、両方に修正パッチを充てることです。みなさんは、お使いのデバイスのアップデートは、必ずインストールしてくださいね。スマートヘアブラシへもお忘れなく。スマートヘアブラシなんて、ありましたっけ? 無いと思いますけどね。
もう1つの良いニュースとは、ハッカーがKRACK攻撃をするには、Wi-Fiに物理的に接触する必要があることです。リモート攻撃はできません。ですから、自宅の向かいに怪しい車が停まっていない限り、みなさんの個人ネットワークはおそらくは安全です。
しかしビジネス関連であれば、人に気づかれずに接近することは容易です。この危機が、絵空事で済まないのは、このためです。
バンホーフは実際にKRACK攻撃の実践を目撃したことはないとしていますが、この情報を公開することは、悪意のある人にその方法を知られてしまうというリスクもあるのです。
関連タグ:
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05