メディア
連載
» 2017年12月19日 10時00分 公開

WPA2の脆弱性「KRACKs」とは何か?セキュリティ強化塾(3/3 ページ)

[キーマンズネット]
前のページへ 1|2|3       

検証:KRACKsは本当に「致命的」で「壊滅的」だったのか

 まず、結論から述べよう。KRACKsは、その内容を把握さえできていれば対処が可能で、問題もある程度限定的だったといえる。KRACKsに限らず、「回避策が実行できる脆弱性」をそこまで恐れる必要はない。自社が取れる回避策を選び、それを粛々と進めればよい。

 あらためてKRACKs騒動を振り返ってみよう。最初の報道は2017年10月16日だったが、発見者のヴァンホフ氏は7月時点で関係するベンダーに対して脆弱性情報を提供している。当然、各ベンダーは修正プログラムの準備に着手していたはずだ。

 騒動となってしまった理由は、ヴァンホフ氏の発表方法が本人の意思に反して悪目立ちしてしまったからだ。きっかけは世界的なセキュリティイベント「Blackhat」の告知ツイートだった。10月6日に「2017年12月に開催されるBlackhatで、ヴァンホフ氏がWPA2をテーマにした発表を行う」という案内が流れると、これがあっという間にSNSで拡散され、当の本人も驚いているというコメントを出すまでに至った。

 しかも、この段階では、あくまで「理論」にすぎず、ヴァンホフ氏が動画で発表した実証コード(現在では非公開)はあるものの、インターネット上にKRACKsを悪用したマルウェアは存在しないという状況だった。

 さらに、KRACKsを実際に悪用するには、ハードルが高いことにも注目したい。「盗聴」や「改ざん」が可能だという点に注目されがちだが、そのためには通信の「中間」にいる必要がある。しかも、インターネットを経由した攻撃ではなく、実際にターゲットとなるオフィスのフロア近くに入り込まなければ攻撃が成立しない。

 回避策の1つとして上述したが、「無線LANアクセスポイントの出力をフロア内のみに限定する(弱める)」ことは、多くの業務用無線LAN機器が備える機能だ。これを機に適切な出力を見直しておきたい。また、「HTTPS通信を利用する」「VPNを利用する」という対策もKRACKsのためというよりは、企業の基本的なセキュリティ対策に含まれるべきものだ。

結論:どんなに「致命的」「壊滅的打撃」と話題になっても冷静な分析を

 KRACKsに限らず、WannaCryやBlueBorneなど、PCやスマホの脆弱性が一般報道で大きく取り上げられるようになった。しかも、詳細な情報がほとんどない状態での速報は、危機をあおりがちだ。だからこそ、セキュリティ担当者は冷静であるべきだろう。

 KRACKsが「騒動になった後」に注目してみよう。それは既に「回避策はある」「攻撃コードはまだ野に放たれていない」「アップデートも用意されつつある」という状況だった。落ち着いて対処すれば、致命的にも壊滅的にもならずに乗り切れるものだと分かったはずだ。

 あのWannaCryですら、対策のためのアップデートは存在していたし、ポートを閉じるなどの回避策も発表されていた。こちらは危機が現実のものとなるまで対応を後回しにしていた人が多かったため実際に大きな被害が生じたが、「いたずらに騒ぎすぎ」という点では反省が生かされていない感がある。

 今後も「インターネットが終わる」「全デバイスが壊滅的」といったアオリ文句を伴った脆弱性が登場するだろう。その時には焦らず騒がず、情報収集を行ってほしい。実現可能な対処方法は必ずあるはずだ。そして肝心なのは、平常時からセキュリティ情報を得るためのアンテナの感度を磨いておくことだろう。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。