「Wi-Fi機器全滅？」な困った問題が発見された件：614th Lap

今頃になって、1997年以降に発売されたWi-Fi機器に影響する深刻な問題が発見されたという。それって、実質、全てのWi-Fi機器に当てはまる問題では……。そんな困った問題とは？

» 2021年05月28日 07時00分公開

[キーマンズネット]

　ステイホーム、テレワークが続くこの頃の生活において、Wi-Fiはもはや水道や電気と変わりない、重要な生活インフラになりつつある。

　そんな中、1997年以降に発売されたWi-Fiデバイスに影響する重大な問題が発覚した。何でも、特定の機種における問題というわけではなく、Wi-Fi（IEEE 802.11）に対応している製品なら関係する問題だという。

　ということは、実質、ほとんどのWi-Fi機器に影響する問題では……。世にあふれる膨大な台数のWi-Fiデバイスに存在する、その問題とは？

　その問題とは、ベルギーのセキュリティ研究者であるメイシー・バンホフ氏が発見し、2021年5月12日に発表された「FragAttaks（fragmentation and aggregation attacks）」と名付けられた脆弱（ぜいじゃく）性だ。「全てのWi-Fi機器が影響を受ける」とされ、詳細は専用サイト「FragAttaks.com」で公開されている。

　バンホフ氏は12件の脆弱性を指摘しており、FragAttaksは、WPA3を含むWi-Fiのセキュリティ規格全てに影響を及ぼすとみられる。指摘されたその脆弱性は、複数のイーサネットフレームをまとめて1つの802.11フレームへ送信する「フレームアグリケーション」や、サイズの大きいフレームを分割して接続信頼性を高める「フレームフラグメンテーション」に関係しているという。

　ニセモノの分割フレームを混ぜ込むことで、フレーム全体の偽造が可能になる他、暗号化されたフレームと平文のフレームを混合することも可能になるのだという。

　今回報告された脆弱性には、Wi-Fiの標準規格である「IEEE 802.11」そのものに起因するものや、Wi-Fi製品のプログラミングミスに起因するものもあるという。バンホフ氏は、今回の脆弱性のうち、規格に起因するものを使ってWi-Fiデバイスを悪用することは技術的に難しいと指摘する。しかしその一方で、プログラミングミスに起因する脆弱性については、知らない間に悪用される可能性があり、バンホフ氏はそこに大きな懸念を寄せている。

　バンホフ氏は、実際にこの脆弱性を用いた攻撃方法に関して、「FragAttaks.com」で動画を公開している。動画には、ニューヨーク大学の学生向けページにアクセスするためのIDとパスワードをFragAttaksを利用して傍受する様子や、Wi-Fiに対応したスマートコンセントを乗っ取って、そこに接続された卓上ランプを自在にオン／オフする様子が含まれる。

　なお、バンホフ氏はこの脆弱性を公開するに当たり、Wi-Fi AllianceやICASI（Industry Consortium for Advancement of Security on the Internet）といったWi-Fi規格の策定に関係する団体に、事前に情報を提供している。そのためすでに脆弱性についてのセキュリティ対策は済んでいる状態だ。Microsoftも2021年5月12日の「Windows Update」で一部（12件中3件）のクリティカルな脆弱性に対応したという。

　ちなみにバンホフ氏は、2017年10月に発見された「WPA2」の致命的な脆弱性である「KRACK」を発見した人物でもある。これをきっかけに、より強固なWPA3が策定されたということもあり、今回もWi-Fiセキュリティのさらなる強化につながるかもしれない。今回の脆弱性対応のために、「Windows」や各種Wi-Fi製品などのアップデートを確認しておくべきだろう。