「Wi-Fi機器全滅?」な困った問題が発見された件:614th Lap
今頃になって、1997年以降に発売されたWi-Fi機器に影響する深刻な問題が発見されたという。それって、実質、全てのWi-Fi機器に当てはまる問題では……。そんな困った問題とは?
ステイホーム、テレワークが続くこの頃の生活において、Wi-Fiはもはや水道や電気と変わりない、重要な生活インフラになりつつある。
そんな中、1997年以降に発売されたWi-Fiデバイスに影響する重大な問題が発覚した。何でも、特定の機種における問題というわけではなく、Wi-Fi(IEEE 802.11)に対応している製品なら関係する問題だという。
ということは、実質、ほとんどのWi-Fi機器に影響する問題では……。世にあふれる膨大な台数のWi-Fiデバイスに存在する、その問題とは?
その問題とは、ベルギーのセキュリティ研究者であるメイシー・バンホフ氏が発見し、2021年5月12日に発表された「FragAttaks(fragmentation and aggregation attacks)」と名付けられた脆弱(ぜいじゃく)性だ。「全てのWi-Fi機器が影響を受ける」とされ、詳細は専用サイト「FragAttaks.com」で公開されている。
バンホフ氏は12件の脆弱性を指摘しており、FragAttaksは、WPA3を含むWi-Fiのセキュリティ規格全てに影響を及ぼすとみられる。指摘されたその脆弱性は、複数のイーサネットフレームをまとめて1つの802.11フレームへ送信する「フレームアグリケーション」や、サイズの大きいフレームを分割して接続信頼性を高める「フレームフラグメンテーション」に関係しているという。
ニセモノの分割フレームを混ぜ込むことで、フレーム全体の偽造が可能になる他、暗号化されたフレームと平文のフレームを混合することも可能になるのだという。
今回報告された脆弱性には、Wi-Fiの標準規格である「IEEE 802.11」そのものに起因するものや、Wi-Fi製品のプログラミングミスに起因するものもあるという。バンホフ氏は、今回の脆弱性のうち、規格に起因するものを使ってWi-Fiデバイスを悪用することは技術的に難しいと指摘する。しかしその一方で、プログラミングミスに起因する脆弱性については、知らない間に悪用される可能性があり、バンホフ氏はそこに大きな懸念を寄せている。
バンホフ氏は、実際にこの脆弱性を用いた攻撃方法に関して、「FragAttaks.com」で動画を公開している。動画には、ニューヨーク大学の学生向けページにアクセスするためのIDとパスワードをFragAttaksを利用して傍受する様子や、Wi-Fiに対応したスマートコンセントを乗っ取って、そこに接続された卓上ランプを自在にオン/オフする様子が含まれる。
なお、バンホフ氏はこの脆弱性を公開するに当たり、Wi-Fi AllianceやICASI(Industry Consortium for Advancement of Security on the Internet)といったWi-Fi規格の策定に関係する団体に、事前に情報を提供している。そのためすでに脆弱性についてのセキュリティ対策は済んでいる状態だ。Microsoftも2021年5月12日の「Windows Update」で一部(12件中3件)のクリティカルな脆弱性に対応したという。
ちなみにバンホフ氏は、2017年10月に発見された「WPA2」の致命的な脆弱性である「KRACK」を発見した人物でもある。これをきっかけに、より強固なWPA3が策定されたということもあり、今回もWi-Fiセキュリティのさらなる強化につながるかもしれない。今回の脆弱性対応のために、「Windows」や各種Wi-Fi製品などのアップデートを確認しておくべきだろう。
上司X: 実質、ほとんどのWi-Fiデバイスに脆弱性が発見された、という衝撃的な話だよ。
ブラックピット: 1997年以降のデバイスと言ったら、現時点で存在するWi-Fi機器全部が該当するでしょうね。
上司X: だから衝撃的なんだよね。
ブラックピット: この脆弱性で問題になるのは、通信データの偽造や情報の剽窃、なりすましなどですか。しかし技術的にはなかなかタイヘンだと。
上司X: 規模的には驚愕だが、脆弱性自体はそこまで危険なものではないということかな。
ブラックピット: しかも公表したときには各種関連団体に連絡済みで、対応もだいたい済んでる、ってのがいいじゃないですか。
上司X: だな。これからこの情報が拡散されたとしても、まあ大丈夫そうだな。
ブラックピット: 最近だと日本政府のとあるサイトの問題が報道優先で拡散されちゃって大変だったみたいですが……。まあこのWi-Fiの脆弱性については大事にならないようでよかったですよ。皆さんに取りあえず大丈夫みたいですよ、と報告できてうれしい限りです。
上司X: なぜかキミがこの脆弱性を報告した、みたいな流れになってるけど……。ともかく、バンホフ氏のかつての脆弱性の報告がWi-Fiの安全性を底上げするきっかけになったという実績もあることだし、今回の件もまた安全性向上の糧となることを期待したいものだよ。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.