2017年10月のセキュリティクラスタ、話題の中心は「ビットコイン」「WPA2」「新ランサムウェア」でした。Webページの閲覧時にビットコインを採掘させる仕組みがマルウェアではないかと議論に。無線LANで広く使用されている暗号化方式「WPA2」では盗聴などにつながる脆弱(ぜいじゃく)性が見つかりましたが、こちらは尻すぼみ。東欧を中心に広がった新ランサムウェア「Bad Rabbit」では、国内サイトが拡散元となり、驚きを呼びました。
無線LANの暗号化方式には大きく分けてWEP、WPA、WPA2があります。WPA2以外の方式には脆弱性が見つかっており、「安全に接続したいならWPA2を使え」がほぼ常識になっていました。
しかし、WPA2にも大きな脆弱性があることが2017年10月15日の夜あたりから明らかになり、大きな話題となりました。15日時点では共通脆弱性識別子(CVE番号)が公開されていることと、情報公開のためのWebサイトがあることだけが分かっていました。それでも少ない公開情報から、通信傍受を可能にするダウングレード攻撃があり得るのではないかなど、脆弱性の内容を予測したツイートがありました。
翌10月16日には、予告通りWAP2の脆弱性情報が公開されました。PoC(Proof of Concept:実証プログラム)はありませんでしたが、攻撃の詳細を示したWebサイトがあり、さらに攻撃によってWebサイトのログインIDとパスワードを盗聴する動画がYouTubeにアップロードされました。多くの人々が関心を持ちタイムライン(TL)をにぎわせていました。
実際にはどのような脆弱性だったのでしょうか。無線LANアクセスポイント(AP)と子機の間で認証時のやりとりに不備がありました。APにアクセスしているユーザーになりすましができたり、データを盗むことができたりする脆弱性です。主要な全OSに脆弱性があり、特にAndroid 6.0以降で影響があるという内容です。
一瞬大騒ぎになったものの、WEPの脆弱性のようにAPのアクセスキーが盗まれるわけでもなく、後に公開された攻撃コードも条件が限定的。実際の攻撃も見つかっていないことから、「思ったよりも影響は少ない」と判断したのか、騒ぎはすぐに沈静化しました。
Windowsは既にアップデート済み、iOSは10月31日にアップデートが提供されました。問題のAndroidに対しても対策パッチが11月6日に提供済みです。ユーザーとしてはOSやドライバのアップデートを適用することと、公衆無線LANを使用するときのように、VPNの利用時やWebサイトへアクセスする際はhttpsを使用することを心掛ける他ないようです。
Copyright © ITmedia, Inc. All Rights Reserved.