Wi-Fiの暗号技術「WPA2」にセキュリティ問題が存在したことが明らかとなりました(スラド、ITmedia)。コードネーム「KRACKs」と名付けられたこの脆弱性は、ベルギーのMathy Vanhoef 氏が発見したもので、攻撃者はWPA2プロトコルの暗号鍵管理手法に存在する脆弱性を利用し、機密データの取得等が可能になります。
脆弱性が悪用されるとクレジットカードやメッセージ、電子メール、写真などの機密情報が盗まれる危険性があり、ネットワークの構成によってはデータの注入や操作が可能になる場合もあるとのこと。
ただし今回の脆弱性は、ルーター側のセキュリティアップデートは基本的には必要はなく(メーカーに問い合わせるよう推奨されていますが)、クライアント側の更新によって対応可能とされ、例えばMicrosoftやAppleはすでに「KRACKs」に対応済みのようです。
実際、MicrosoftのWindowsは、今月10日に公開された月例アップデートにパッチが含まれていて、AppleはiOS、watchOS、tvOS、macOSのベータ版で修正済みとのこと。
なおルーターのセキュリティ設定をWPA2からWEPに変更するのは良くないと説明されています。影響範囲の大きそうな脆弱性ですが、今後公開されるセキュリティパッチを速やかに適用できれば、被害の広がりを押さえることができそうです。
