WPA2 Wi-Fiユーザー(つまりほぼ全員)にとって、ワイヤレスネットワークのセキュリティ保護に使用されている技術に重大な設計上の欠陥があることを示す研究結果が発表され、憂慮すべき月曜日となりました。この深刻な欠陥を悪用すれば、近隣の悪意ある人物が無線経由で人々のインターネット接続を盗聴する可能性があるのです。
ただし、この脆弱性がどれほど単純なものであっても、Wi-FiやWPA2の使用を完全にやめたり、テクノロジー全体を強制終了したりしないでください。面倒ではありますが、トンネルの出口には光が見えており、お使いのPCにはすでにパッチが適用されている可能性があります。
キー再インストール攻撃 (KRACK) は恐ろしいように聞こえます。また、IEEE とその 802.11i プロトコルにとっては恥ずかしい見落としですが、重要な注意点もあります。
KRACK WPA2について簡単にまとめると、WPA2ハンドシェイクで3番目のパケットを繰り返し再送信すると鍵の状態がリセットされ、ナンスが再利用され、既知の平文で簡単に復号化できるようになります。これはTCP SYNトラフィックをダンプしたり、接続をハイジャックしたりするために簡単に利用できます。
— グラハム・スプーキーランド🎃 (@gsuberland) 2017年10月16日
まず、いくつかの制限があります。まず、盗聴者は標的ネットワークの無線範囲内にいなければならず、KRACK技術を実行するための時間と専用のソフトウェアを備えている必要があります。私たちの知る限り、有効なエクスプロイトコードはまだ存在せず、実用的な攻撃はLinuxとAndroidに対してのみ可能である可能性があります。
KRACKはWi-Fi範囲内でのみ有効です。家の外で怪しいパーカーを着た人がキーボードを叩いているような状況では、暗号化は最重要事項ではありません。
— タラ M. ウィーラー (@tarah) 2017 年 10 月 16 日
第二に、ネットワークトラフィックがHTTPS、VPN、SSH、TLSなどで暗号化されている場合、KRACKはそれほど遠くまで到達しません。無線ネットワークパケットを解読した悪意のある人物が目にするのは、暗号化されたデータだけです。この時点で、スヌーパーは、ユーザーと接続先のウェブサイトやサービスの間に潜む広大なネットワーク上に潜む他のスパイと全く同じ存在になります。だからこそ、私たちはあらゆる場所でHTTPSをはじめとするエンドツーエンドの暗号化を採用し、中間に静かに潜む悪意ある人物を阻止しようとしているのです。残念ながら、インターネットトラフィックの多くは依然として暗号化も保護もされていないHTTPを使用しているか、あるいは特定の状況下ではHTTPにダウングレードされる可能性があります。そのため、KRACKの問題は潜在的な問題となっています。
この攻撃ではWi-Fiネットワークのパスワードは漏洩しません。しかし、ベースステーションがWPA-TKIPまたはGCMP暗号化を使用している場合、脆弱性のあるデバイスに対して、暗号化されていないトラフィックに悪意のあるJavaScriptコードやマルウェアのダウンロードといったデータを挿入される可能性があります。これは決して好ましいことではありません。
悪いニュースですが、Android 6.0またはLinuxでwpa_supplicant 2.4以降を使用している場合、ワイヤレス接続を乗っ取るのは非常に簡単です。プログラミング上の欠陥により、このソフトウェアはKRACK攻撃を受けるとゼロキー(つまり、すべてゼロの暗号化キー)を使用します。そのため、影響を受けるwpa_supplicantツールを使って、コンピューター、スマートフォン、その他のデバイスとの間で送受信されるワイヤレスパケットを傍受、復号、改ざんすることが非常に容易になる可能性があります。
これは悪いニュースだ。ここに良いニュースがあるはずだ。
WPA2 KRACK攻撃がWi-Fiセキュリティに打撃を与える:暗号の根本的欠陥
続きを読む
基本的に、WPA2 を使用している脆弱な機器が大量に存在し、それらすべてにパッチを適用するのが困難なため、これはすべて悪いことです。確かに、コンピューターや最近の Android ハンドヘルドではソフトウェア修正を入手できますが、しばらくの間、または無期限にパッチが適用されないままになる Linux ベースの人気のない IoT デバイスのことを考えると、ぞっとします。
朗報としては、この脆弱性を発見したルーヴェン・カトリック大学のセキュリティ研究者、マシー・ヴァンホフ氏とフランク・ピエセンス氏が、月曜日の公開に先立ちベンダー各社に警告を発した。開発者やメーカーが最初の警告を受け取ったのは7月頃、KRACKの技術の一部を解説したこの無署名の論文[PDF]がひっそりとオンライン上に現れた頃だったようだ。
Microsoftは10月のセキュリティアップデートでWindowsのワイヤレスコードにパッチを当てているので、インストール済みであれば安全です。Appleはベータテスター向けにアップデートをリリースした後、数日以内にiOSとmacOSのセキュリティ修正を一般公開する予定です。一方、GoogleはAndroidとChromeOS向けのセキュリティ修正にまだ取り組んでいます。
研究者らの論文によると、WindowsとiOSはKRACKの影響をほとんど受けていない。これは、MicrosoftとAppleのWPA2実装によりプロトコルの欠陥を悪用することが比較的困難であり、いずれにせよパッチが既に提供されているか、近日中に公開される予定だからである。Linux、Android 6.0以降、OpenBSD 6.1、macOS 10.12および10.9は、WPA2における暗号化キーの再利用方法が原因で、KRACKの盗聴技術によるリスクが最も高い。詳細については、論文のセクション3.2をご覧ください。
Cisco社は自社の機器向けのパッチをいくつか公開しており、今後さらにパッチを公開するとともに、この問題に関する技術的な議論も深める予定です。Intel、Netgear、Aruba、Ubiquitiも修正プログラムを公開しており、Wi-Fi Allianceは他のベンダーと協力してWPA2の設計上の欠陥の解決に取り組んでいます。
Unix 系の面では、OpenBSD には修正プログラムが用意されており、Debian を含む Linux ディストリビューションにも修正プログラムが用意されています。
もちろん、これは戦いの半分に過ぎません。ユーザーと管理者は、入手可能なパッチを入手してインストールする必要があります。すでに過重労働のBOFH(オフィスの従業員)やPFY(オフィスの従業員)に、すべてを中断してオフィス内のすべてのWi-Fi対応機器にパッチを適用するよう指示するのは至難の業です。ましてや、自宅のセキュリティカメラのWi-Fiファームウェアを担当している人に手伝ってもらうことなど考えられません。
US-CERTの脆弱な機器リストを見ると、パッチをリリースするつもりのない、汎用メーカーや倒産した企業が多数存在することがわかります。だからこそ、ネットワークを決して信用しないことが重要です。
KRACKは、BeyondCorpアプローチのメリットを改めて認識させてくれます。セキュリティ境界はネットワーク境界ではなく、アイデンティティであるべきです。
— SpookyTayOnSecurity (@SwiftOnSecurity) 2017年10月16日
まとめると、慌てる必要はありません。ただ、パッチを適用するか、パッチ適用の準備を整え、脅威モデルにネットワークをどのように組み込むかについて、より慎重に考える必要があります。Wi-Fi 環境が快適で安全だと思い込んでしまうと、いつか行き詰まる可能性があります。
KRACKが実際に使用されるようになるのは間違いないでしょうが、正直なところ、まだしばらく時間がかかるでしょう。簡単に使えるエクスプロイトコードはまだ出回っていません。実際、実用的なエクスプロイトコード自体が存在しません。しかし、いずれは登場するでしょう。そして、たとえそれが実現したとしても、世界が終わるわけではありません。
A-IEEE-EEEE
最後に、IEEEはWPA2の設計ミスのような規格の評価と精査のプロセス全体を比較的困難にしていることを忘れてはなりません。仕様を見るには料金を支払うか、公開されてデバイスにハードコードされてから数ヶ月待たなければなりません。仕様はそれほど明確ではないため、WindowsとiOSはLinuxほど深刻な影響を受けていません。MicrosoftとAppleのエンジニアはWPA2の実装において仕様を正しく遵守していなかったようで、KRACK攻撃の大部分を阻止しました。
「IEEEの問題の一つは、標準規格が非常に複雑で、非公開の非公開会議で作られることだ」と、暗号学者で教授のマシュー・グリーン氏は、本記事の冒頭にリンクしたブログ記事で述べている。
さらに重要なのは、事後であっても、一般のセキュリティ研究者がアクセスするのは困難だということです。IETF TLSまたはIPSec仕様をGoogleで検索してみてください。詳細なプロトコルドキュメントがGoogle検索結果の上位に表示されます。次は、802.11i規格をGoogleで検索してみてください。ご健闘をお祈りします。
IEEEはこの問題を軽減するためにいくつかの小さな対策を講じてきましたが、彼らは極端に臆病で漸進主義的なナンセンスです。GETと呼ばれるIEEEのプログラムでは、研究者が特定の標準規格(802.11を含む)に無料でアクセスできますが、それは規格が公開されてから6ヶ月経過した後に限られます。偶然にも、これはベンダーが規格をハードウェアやソフトウェアに取り消し不能に組み込むのにかかる時間とほぼ同じです。
「このプロセス全体が愚かで、今回のケースではおそらく業界に数千万ドルの損害を与えただけだ。やめるべきだ」
さらに厄介なのは、KRACKの中核を成すWPA2の4ウェイハンドシェイクは数学的に安全であると証明されていることです。しかし残念ながら、この検証プロセスでは、デバイスとWi-Fiベースステーション間でネゴシエートされる秘密セッション暗号鍵が複数回インストールされる可能性があるという事実が見落とされていました。KRACKの手法はこの点を悪用し、鍵を何度も再インストールすることで、完全な復号が可能になるまで暗号化プロトコルを攻撃します。®
