安定運用されていたWPA2が危険なものに？

　今回の脆弱性は「WPA2」という、ほとんどのWi-Fi製品が採用している標準プロトコルに発見されたものだ。WPA2は、暗号化方式（RC4）が古く現在の技術で解読が容易とされるWEPの代替プロトコルとして整備されたものだ。AESという現状では安全とされる暗号化を用いており、Wi-Fiネットワークを考えるとき、WPA2をことさら危険だと考える専門家は少ない。それよりも、野良アクセスポイントやハッカーが仕掛けたハニーポット、パスワードを設定しないモバイルルータなどのほうがリスクが大きく、実際に問題になっているからだ。

　「Key Reinstallation Attacks（略称：KRACK、キー再インストール攻撃）」と名付けられたWPA2の脆弱性が最初に広く認知されたのは、Blackhat Europe（ロンドンにて12月4日から開催予定）の公式サイトに、あるセッションの情報が追加されたことから始まる。そのセッションは、「WPA2プロトコルに脆弱性が発見され、暗号鍵が漏えいする」という内容で、特定プログラムの問題ではなく、仕様上の問題であるため既存のほとんどの製品が影響を受けることになるというものだ。

　AESの暗号化方式そのものが破られたわけではないが、WPA2が暗号化通信に利用する鍵が漏れるという話が持ち上がったため、大騒ぎとなった。

WPA2の脆弱性を突いた「攻撃シナリオ」の詳細

　暗号鍵はどのようにして漏れるのか。WPA2では、無線通信を暗号化するための鍵をSSIDやそのパスワード（セキュリティコード）から生成して、通信開始時に事前に共有するモードが存在する。暗号用に認証サーバなどを利用しないで済むため、家庭向けWi-Fi製品や、企業が利用しているWi-Fiルータやアクセスポイントでもこのモードを利用していることが多い。正規のプロトコルでは、アクセスポイントが生成した鍵をクライアントに送信したとき、クライアントがACK（受領確認）を送らないと、同じ鍵を再送するようになっている。

　鍵はセッションごとに生成されるので、ワンタイムパスワードのように機能することで安全性を高めている。しかし、ACKが確認できないと同じ鍵が送られてしまうため、いわゆる「リプレイ攻撃」が成立する。攻撃者が、アクセスポイントとクライアントの間の無線通信を傍受したり中継したりしているなら、中間者攻撃によって通信内容が解読できてしまう。

　この脆弱性を発見した研究者（Blackhat Europeでの発表者）が公開した攻撃デモ動画では、出会い系ソーシャルネットワークへのログイン情報（ID、パスワード）がハッキングされる様子が映し出されている。

詳細情報までの「空白の1日」が拡散を加速

　実は、Blackhat Europeの公式サイトに最初に情報が公開されたときは、「WPA2の鍵が漏えいする」という簡単な内容のみで詳細は語られていなかった。公式サイトに情報がアップされた正確な日時は調べられなかったが、SNS等に流れてきた情報とサイトの確認では、日本時間15日深夜か16日未明に最初の情報が公開された。

　その後、詳細情報は10月16日付けのCVE（公開脆弱性情報）とともに発表されるとの情報が流れる。CVEの発表は日本とアメリカの時差があるため、16日付けのリリースは日本では17日となる。つまりほぼ丸1日、詳細情報がない状態があったことになる（実際には、専門家や研究者が独自に調べたりすることで、概要は少しずつ報告されていたが）。

　この1日のタイムラグが詳細不明の情報を拡散させることになり、とくにIT系のニュースメディアは速報を打つなどしたので、日本では騒ぎが大きくなった。「いまのところWPA2より安全なプロトコルはない」「プロトコルの脆弱性なのでほとんどの製品が影響を受ける」「無数のWi-Fiルータやアクセスポイントのパッチ配布と適用はハードルが高い」「すぐに有効な対策がとれない」「いや、まだ詳細情報が発表になっていないので、慎重な行動が必要だろう」といった具合だ。

【次ページ】 一連の騒動で学ぶべきポイントとは？