2018.11.17
アップルデバイスに搭載される、さまざまなテクノロジーを超ディープに解説!
読む前に覚えておきたい用語
KRACK(Key Reinstallation AttaCKs)
2017年に公表されたWPA/WPA2の脆弱性でキー再インストール攻撃とも呼ばれる。暗号鍵の生成に使用される「4ウェイハンドシェーク」の脆弱性を利用して通信の傍受や改ざん、機器の乗っ取りなどが可能で、機器の種類やOSの種別を問わずあらゆるデバイスが影響を受けるとされている。
WPA(Wi-Fi Protected Access)
WPAは「Wi-Fiアライアンス」が策定したセキュリティ認証プログラム。1997年にリリースされたセキュリティシステムであるWEP(Wired Equivalent Privacy)の脆弱性に対応するため、2003年にWPAをリリース、翌2004年にはIEEE802.11i規格対応のWPA2がリリースされた。
Wi-Fi(Wireless Fidelity:ワイファイ)
Wi-Fiは無線LANの普及を推進する業界団体「Wi-Fiアライアンス」により、IEEE802.11規格を利用した無線LANのデバイス間の接続互換性が確認されたことを示す名称。Wi-Fiの名称を名乗るには同アライアンスの認証を受ける必要があり、認証製品にはWi-Fi CERTIFIEDロゴを表示できる。
WPA2の脆弱性とWPA3の登場
2018年6月25日、Wi-Fiの最新セキュリティ規格となる「WPA3(Wi-Fiプロテクテッドアクセス 3)」がWi-Fiアライアンスから正式にアナウンスされた。これを受けて、各社から対応製品が今年後半からリリースされる見込みとなっている。
WPA3は従来のWi-Fiセキュリティ技術であるWEPやWPA/WPA2に代わって、今後のWi-Fiのセキュリティの標準規格となる見込みだが、この時点でリリースされたきっかけは昨年明らかになったWPA/WPA2の脆弱性「KRACK(Key Reinstallation AttaCKs)」にある。これに対してはWi-Fi機器のファームウェアにアップデートを施すなどの処置で一時的な対策は可能なものの、WPA/WPA2プロトコルそのものの仕様に起因した脆弱性であるため、将来的には完全な堅牢性を維持することが難しいことからセキュリティの仕組みそのものをアップデートする必要性が指摘されていた。
WPA2は2004年のリリースから14年間もの長きにわたって、Wi-Fi環境のセキュリティ標準を担ってきた規格だが、2017年10年にセキュリティ専門家のMathy Vanhoef氏が、WPA2暗号化プロトコルにおける深刻な脆弱性を公表した。この脆弱性はWPA2の認証手続きの中で、通信トラフィックの暗号キーの生成時に使用される「4ウェイハンドシェーク」中に存在するとされている。これは、Wi-Fi接続の端末と親機(アクセスポイント)が相互認証を行って暗号キーを交換する段階を狙って攻撃を行うこと。暗号化の際に暗号キーとともに利用される乱数が何度も再送信される仕組みを利用し、攻撃者がパケット内の暗号キーを特定することが可能になる。この脆弱性に対しては各OSベンダーが早急に対策を実施しており、macOSは10.13.1以降で、iOSは11.1以降で修正対応されている。
