2017年10月15日

Wi-Fi通信に深刻な脆弱性「KRACKs」!

モバイル・マネー

日本経済新聞 電子版は2017年10月17日に、Wi-Fi(無線LAN)の暗号で、セキュリティーが強固とされてきた方式「WPA2」に深刻な脆弱性「KRACKs」が2017年10月15日に見つかったと報告した。

WPA2はスマートフォン(スマホ)やルーターなどの通信機器のWi-Fi通信に一般的に使われている。既に修正ソフトが配布され始めているが、更新作業が遅れれば、Wi-Fiで接続する監視カメラなどの機器を多数乗っ取り、攻撃を仕掛けられる恐れもあるという。

この脆弱性はベルギーの研究者が2017年10月15日に、発見した。

【広告】 冬、寒くなって「gaYa-3」が真っ白になっているので、すぐにロングハウスに電話したら、全部天然オイルで、一番良いときに使えるようにデザインされていると聞き、真っ白になっているオイルを手の平に一滴落としたら、目の前ですぐに透明になってきました。もの凄く不思議!早速、説明書を読んでiいただき、納得していただきました。

Wi-Fi通信の暗号照合時には1回限りのカギが使われる。このカギの情報が失われた場合に再送信される仕組みを悪用し、情報を抜き取れることを発見した。

この脆弱性を利用し、GoogleのOS「Android」を搭載したスマホでWi-Fi通信の暗号を簡単に解除できたという。他社端末でもWi-Fi経由で通信した大半のデータを見ることができたとしている。

業界団体のWi-Fiアライアンスは2017年10月16日ni、「この脆弱性が悪用された形跡は現時点ではない」と発表した。

GoogleやAppleなど関連する企業は、修正ソフトを配ったり対策の準備をしたりしている。

Wi-Fi通信の根本的な部分に関わる脆弱性のため、Wi-Fiを通じて送ったクレジットカード番号やパスワードなどの個人情報を含むあらゆるデータが漏れる可能性がある。またWi-Fiを通じ、マルウエアを端末に埋め込むことも不可能ではない。

ただ、攻撃を仕掛けるためには、標的が使っているWi-Fiの通信範囲である数10m圏内に入る必要がある。

最新のOSへの更新が完了するまでは安全な通信を確保するため、Wi-Fi機能を切る設定にするか、有線で接続することが推奨される。

現状では、ほぼ無防備である。

数10m圏内に人がいないことを祈る!

これは、モバイル・マネーが始まって以来、最悪の事件である。
もちろん、Bitcoinなどの仮想通貨へのアクセスも有線以外は危険!

PC Watchによれば、Intelは2017年10月16日に、WPA2脆弱性へのドライバを公開した。
対応ドライバが提供されているのはノートPCなどで用いられる「Intel Dual Band Wireless-AC 3160」など8シリーズの製品。
ただし、対策版ドライバではCVE-2017-13077、同13078、13080、13081を対象とするのみで、10件中4件への対応にとどまる。

Windowsは10月の月例セキュリティ更新プログラムでこの脆弱性に対応済み。Windows Updateを実施すれば、WPA2の脆弱性による問題を避けられる。

Googleは、ITproの取材に対して「数週間以内に影響する全ての機器に対しパッチの提供を予定している」と回答した。

Apple Japan広報は「当社のmacOS、iOS、watchOS、tvOSは、今後数週間内でのアップデートのリリースを予定している」とした。

Google、Appleは、まだ無防備!

情報処理推進機構(IPA)、トレンドマイクロ、シマンテックは、端末のアップデートが完了するまでの対策としてVPN(仮想閉域網)の利用を推奨している。VPNはWi-Fiの暗号化が解除されても、別のレイヤーで暗号化しておけば通信は盗聴されない。

【広告】 シャワーのときに、石けんで洗う必要がない。チェビー・チェイスの女性のための消化剤センターの創立者ロビーネ・チュツカン医学博士は、毎日シャワーと石けんで汚れをこすり落とすことによって、私達は、良いバクテリアを皮膚からはいでいるといっている。汗まみれの運動の後でさえ、「gaYa-3」でオイル・パックをして、洗い流すことによって、水では落ちない泥や垢などの汚れを清潔にできます。

【広告】 クレオパトラは、ほとんど裸で生活していたと言われ、彼女は椰子油を全身に塗り、朝と晩にそれらを洗い流していたと言われている。つまり、椰子油の全身パックを毎日2回していたことになり、もしそれが事実なら彼女の肌は吸い付くようにつるつるで、ぷるるんとしていたことだろう。