WPA2の脆弱性「KRACK」のヤバさをプログラマー小飼弾が解説。「現状の対応策はファームウェアアップデートまで」

　10月15日、Wi-Fi通信のセキュリティプロトコル「Wi-Fi Protected Access 2（WPA2）」に存在する脆弱性が複数確認されたことが明らかになり、その詳細が16日に公開されました。これらの脆弱性は、「Key Reinstallation AttaCKs」という手法により悪用されることから「KRACK」と呼ばれ、WPA2の暗号化の仕組みを侵害するというものです。

　上記を受けて10月16日に放送された『小飼弾の論弾』では、小飼弾氏と山路達也氏が今回のWPA2の脆弱性について、解説を行いました。

―人気記事―

ビットコイン 儲けたあとは 納税だ。“仮想通貨の納税”について公認会計士にいろいろ聞いてみた

「VALUの主張より日本の憲法が優先される」『VALU』リードエンジニア・小飼弾氏にシステムについて色々聞いてみた

---

発見された脆弱性は「勝手に鍵をインストールできる」

山路：
　Wi-Fiに関するものですが、これは一体どういうことなのかちょっと解説していただきたいんですけれども。

小飼：
　僕のMacintosh（以下、Mac）もWi-Fiで繋がっているんですけれども、いっぱい出てきますよね、ずらずらと。

小飼：
　いずれも鍵がかかっているじゃないですか？ 今回見つかった脆弱性というのは、この鍵に関するものです。

山路：
　WPA2というのは、その鍵をどういうふうにするかという決まり事みたいな。

小飼：
　現在使われているWi-Fiで、鍵がかかっているやつのほとんどはこれです。

山路：
　今回の脆弱性は一部で大騒ぎにもなっているらしいのですが。

小飼：
　Wi-Fiにおいて鍵をかけるというのは、一体どういうことかということですよね。Wi-Fiというのは当然ですが無線です。無線ということは、耳をすませばみんな聞こえちゃうわけですよね。今でもパブリックWi-Fiと呼ばれるものというのは、実はそうです。

山路：
　パスワードがなくても、そのまま繋げちゃうみたいな。

小飼：
　パブリックWi-Fiはそういうやつですね。でもそうでもなくて、いわゆるESSID【※】に対してパスワードを入力するタイプのものというのは、どうやってみんなに聞こえるのに盗聴されないようにしているかと言ったら、暗号化するわけですよね。当然暗号化するための鍵が必要です。今回見つかった脆弱性というのは、どうやら横入りして鍵を勝手にインストールし直せるというものです。

小飼：
　そもそもWEPの一番の問題は暗号が弱かったんですよ。力づくに解いたら簡単に解けるようなものだったので、これでは十分に安全じゃないということでWPA、WPA2という規格が出てきたんです。

現状の対応策はファームウェアアップデート

山路：
　WEPはやめてWPA2にしましょうみたいなことを散々言われたと思うんですけれど、そのWPA2に関しても、そうやって破られてしまったとなると、どうやれば安心してWi-Fiを使えばいいのかという話です。私たちができることはあるんですか？

小飼：
　順当に考えればファームウェアアップデート【※】までということですよね。Wi-Fiなだけに端末だけ変えてもだめですよね。Wi-Fiルーターも変えなければいけないんですけれど、深刻なのは個々の機器の実装にバグがあったのではない。

　先日のBluetoothのデバイスを作っていたメーカーでバグがあったんですけれど、今回はWPA2という仕様そのものに、こういうことができてしまうというバグが発生した。

山路：
　根本的な仕組みの問題。これは相当……。

小飼：
　でかいですよね。

山路：
　いっそ普通の人はWi-Fiを使わないほうがいいんですか？

小飼：
　というのは無理でしょう。有線が使えるところでは有線を使うべきだというのは、これは別にWPA2があるなしにかかわらず、不要な電波を出さないというのはセキュリティの面だけではなく……。Wi-Fiでしか通信ができない機器もあるじゃないですか、例えばスマートフォンとか。

山路：
　しかし常になにかしらの穴は見つかって、それを埋めるという、いたちごっこです。

小飼：
　仕様のバグというのは、これはなかなかでかいなと。

• Tweet
•