WPA2の脆弱性「KRACK」のヤバさをプログラマー小飼弾が解説。「現状の対応策はファームウェアアップデートまで」

IoT時代の恐怖……深刻な脆弱性

山路：
　Twitterか何かの記事で、「無線LANケーブル」という用語が上がっていましたけれど、一体どんなものなんだという（笑）。

小飼：
　そうそう、「無線LANケーブル」。本当にあったというね。

山路：
　え、なんですかそれ。

小飼：
　これ、本当にあるんですよ。漏えい同軸ケーブルというものがあるんですけれど、「そうか無線LANでも使えたのかな」と。これどういうことかと言うと、例えば机の上だけアクセスブルにしたいとか、そういうふうに使えるんですね。まさに無線LANケーブルですね。厳密に言うとアンテナですけれども。

山路：
　無線LANケーブルと言っている人はそれをわかっていて使っていたんですかね、そういう言葉を。

小飼：
　だとしたらすごいですけれども。別の言い方をすると、WPA2という規格は本来であればみんなに聞こえる拡声器みたいな、電波でのやり取りというのを一種の仮想有線化するようなプロトコルだという捉え方もできますよね。

山路：
　なるほど、仮想のケーブルを作るわけなのか。

小飼：
　例えばその上で、SSLで通信をしていたり、あるいはSSHでサーバーに繋いでいたりというのは、そういうのが盗聴できるわけではないです。そういうのが盗聴できるわけではないですけれども、鍵を再インストールできるということは、要は自分で適当な鍵を作っておいてこの鍵使いなさいとアタッカーが言った場合、同じ鍵ですから少なくともその内容というのは読めちゃいますよね。

山路：
　これって同じ鍵を作ると言っても、以前のWEPの方式だった場合というのは、攻撃したい人が適当にその辺の無線LANとか電波をサーチして、適当な鍵を作って入れちゃったりしたわけじゃないですか。

小飼：
　いや、鍵を作って入れたんじゃないんです。もし「KRACK」の主張が確かであれば、WEPの時よりも深刻です。WEPのときの脆弱性というのは、「鍵そのものをブルートフォース【※】で解読する」だったんですけれども、「KRACK」は「鍵を注入できる」と主張しているわけですから。

山路：
　単純にSSLのウェブサイトにアクセスするように気を付けようだけでは防ぎきれない可能性もあるんですね。

小飼：
　防ぎきれないですね。早々にもいろんなWi-Fiルーターのアップデートが出るとは思いますけれども、今やWi-Fiというのはパソコンだけで使われているわけではないですよね。うちのエアコンもWi-Fiで繋がっているんですけれども。

山路：
　IoT時代【※】の恐怖ですよね。

―人気記事―

ビットコイン 儲けたあとは 納税だ。“仮想通貨の納税”について公認会計士にいろいろ聞いてみた

「VALUの主張より日本の憲法が優先される」『VALU』リードエンジニア・小飼弾氏にシステムについて色々聞いてみた

• Tweet
•