公共のWi-Fiはしばらく避けるとか、ある程度自衛はできるみたいです。

現在主流となっているWi-Fiのセキュリティプロトコル｢WPA2｣に、重大な脆弱性が発見されました。え、うちのってWPA2かな？ 関係ないんじゃ？って思われてる方もいるかもしれませんが、Wi-Fiの利用状況に関する統計情報をまとめたサイトwigleによれば、2017年10月現在、暗号化されているWi-Fiネットワークのうち90％以上がWPA2を使っているそうなので、基本的にはWi-Fiを使ってる人はみんな関係ある話と思ったほうがよさげです。

かつてはWEPというプロトコルがあったんですが、2003年に脆弱性が発見され、その後を継いだのがWPA2でした。もう10年以上使われてきたわけですが、セキュリティリサーチャーのMathy Vanhoefさんがその大きな欠陥に気づいたのです。彼はこの欠陥を｢KRACK｣（Key Reinstallation Attacks/クラック＝Crack＝｢ひび割れ｣）と呼んでいます。

KRACKは通信を傍受するマン・イン・ザ・ミドル攻撃を可能にするだけでなく、Wi-Fiネットワークへのランサムウェアなどの悪意のあるコードの注入を許してしまいます。Vanhoefさんによると、KRACKは｢クレジットカード番号やパスワード、チャットメッセージ、メール、写真などのセンシティブな情報を盗むために悪用される可能性がある｣のです。

KRACKの仕組みは、ざっくり言うとこんなものです。WPA2ではユーザーの端末（たとえばスマートフォン）とWi-Fiアクセスポイントの間を暗号化するために｢4ウェイ・ハンドシェイク｣（データのやり取り4回）をするんですが、Vanhoefさんはそのうちの3回めに攻撃者が入り込めることを発見したんです。これによって攻撃者は、アクセスポイントと端末の間を流れるパケットを再送したり解読したり、書き換えたりが自由にできるようになってしまうそうです。ただし攻撃者がKRACKを利用するにはそのWi-Fiネットワークの近くにいる必要があるということで、遠隔攻撃はできないそう。不幸中の幸いでしょうか。

Vanhoefさんによれば、KRACKは特にAndroidやLinuxに対して有効なので、使っている人たちは要注意です。Androidユーザーは、問題が解決するまでWi-Fiをオフにしていたほうがいいと言う人がいるくらいです。実際にAndroidデバイスがハックされる様子の動画がこちら。

でも、良いニュースもあります。まず、この問題に対するパッチがすでに公開されつつあります。パッチの対象はWi-Fiルーターと端末両方ありえますが、VanhoefさんのサイトのQ&Aによれば、一般的なユーザーはWi-Fiルーターよりまずラップトップやスマートフォンといった端末側のアップデートを優先したほうがいいようです。

そこで気になる各社の対応ですが、TechCrunchによれば、Microsoft（マイクロソフト）はWindowsですでに対応済みであることを発表、AppleはiOSやmacOSのベータ版では対応したそうです。ただ、特に問題とされているAndroidを開発するGoogleは｢11月6日のパッチで対応します｣とややのんびりしてるように見えます。しかもTechCrunchが指摘するように、AndroidはGoogleがアップデートを出しても全バージョンがそれに対応するまでに時間がかかるので、みんながちゃんと安全でいられるのかどうか心配ですね…。

ただもうひとつの自衛策としては、こっちはこっちで穴があるみたいですが、WPA2とは別の暗号化手段であるHTTPSを使っているサイトしか開かない、という手もあります。ただVanhoefさんは、HTTPSもバイパスされた事例がいろいろあると指摘しているので、あんまりアテにしないほうがいいと思います。

あとは上でも書いたように、KRACKを利用してWi-Fiネットワークをのぞき見るには物理的にWi-Fiルーターの近くにいる必要があります。なので｢ネット上のどこからでも、どこへでも攻撃可能｣みたいな他のハックよりは、攻撃される可能性はだいぶ低くなります。といっても、Wi-Fiの電波ってマンションの下とかけっこう遠くまで飛んでて、通信範囲全部見渡せるわけじゃないんですよね…。

というわけで、しばらくは公共のWi-Fi利用は避けること（テザリング増えそう…）、パッチが配布されたらすぐにインストールすること、と覚えておいた方がよさそうです。

ちなみにVanhoefさんのリサーチ全文はこちらにあります。





Image: Alexander Koerner/Getty Images Entertainment/ゲッティ イメージズ

Video: YouTube

Source: wigle, KRACK Attacks, Mathy Vanhoef, TechCrunch

Bryan Menegus - Gizmodo US［原文］



（福田ミホ）