文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    Wi-Fi通信内容が盗み見される?「WPA2に弱点」情報まとめ

     無線LAN「Wi-Fi」の暗号化のしくみ「WPA2」に、攻撃されると通信内容を読み取られる弱点がみつかった。WPA2はもっとも安全度が高い暗号化だったので、大騒ぎになっている。だが、状況をよく理解してアップデートをすれば不安になる必要はない。わかっている情報をまとめよう。

    (ITジャーナリスト・三上洋)

    安全度が高い暗号化システムだったが…

    • 情報処理推進機構(IPA)による説明
      情報処理推進機構(IPA)による説明

     私たちが普段使っている無線LAN(Wi-Fi)は、電波でデータ通信を行うため、そのままでは傍受されて内容を読み取られる恐れがある。そこで、Wi-Fiではデータ通信を暗号化して、読み取られないようにしている。

     暗号化するしくみはいくつかあり、弱い順に「WEP」「WPA」「WPA2」などが挙げられる。WEP方式は非常に弱く、ツールを使えばWi-Fiパスワード(暗号化キー)がわかってしまう。その反省を基に作られたのがWPAだが、ここにも弱点があって、安全とは言えない。そのため、最新のWPA2が推奨されてきた。

     ところが、信頼度が高いはずのWPA2にもこのほど、弱点がみつかった。「KRACKs(Key Reinstallation Attacks)」と呼ばれる攻撃への、脆弱(ぜいじゃく)性が指摘されたのだ。ベルギーの研究者ヴァンホフ氏が発見したもので、10月16日に詳細が発表された。

     発表によると、同じWi-Fiの範囲内に悪意のある人がいた場合、WPA2には、通信内容を読み取られたり、別のサイトへ誘導されたりする危険性がある。暗号を解読するのではなく、暗号化の鍵を別のものに入れ替えることができてしまうことなどから、別の攻撃との「合わせ技」でパスワードを再入力させられて読み取られる懸念があるという。Wi-Fiを使うすべての機器に影響があり、特にAndroidとLinuxが危険とされる。

    すべて読み取られるわけではない

    • 2016年7月、セキュリティー会社のシマンテックが公衆WiFiで被害に遭う危険を呼び掛けたデモの様子
      2016年7月、セキュリティー会社のシマンテックが公衆WiFiで被害に遭う危険を呼び掛けたデモの様子

     まず犯人は、同じWi-Fiの電波のエリアにいる必要がある。ネット経由で攻撃はできず、物理的にWi-Fiのエリアに来なくてはならない。このため、自宅のWi-Fiについては、あまり心配する必要がない。公衆Wi-Fiでの危険性に気をつけたい。犯人がWPA2の弱点を攻撃する用意をして、カフェや空港などで公衆Wi-Fiの利用者を待ち伏せしていた場合、データ通信の一部が見られてしまうことになる。

     ただ、すべてを読み取られてしまうわけではない。というのは、Wi-Fiとは別に、サイト・サービスごとの暗号化も行われているからだ。これは「HTTPS通信」と呼ばれるもので、ブラウザーなどを経由して暗号化している。WPA2の弱点を突いただけでは、見ることはできない。

     ログインが必要なサイトは、ほぼすべてHTTPS通信が行われている。たとえば、ネットバンキング、SNS(Twitter、Facebookなど)、通信販売サイト(Amazon、楽天など)は大丈夫だ。個人情報が漏れる心配はない。とはいえ、HTTPS通信であっても、どのサイトを見たかはわかってしまう。

     メールは、暗号化されているブラウザー経由で利用するなら、見られる恐れはない。しかし、暗号化なしで利用するメールソフトでは、読み取られかねない。

     犯人が同じWi-Fiエリア内に来る必要があり、「HTTPS通信は読まれない」ということも考えれば、パニックになるほどの問題ではないことがわかる。その反面、盗み見された環境によっては、HTTPS通信の内容を推測できる場合はあるだろう。公衆Wi-Fiを使った個人情報のやり取りに、気をつけたいことは確かだ。

    ヴァンホフ氏による動画デモ

    • ヴァンホフ氏によるデモ画面の動画
      ヴァンホフ氏によるデモ画面の動画

     WPA2の弱点を発見したヴァンホフ氏は、Androidのデータが盗聴されるデモンストレーション動画を、サイトhttps://www.youtube.com/watch?v=Oh4WURZoR98で公開しているので、一度見てみるといいだろう。有志によって日本語の字幕もついていて、画面右下の設定マークから「字幕」を「日本語」にすれば見られる。

     この動画でショッキングなのは、あるサービスのログインパスワードを読み取っていることだ。HTTPS通信で安全なはずのパスワード入力を読み取っている。ただし、これはWPA2の弱点を突いた結果ばかりとはいえず、別の攻撃も併せて行っている。パスワード読み取りの流れは以下の通りだ。

     ▼AndroidのWi-Fi接続を、WPA2の弱点を突いて攻撃
     ▼犯人が用意した別のWi-Fiに接続させ、内容を一部書き換える。いわゆる「なりすまし」を行う
     ▼HTTPSの設定が不十分なサイト(デモ動画の例はmatch.comというサイト)への接続で、中間に入り込んでデータを改ざんする。いわゆる「中間者攻撃」をする
     ▼本来はHTTPS通信で暗号化されるはずの画面が、犯人の用意した暗号化のない別の通信にすり替えられる
     ▼犯人が用意した偽のログイン画面で、ネット・サービスの利用者がパスワードを入力する
     ▼犯人がパスワードを読み取る

     これは「sslstrip攻撃」と呼ばれるもので、データ通信の中間で悪事をはたらく中間者攻撃の一種だ。WPA2の弱点を突くことを足がかりに、Wi-Fiなりすましを行い、中間で別の攻撃も駆使して偽サイトを表示し、パスワードを盗み取っている。サイト側が、なりすましや中間者攻撃への対処をしていれば問題は起きないが、未対応のサイトでは同様の攻撃が可能であることを示している。

    Windowsは対応済み、Appleも間もなく

     さて、私たちは、どんな対応を取ればいいのか。情報処理推進機構(IPA)が呼びかけている対策を、以下のURLでご覧いただきたい。https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

     要するに、「弱点を解消するための修正プログラム(アップデート、パッチ)が、ネット上などに配布されたらすぐに適用する」「アップデートが公開されるまでは、暗号化されていないサイト(HTTPS通信ではないもの)で重要な情報をやり取りしない」「どうしても必要な場合はVPNを使うか、有線LANを利用する」ということだ。

     各社とも、修正プログラムの状況を発表し始めている。これらを、しっかりとアップデートしておきたい。

     ・マイクロソフト Windowsは10月10日のセキュリティー更新で対応済み
     ・アップル iOS、MacOSは次期アップデートで対応予定。数週間以内とみられている
     ・グーグル Androidは11月6日のアップデートで対応予定

     難しいのはAndroidでの対応だ。Androidは、端末メーカーが独自でカスタマイズしており、古い端末ではアップデートが行われていない。そのためWPA2の弱点に対応するアップデートが出るかどうかは、各端末メーカーの動き次第ということになる。

     Wi-Fi機器についても、各社が調査結果や対応方法などを発表している。

    バッファロー
    http://buffalo.jp/support_s/t20171017.html
    アイ・オー・データ機器
    http://www.iodata.jp/support/information/2017/wpa2/
    エレコム
    http://www.elecom.co.jp/support/news/20171018/
    TP-Link
    http://www.tp-link.jp/faq-1970.html

    ヤマハ
    http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU90609033.html

     基本的にはWi-Fi親機側の対応は不要で、利用する端末側の子機での対応が必要となる。各社とも、Wi-Fi親機側は中継機能を使っている場合に影響があるとしている。子機で使っている場合にはアップデートが必要なので、今後配布されるアップデートを行うべきだ。

    アップデートするまでは…

     アップデートするまでは、カフェや空港などの公衆Wi-Fi利用時に、個人情報を入力するようなサービスは利用しないほうがいいだろう。前述のように暗号化されているHTTPS通信であれば読み取られることはないが、偽サイトを経由させる中間者攻撃に遭う可能性はゼロではない。念のために「カフェや空港でのネット利用ではパスワードやクレジットカード番号を入力しない」と覚えておこう。

     最後に、改めて記しておく。自分が使っているPC、スマホ、ネット機器のアップデートが出たらすぐに適用しよう。この問題に限らず、ネットを安全に使うためには「アップデートをすぐに適用するか、自動更新にすること」が大切だ。

    ●参考記事

    メールも盗聴? フリーWiFi「なりすまし」の危険:サイバー護身術

    フリーWi-Fi利用の危険性と注意点:サイバー護身術

    公衆Wi-Fiの危険性とセキュリティー:サイバー護身術

    無線LAN乗っ取り:古い「WEP」を解読か?:サイバー護身術

    参考:「KRACK: Wi-Fiの安全を脅かす脆弱性」カスペルスキー

    2017年10月23日 15時30分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP