私たちが普段何気なく使っている Wi-Fiですが、そのセキュリティについて気にしたことはあるでしょうか。
先日Wi-FiのWPA2のセキュリティの脆弱性が発見され大きく話題になりましたが、その対策が済んでいるのかも、私たちは気にしなければなりません。
問題の脆弱性に対する攻撃は、まず標的となる人物を設定し、その標的の利用しているWi-Fiネットワークに接続し、そのSSIDと同じSSIDの“偽の”ネットワークを作ります。チャンネルを変更しているだけで同一のSSIDですので、標的の人物には容易には気づかれません。
そしてその標的がネットワークに接続するタイミングで接続先を偽のネットワークに変更するパケットを送信し、接続先を変更させ、さらにパケットの監視ツールを使用することで情報の搾取を試みます。この段階で攻撃者は標的に対して4way handshake(4way handshakeはノンス(通信のたびに変わる乱数)とMACアドレス、ネットワークのマスターキーパスワードを合わせて暗号鍵を生成する過程のこと)に対するノンスの再インストール攻撃を実施します。しかし実際はソフトウェアの脆弱性により、ノンスは変更されず、0に置き換えられてしまいます。これで暗号鍵の半分以上がわかってしまいますので、この作業を繰り返すことで、暗号鍵を割り出して情報の復号化を行います。これでWPA2のセキュリティは無効化されてしまいます。
しかしこれではネットワークを流れるSSL/TLS(HTTPS)のセキュリティによるデータの暗号化は有効のままですので、攻撃者はさらにSSL/TLS(HTTPS)を無効化するためのツールを使用します。
このツール(SSLstrip)によってSSL/TLS(HTTPS)を導入している一部のウェブサイトで暗号通信が行われなくなるため、標的の通信内容がアカウント情報やパスワードまで詳細に傍受されてしまいます。
これが今回の攻撃の概要です。
この攻撃を防ぐ方法はいくつかありますが、ポイントは以下の3点です。
1. PC・スマートフォン等の端末、及びアクセスポイント(ルーター等)のセキュリティアップデートは常に最新のものにしておく。
PC・スマートフォン等のセキュリティアップデートは、セキュリティ分野では必須の対策となっていますが、今回はアクセスポイント(ルーター等)も対象機種によってはファームウェアアップデートが必要になります。
お使いのアクセスポイント(ルーター等)のメーカーからの、ファームウェアアップデートの情報を見逃さないようにしてください。また、お使いの機器がメーカーのサポート対象外の場合は、使用を中止して新しい機器の購入を検討することも必要でしょう。
2. SSL/TLS(HTTPS)が無効なサイトで買い物や個人情報の入力はしない。
今回の攻撃にかかわらず、SSL/TLS(HTTPS)が導入されていないサイトで買い物や個人情報の入力をすることはリスクの高い行為です。また、常にSSL/TLS(HTTPS)の導入されたサイトを利用することを意識していれば、攻撃を受けたことに気がつくことができるかもしれません。しかし自力で気がつくことは難しいと思いますので、ブラウザが発する警告を見逃さないようにしましょう。
3. VPN通信を利用する。
VPN (Virtual Private Network)を利用することで通信内容を暗号化できます。今回の攻撃はこのVPN通信には対応していませんので、VPN通信を利用している場合は今回の攻撃からあなた自身のデータを守ることができます。VPN通信サービスは、PC・スマートフォン等の機能に含まれていたり、最近では各種セキュリティベンダーからも提供されていますので、使いやすいものを選んで利用しましょう。
今回の問題は、攻撃者が特定のWi-Fiエリアを狙った場合に発生しうるものでした。
しかし無料を含めた公衆無線LANを利用する機会も多いことと思いますので、セキュリティについては常に意識する必要があります。
このように今回の問題は多くの人に影響を与える可能性のあるものでしたが、ある程度自分自身で対応も可能な内容となっておりますので、皆さんも是非、まずはPC・スマートフォン等のセキュリティアップデートが最新であることを確認しましょう。