【IT】WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解
■ このスレッドは過去ログ倉庫に格納されています
「WPA2」の脆弱性は、ソフトウェアアップデートで解決できる――Wi-Fiの規格標準化団体が見解を発表。
Wi-Fiの暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性が見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日(米国時間)、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。
http://image.itmedia.co.jp/news/articles/1710/16/ky_wpa2noalliance-01.jpg
脆弱性は、ベルギーのマシー・ヴァンホフ氏(ルーヴェン・カトリック大学)が複数発見したもの(コードネーム:KRACKs)。WPA2プロトコルの暗号鍵管理にいくつかの脆弱性があり、「Key Reinstallation Attacks」と呼ばれる手法で悪用が可能という。
Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に取り組み、加盟するメンバー企業が使用できる脆弱性検出ツールを提供、メーカー側にも必要なパッチを迅速に提供できるよう呼び掛けているという。ユーザーには使用しているデバイスで最新のアップデートを順次適用するように促している。
現時点で、今回の脆弱性が悪用されている証拠はないとしている。
脆弱性を発見したヴァンホフ氏は、このほど開設したWebサイトで脆弱性の詳細やデモ動画などを公開した。その中にあるQ&Aコーナーでは、脆弱性への対応などについて以下のように回答している。
ヴァンホフ氏が開設したWebサイト
http://image.itmedia.co.jp/news/articles/1710/16/ky_wpa2noalliance-02.jpg
・利用しているデバイスのアップデートを適用すること・?Wi-Fiのパスワードを変更する必要はない
・ルーターのセキュリティアップデートが必要ない場合もある(メーカーに問い合わせるべき)
・デバイスにパッチを適用するまで「一時的にWEPを使う」判断は間違っており、WPA2を使い続けるべき
・脆弱性を初めて外部に公開したのは2017年7月14日頃。実験に使用したWi-Fi製品のメーカーに連絡した
・私(ヴァンホフ氏)はバグの奨励金を申請しておらず、まだ受け取っていない
配信2017年10月16日 19時37分
ITmedia
http://www.itmedia.co.jp/news/articles/1710/16/news114.html
関連スレ
【IT】Wi-Fiを暗号化するWPA2に脆弱性発見〜対応のあらゆる機器が影響★2
http://asahi.2ch.net/test/read.cgi/newsplus/1508157720/ >>6
上位層でセキュリティ対策してたら問題ねえべ >>7
Wi-Fi圏内からでは危険じゃないんですか? >Debian-based distributions patch against WPA2 exploit
仕事が早い。 NEC AtermWR8500N使ってるけど、パッチ提供は絶望だろうなあ・・・ 詳細文書を読んだけど、
AndroidやLinuxのWifiクライアントモジュールの脆弱性と合わせ技で致命的だが
他の機器だとパケットの復号化までは難しいらしい。
Andriod端末の50%は簡単に架空のWifi接続先に誘導出来るそうな。 WDのくじで無線LANルーターが当たった
もうケチとは言えない >>14
やっぱ古いAndroidは使えないって事かな? Wifiクライアントモジュールwpa_supplicantを使用するOS、
つまり最新バージョンも含むandroidスマートフォンは、
Wifiのネゴシエーション時にキーを偽装しオールゼロのキーをインストールする事が可能だそうな。
これによりTCPパケットの復号も偽装も何でも可能で、キーの解読すら必要無いというダダ漏れ状態になってる。 >>16
Andriod6.0以降もこの脆弱性があると書かれてるし、デモで使われてるのもandroid。
デモではアンドロイド端末が1秒で陥落して、https接続なのに外部端末から平文に復号化されたパケットダンプ取られてる。
https://www.krackattacks.com/
パッチが出ないAndroid端末は終わりだな。 wifi機器で使ってるのは組み込みlinux何だが、この組み込みlinux用パッチが当てられないと、親機側もあかんってこと?
クライアントだけの一方通行の手順で問題が発生するだけで、親機側がlinux実装でも問題ないんかな >>22
中継使わなければ大丈夫みたいだな
つまらん >>23
ターゲットにされるのはAndroisスマホだろ。
Wifi接続自動ONにしてる端末は、勝手に偽装されたアクセスポイントに繋いで、
平文同然のゼロキーを使った暗号通信を行う。
ネットとの間にプロキシを挟まれたら通信内容が平文で記録されるし、
偽装したhttpサイトに繋がれパスワードを抜かれる。 2chでandroidヤバイって書いてあるけど、マックが簡単に攻撃できるとは一切書いてなくてワロタ セキュリティホールひとつあるだけで狙われたらおしまい。
脆弱回避は不可能。
性善説の脆弱が露見すること多数。 無線LANはセキュリティ無しで使うことも多いから上位層での暗号化はどうせやるしかないんで、どうでもいい話だな とりあえず安心だな。
AES-CCMPが破られたということではないらしい。
暗号化アルゴリズムではなく、プロトコル内の処理フローの問題だったわけだ。 問題はパッチの提供がされない古いAndroidは世の中に溢れかえってるという事実。 古いスマホは危険なので買い換えましょう^^
脆弱性特需やw >>35
既にExploitが公開されてるから、そのコードを見て
googleは最新バージョンのパッチを作り、
メーカーは自社スマホのパッチを作り、
ハッカーはハッキングツールを作る。
その最中だろう。 これって悪意を持ったapに接続しなければオッケーってこと? そんなもんどうせ誰も当てんよww
いまだにWEPとかつかってるところは多いよ >>38
結局ルータのファームも上げないとダメなような、それでもイタチごっこだろうけどやらないとどうにもならないのでは
まあPC無い人はルータいじるのめんどくさそうだからどれだけの割合で入れるか微妙かもしれないけど https://www.krackattacks.com
ここの概要読むとヤバいな
ランサムウェアも差し込まれるってよ マジかよ
こりゃあLTE高速通信のみで使わないとダメだな
余裕を持って容量も多めにしとかないとな >>39
つか、WPAプロトコル実装のバグのようなもんだから、悪意を持った奴がAPを攻めるってことかと >>45
逆だよ。
AndroidやLinuxのWifiクライアントモジュールのバグとの合わせ技でパケットを自由に書き換える。 プロトコルの仕様レベルの問題なのにパッチで対応できんのか? 外でwifi接続して銀行とかに接続しなければ問題ないだろ。 >>51
一応極力Wifiしないってことかな
自分の家のルーターに接続する時も確認しておくのがよさそう NSA:ちっこれもバレたか。まだあれがあるからまだ、いける! WPAよりWPA2が弱いのかよく分からん
同等の強度と説明してるメーカー 俺、Wi-Fiを解放しているから、接続して来た奴の情報を見てニヤニヤしてる。 セキュリティソフト入れてるPCなら問題ないのか
泥でのWIFI接続を自重すればいいんだな >既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。 >>65
つまり日本のメーカーは主要ではないってこtろですね http://www.itmedia.co.jp/enterprise/articles/1710/17/news050.html
>米Microsoftは10月10日に公開した月例セキュリティ更新プログラムで、
>Windowsに存在していたWPA2の脆弱性に対処していたことを明らかにした。
>
>特に深刻な影響が指摘されているAndroidについては、米メディアThe Vergeの報道によれば、
>Googleが「数週間以内に」パッチを公開すると説明した。
>Google端末のPixelについては、11月6日の月例パッチで対応する予定だという。
>
>一方、AppleInsiderによると、AppleはmacOS、iOS、tvOS、およびwatchOSのβ版で、
>既にWPA2の脆弱性を修正済みだと説明している。
>
>LinuxはUbuntuやOpenBSDなどのディストリビューションがパッチを公開済み。
>ルータはNetgearなどのメーカーがパッチを公開している。
>
>Ciscoは複数の製品が影響を受けることが分かり、確認が済み次第、ソフトウェアアップデートで対処すると表明した。
おい!
日本企業も何か言えや!!! こういう時に早い対応ができればいい宣伝になるぞ
早くしろよNEC Bluetoothの脆弱性(BlueBorne)見つかったばかりなのに、
次は無線LANかよ。 泥機器はGoogle発のPixelやNexus機器を除いて修正パッチ当てる事が出来る様に成るまでが遅いw
修正パッチをGoogleがスマホ機器メーカーへ流し、
それから、スマホ機器メーカーが各機種に有ったパッチに手直しやテスト後にやっと放流。
スマホ乗っ取られて、Google鯖に一斉攻撃する様なウイルス出来るまでは、
この状態が続くだろう。
ユーザーがデータ抜かれようが、スマホがロック掛けられ身代金請求されようとも、
Googleは痛くも痒くもねーしなww 強制UpdateするWindowsは、良心的
か? WPA2でWiFi接続できる俺の中国製アクションカムのパッチはまだか ラズパイもパッチが落ちてきた。
古いアンドロイド、無線プリンタ、ライブカメラ、この辺がどうなるかだが・・。 家の金融取引用のPCは、無線使わずPLC使って通信してるわ。
無線はこういう穴があるから信用していない。
SSIDとか暗号化キーとか、そういうのを設定しなければならないってのは
どうあがいたって穴があるということ。
せめて親機側でMACアドレス制限の設定はしておくべし。
まあ今回のは割り込まれて盗まれるみたいだから親機側で設定しても
無駄みたいだが。
バカにされてたPLCが光り輝いてきたな。
コンセント通信最強 >>67
アイオーとか、バッファローが、
計画の無いVer.UP対応すると思う?
NECやYAMAHAまでが黙ってるのも痛いケド ブルーボーン対応パッチは昨日来たけど
この対策パッチはいつ来るんだろうなw
Zenfone3.ZE552 >>73
バックドア標準装備しているからアップデートする意味ないぜ。 >>77
逆に考えると新型無線ルータの
爆売れ需要なんだけどな 本当にそうだろうか、未解明事件と関係あるかもしれん ルーターが心配なら
せめてMACアドレス制限の設定をしておくことだろ。
登録していない端末とは通信しなくなるからな。
ただしどの段階で通信除外するのかは製品次第かもしれんが。
これからもイタチごっこだから
重要なPCはPLCを買ったほうが一生安全だぞ。
無線なんていつ割り込まれて盗み見やマルウェア埋め込まれるか
防げるもんじゃない >>75
とりあえずルーターで複数の無線ネットワーク使えるなら、片方だけ危険な端末のために
使うって感じで切り分けとけば安全かな? >>84
PLCってPLC間の通信はWPAみたいので暗号化されてるのかね?
平文で通信だとなんかそっから漏れそうじゃん。電力線から漏れる電磁波を傍受とか。 金融取引とかネット通販とか
カネがらみのPCに無線はそもそも危険なんだよ。
マルウェアに感染しやすいスマホなんて論外、アホ丸出しだわ。
どんだけ不正引き出しが増えてるのか、ちゃんと見てるか?
自分だけは大丈夫なんてあり得ないからな。
暗号方式なんて、いつそれを破るソフトがこっそり出回って
無線通信丸裸で割り込みかけられるか分かったもんじゃないからな。
無線で金融取引してるヤツはいずれ痛い目見るわ。
大事なPCは有線かPLCで通信すべき。
特にPLCがもっとも実用的で安心 >>88
もちろん暗号化している。
そしてPLCアダプター同士はMACアドレス制御しているから安心。 >>67
Appleってwindowsやandroidに対していつも先手先手打って安全アピールしてるけどどうなってんの?
何でAppleだけが安全アピールなの?
中身がブラックボックス化してるからとか言ってるけどさあ、
製薬会社の陰謀論なんかと同じでライバル企業にウィルス撒き散らして自分達だけが安全ですよアピールしてんじゃねーのって邪推する人間も多いでしょ? >>91
Appleが修正してないセキュリティホールは無かったことになるからな
Flashよりガバガバなんやで >>91
そのソースが不正確なだけ。
Appleがパッチを当ててるのは各ベータ版だけで、
実際の配布は次期アップデートまで待たされる。
どのベンダーも8月にはこの脆弱性について知ってるから準備はしてるよ。 PLCなら有線LANを引くわ
そしてmacアドレスフィルタリングはザル >>91
AndroidもiPhoneも「アップデートしてれば」安全
アップデートしてない(できない)Androidがいっぱいあることに比べて安全なのは事実
Androidもアップデート降って来てれば安全
逆にアップデートしてないiPhoneは危険 いやAndroid(6.0以降)が現時点では一番危険だから >>94
SSIDステルスとMACアドレス制限は無意味と知りつつ申し訳程度にするものと思ってるw >>97
それをやってないとド素人でも入りやすくなるしね。コストのかからない方法をセキュリティベンダが必要以上に貶めすぎ。 住宅密集地だから凄い数のWi-Fi拾うけど未だにWEPの奴もいるぞ
わざわざめんどくさいことしないでそっちやるんじゃねーの ■ このスレッドは過去ログ倉庫に格納されています
