【IT】WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解
■ このスレッドは過去ログ倉庫に格納されています
「WPA2」の脆弱性は、ソフトウェアアップデートで解決できる――Wi-Fiの規格標準化団体が見解を発表。
Wi-Fiの暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性が見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日(米国時間)、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。
http://image.itmedia.co.jp/news/articles/1710/16/ky_wpa2noalliance-01.jpg
脆弱性は、ベルギーのマシー・ヴァンホフ氏(ルーヴェン・カトリック大学)が複数発見したもの(コードネーム:KRACKs)。WPA2プロトコルの暗号鍵管理にいくつかの脆弱性があり、「Key Reinstallation Attacks」と呼ばれる手法で悪用が可能という。
Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に取り組み、加盟するメンバー企業が使用できる脆弱性検出ツールを提供、メーカー側にも必要なパッチを迅速に提供できるよう呼び掛けているという。ユーザーには使用しているデバイスで最新のアップデートを順次適用するように促している。
現時点で、今回の脆弱性が悪用されている証拠はないとしている。
脆弱性を発見したヴァンホフ氏は、このほど開設したWebサイトで脆弱性の詳細やデモ動画などを公開した。その中にあるQ&Aコーナーでは、脆弱性への対応などについて以下のように回答している。
ヴァンホフ氏が開設したWebサイト
http://image.itmedia.co.jp/news/articles/1710/16/ky_wpa2noalliance-02.jpg
・利用しているデバイスのアップデートを適用すること・?Wi-Fiのパスワードを変更する必要はない
・ルーターのセキュリティアップデートが必要ない場合もある(メーカーに問い合わせるべき)
・デバイスにパッチを適用するまで「一時的にWEPを使う」判断は間違っており、WPA2を使い続けるべき
・脆弱性を初めて外部に公開したのは2017年7月14日頃。実験に使用したWi-Fi製品のメーカーに連絡した
・私(ヴァンホフ氏)はバグの奨励金を申請しておらず、まだ受け取っていない
配信2017年10月16日 19時37分
ITmedia
http://www.itmedia.co.jp/news/articles/1710/16/news114.html
関連スレ
【IT】Wi-Fiを暗号化するWPA2に脆弱性発見〜対応のあらゆる機器が影響★2
http://asahi.2ch.net/test/read.cgi/newsplus/1508157720/ ラズパイもパッチが落ちてきた。
古いアンドロイド、無線プリンタ、ライブカメラ、この辺がどうなるかだが・・。 家の金融取引用のPCは、無線使わずPLC使って通信してるわ。
無線はこういう穴があるから信用していない。
SSIDとか暗号化キーとか、そういうのを設定しなければならないってのは
どうあがいたって穴があるということ。
せめて親機側でMACアドレス制限の設定はしておくべし。
まあ今回のは割り込まれて盗まれるみたいだから親機側で設定しても
無駄みたいだが。
バカにされてたPLCが光り輝いてきたな。
コンセント通信最強 >>67
アイオーとか、バッファローが、
計画の無いVer.UP対応すると思う?
NECやYAMAHAまでが黙ってるのも痛いケド ブルーボーン対応パッチは昨日来たけど
この対策パッチはいつ来るんだろうなw
Zenfone3.ZE552 >>73
バックドア標準装備しているからアップデートする意味ないぜ。 >>77
逆に考えると新型無線ルータの
爆売れ需要なんだけどな 本当にそうだろうか、未解明事件と関係あるかもしれん ルーターが心配なら
せめてMACアドレス制限の設定をしておくことだろ。
登録していない端末とは通信しなくなるからな。
ただしどの段階で通信除外するのかは製品次第かもしれんが。
これからもイタチごっこだから
重要なPCはPLCを買ったほうが一生安全だぞ。
無線なんていつ割り込まれて盗み見やマルウェア埋め込まれるか
防げるもんじゃない >>75
とりあえずルーターで複数の無線ネットワーク使えるなら、片方だけ危険な端末のために
使うって感じで切り分けとけば安全かな? >>84
PLCってPLC間の通信はWPAみたいので暗号化されてるのかね?
平文で通信だとなんかそっから漏れそうじゃん。電力線から漏れる電磁波を傍受とか。 金融取引とかネット通販とか
カネがらみのPCに無線はそもそも危険なんだよ。
マルウェアに感染しやすいスマホなんて論外、アホ丸出しだわ。
どんだけ不正引き出しが増えてるのか、ちゃんと見てるか?
自分だけは大丈夫なんてあり得ないからな。
暗号方式なんて、いつそれを破るソフトがこっそり出回って
無線通信丸裸で割り込みかけられるか分かったもんじゃないからな。
無線で金融取引してるヤツはいずれ痛い目見るわ。
大事なPCは有線かPLCで通信すべき。
特にPLCがもっとも実用的で安心 >>88
もちろん暗号化している。
そしてPLCアダプター同士はMACアドレス制御しているから安心。 >>67
Appleってwindowsやandroidに対していつも先手先手打って安全アピールしてるけどどうなってんの?
何でAppleだけが安全アピールなの?
中身がブラックボックス化してるからとか言ってるけどさあ、
製薬会社の陰謀論なんかと同じでライバル企業にウィルス撒き散らして自分達だけが安全ですよアピールしてんじゃねーのって邪推する人間も多いでしょ? >>91
Appleが修正してないセキュリティホールは無かったことになるからな
Flashよりガバガバなんやで >>91
そのソースが不正確なだけ。
Appleがパッチを当ててるのは各ベータ版だけで、
実際の配布は次期アップデートまで待たされる。
どのベンダーも8月にはこの脆弱性について知ってるから準備はしてるよ。 PLCなら有線LANを引くわ
そしてmacアドレスフィルタリングはザル >>91
AndroidもiPhoneも「アップデートしてれば」安全
アップデートしてない(できない)Androidがいっぱいあることに比べて安全なのは事実
Androidもアップデート降って来てれば安全
逆にアップデートしてないiPhoneは危険 いやAndroid(6.0以降)が現時点では一番危険だから >>94
SSIDステルスとMACアドレス制限は無意味と知りつつ申し訳程度にするものと思ってるw >>97
それをやってないとド素人でも入りやすくなるしね。コストのかからない方法をセキュリティベンダが必要以上に貶めすぎ。 住宅密集地だから凄い数のWi-Fi拾うけど未だにWEPの奴もいるぞ
わざわざめんどくさいことしないでそっちやるんじゃねーの WEP使ってる馬鹿が全財産失って首釣りますように(ナムナム シャオミのつこてる
アップデートよくやるメーカーのだから対応するだろう
念のため今は海外から持ち込み品はおkなってるからな(国内販売や出力強化改造は相変わらずアウトだが)
昔だと電波法違反でパクられてたんで良い時代になった https://www.youtube.com/watch?v=rXWqWjfJZUg
オルガンライフ
Wi-Fiの暗号化が解ければ全て見られるだろw ブラウザとサーバ間が既にSSLで
暗号化されているから安心と言っているが、こいつ情弱過ぎるだろ >>103
httpsで暗号化されてれば、その通信に限っては大丈夫
WiFiは暗号化されたデータをさらに暗号化することになるので、
WiFiの暗号化が無効化されたとしてもhttpsの暗号で保護される
あとMACアドレスも偽装でぎるからMAC制限も意味なし SSL通信そのものが突破されたわけじゃないからSSL通信内は
それはそれで正解だろ。
ただ問題はそこじゃあない >>103
SSLで暗号化されてるから安全!って思ってたら、パケット書き換えられてhttpで繋がってました。
平文でパスワード抜かれてますっていうデモをやってたよ。 ズボンの下にはくパッチの語源って韓服から来てるらしいな
やっぱ起源に関しては韓国に勝てないなぁ 心配なら最初からhttps://と入力するんだな
デモのはhttpで繋ぐとhttpsにリダイレクトするタイプのやつだから パッチのリリースは実装してるメーカごと製品ごとに違う
リリースされないこともありえる 接続の瞬間が問題のようだな
田舎の自宅住まいではあんまり関係さなそうな話だ Wifi出力絞れよ。
どうせお前らは100%にしてんだろ。
家庭用なら家内で飛べば充分だろ。
ワザワザ数軒先まで飛ばす事はないだろ。 これって、WPA「2」じゃなくて無印の「WPA」だと大丈夫なの? @自宅のWiFiに繋いでいる端末でも攻撃される。
A@のアクセスポイント名隠して繋げればまず大丈夫。
BWiFiに繋いでなくてもWiFiオンにしておくだけで攻撃される。
Yes-Noで教えてくれ。 >122
問が可笑しい。
出題者に反省を求める。
いいから無知そんなこと気にしないでこれやってろ。
WPA2の脆弱性「KRACKs」、Wi-Fi電波出力を最小限にすることも推奨、全機器への対策は時間を要する可能性 -INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1087289.html
どうせ100%なんだろ?
いいから最弱にしとけ。 >>118
googleは作ったものをタダで使わせてやってるだけなんだから、訴えても無駄だよ。 >122
> @自宅のWiFiに繋いでいる端末でも攻撃される。
攻撃者が範囲内に居れば
> A@のアクセスポイント名隠して繋げればまず大丈夫。
ステルスSSIDはセキュリティには効果ない。場合によっては逆効果も
> BWiFiに繋いでなくてもWiFiオンにしておくだけで攻撃される。
お前のデバイスがSSIDばらまいていて攻撃者が同じ名前のAP立ち上げられたらヤバいかも ■ このスレッドは過去ログ倉庫に格納されています