セキュリティー問題で揺れているインターネットエクスプローラの根本的な問題について
Wi-Fi利用者のほぼすべてに影響
●これまで最も安全だと言われていた無線LANの暗号化プロトコルであるWPA2。今月、この仕組みに欠陥が見つかってしまいました。いつかその日がやってくるとは思ってはいましたが、遠い未来の話だと思っていただけに早すぎるXデーにそのショックは計り知れません。
●これまでも、古い暗号化規格であるWEPについては早い段階で解読されてしまい、無線接続の信頼性に疑問を抱かせる要因になっていました。
●かつて無線が危険だと盛んに言われていたのは、この影響によるものが大きかったようです。
●その後、信頼性の高い無線暗号化プログラムとして提唱されたのがWPA2です。現在、ほとんどの無線LAN(Wi-Fi)の暗号化にはこのWPA2が使われており、これまでその解読はほぼ不可能であると言われていました。
●そのおかげで、今のような世界的なWi-Fiの爆発的普及が可能になったと言っても過言ではないでしょう。
●パソコンは言うに及ばず、スマホ・タブレット以外にもプリンタなどの周辺機器、IoT機器、無線ルータなど、ほとんどのWi-Fi通信はこのWPA2を使って行われています。
●ですから、Wi-Fi利用者のほぼすべてが影響を受ける問題と言っても良いでしょう。この問題ではOSを問わず影響を受けますから、Mac、appleだから、Linuxだから安心というわけではありません。
何がどう危険なのかその内容
●今回の脆弱性は、WPA2の仕様そのものにあると言われています。
●WPA2通信接続を確立する際の仕組みに欠陥があって、その欠陥を突いて割り込むことで内容の傍受や乗っ取りが可能になってしまうとのこと。この攻撃を「KRACKs」と呼ぶそうです。これはWPA2の暗号化キーを変えても防ぐことができないものですから、キーやパスワードを変更したり、SSIDを変更しても全く意味がありません。
●内容を聞くとかなり危険な感じがしますが、この攻撃が可能な状況としてはWi-Fi電波が届く範囲に限られるため、その範囲に悪意を持つ人物が存在した場合に危険になると言えます。
●通常のネット回線のように遠い遠方や海外から突然不正アクセスするというようなものではなく、あくまでもWi-Fi電波が届いている範囲内に攻撃者がいる場合に限って危険になりますので、今日明日にいきなり致命的な危険が襲ってくるという事ではないようです。
どのように対策したらいいのか
●今すぐに危険ではなくても、脆弱性の公開から時間が経てばそれなりの悪用できるツールなども出回ることになりますから、早急に危険回避措置をしたほうが良いでしょう。
●特に都市部などの人口密集地では危険性が高くなります。
●現在わかっている対応策としては、httpsなどセキュアな通信であれば内容を傍受されないという事ですから、ほとんどの通販サイト、金融関連、WebサービスではWi-Fiの利用を止める必要はないという事です。現在ではSSH1の脆弱性の問題で、ほとんどのWebサービスでSSH2への移行作業が今年の夏までには完了していて、無防備のままのサイトは限られていると思われます。
●しかし、セキュアではないサイトの表示や、相変わらず脆弱性が改善されていないWebページ、また、プログラム中のセキュアとなっていないソフトウェア内部の通信などでは危険性があります。空港や公共の場所などのWi-Fiフリースポットで、暗号化自体がされていないアクセスポイントを利用する際も注意が必要です。
●一番重要なのは、利用しているWi-Fi端末や機器メーカーが公表する対策プログラムの導入です。導入を行うことで欠陥が修正され回避されます。ご使用の機器のメーカーサイトで、順次ダウンロードできるようになると思いますのでチェックしてください。
今後懸念される問題とは?
●今回の問題で、懸念されるのが下記のようなパターンです。
○メーカーなどからの機器の修正プログラム配布がおそい。
○古い機器で修正プログラムが配布されない。
○そもそもユーザーが今回の問題を全く知らない
○ユーザーが今回の問題を知っていても危険性をディスカウントする
○ユーザーが修正プログラムを適用するスキルを持たない
●これまでの経験からサポートエンジニアとしては、以上のような問題が懸念材料としてあげられます。これまでリスク管理に長年携わった経験があるからこそ言えることです。IT企業内で平然と起きる情報漏えい事件や大企業で起きている不正の問題を見てもわかる通り、知識や資格があっても、物事の重要性のプライオリティーを判断するのは難しいのです。リスク管理は経験や事例によるファクタが非常に大きいのです。
●ITについての報道はほとんどがスルーされやすく関心が薄いため、問題自体を知らなかったという人も出てくると思われます。また、知っていても自分には危険はないと、誤った判断や報道で言われることは大げさなんじゃないか?などとその重要性を矮小化してしまうことも考えられます。
●しかし、知っていても自分ではどうしたらいいかわからない、誰に、どこに相談していいかわからない・・・という方もいるでしょう。そのような場合は、専門的知識を持ったエンジニアに相談することをお勧めいたします。
●そのうちにネットの情報などで、「このソフトでWPA2の問題を簡単に解決!」などといったものも出現してくると思いますが、くれぐれもそういった罠サイトの被害に遭わないようにしてください。
※コラム内容は2017年10月18日現在の報道などで判明している情報によります。 今後、明らかにされる情報によっては内容が適しない場合 がありますので、常に最新の情報をお確かめ下さい。
NetProve ネットプローブ「情報管理サービス」
九州インターワークス
http://www.kumin.ne.jp/kiw/security.html