【訂正あり】無線LANの「WPA2」で盗聴や改ざん可能となる「KRACK」 - 多数機器に影響
無線LANで用いられるセキュリティプロトコル「WPA2(Wi-Fi Protected Access II)」の実装において、多くの機器に脆弱性が含まれていることがわかった。特にクライアント側への影響が大きく、パッチ公開後は速やかに脆弱性へ対応することが求められる。
今回明らかとなった脆弱性は、無線LANで利用されるセキュリティプロトコル「WPA2」の実装における脆弱性。
ベルギーKU Leuven大学の研究者であるMathy Vanhoef氏が、関連する10件の脆弱性を報告した。悪用は確認されていない。
Wi-Fiネットワークへ接続する初期段階で、アクセスポイントとクライアント間で暗号化に用いるキーなどをやりとりする「4ウェイハンドシェイク」において、当初指定された暗号キーを、攻撃者によって再インストールされるおそれがあるという。
脆弱なキーに置き換えられると、暗号化されたデータが復号されたり、不正なデータを混入させるなど、通信の盗聴や改ざんが行われるおそれがある。脆弱性を発見したVanhoef氏は、攻撃手法である「Key Reinstallation Attack」の一部文字列から脆弱性の攻撃手法について「KRACK」と命名した。ロゴも公開されている。
(Security NEXT - 2017/10/16 )
ツイート
関連リンク
PR
関連記事
iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み
WP向け操作ログ記録プラグインにSQLi脆弱性 - パッチ未提供
「Node.js」向けMySQLクライアントにRCE脆弱性
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を
Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み
サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「MS Edge 124」がリリース、脆弱性17件を修正
「PAN-OS」脆弱性への攻撃、国内でも被害報告
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定