セキュリティー専門家のMathy Vanhoefが昨日(米国時間10/16)公表したWPA2における深刻な脆弱性は世界中のWiFi利用デバイスに影響を与えるものだった。このKRACK(キー再インストール攻撃)対策についてTechCrunchでも詳しく紹介したが、根本的に脆弱性を除去するにはWiFiデバイスのソフトウェアをアップデートするのが最良の方法だ。この点、企業の対応スピードにはばらつきが見られた。
まずWiFiアクセスポイント側の対策だが、キャリヤが設置したルーターを使っている場合、これに対してユーザー側できることは多くない。キャリヤに対して「一刻も早くパッチをリリースせよ」と要求するしかないだろう。この場合、ユーザー・マニュアルでルーターのソフトウェアのアップデート方法を事前に確認しておくのがよい。
またサードパーティーの対策済みWiFiルーターをキャリヤのルーターにEthernetケーブルで接続し、キャリヤ側のWiFiを無効にしておく方法もある。Owen WilliamsはKRACK対策の状況を幅広くモニターしている。これによると、Ubiquiti、Microtik、Meraki、Aruba、FortiNetはルーターのファームウェアを即座にアップデートした。
しかしアクセスポイント側のアップデートだけでは不十分だ。ユーザーはWiFi接続を行うデバイス側のファームウェアもアップデートする必要がある。そうでないとデバイスを未対策のWiFiネットワークに接続したときに被害を受けてしまう。大規模な公共WiFiでは悪意あるハッカーが個人情報を盗もうと網を張っている可能性が十分ある。
そこでデバイス側の状況だが、Microsoftの対応が非常に素早かった。The Vergeが最初に報じたところによれば、MicrosoftはサポートするWindows製品すべてにおいて10月の定例セキュリティー・アップデート〔CVE-2017-13080〕ですでに対策ずみだという。
iMoreの 記事によれば、Appleもパッチを準備している。残念ながら同社はパッチのリリースを他のアップデートと同時に行うつもりだという。つまりKRACK対策版がすぐに必要ならmacOS、iOS、tvOS、watchOSの各OSについてベータ版をダウンロードする必要がある。安定版に関しては、AppleはmacOS 10.11.1、iOS 11.1を数週間以内にリリースする予定だ。これには各種セキュリティー・アップデートの他、バグ修正、絵文字の追加などが含まれる。
ではAndroidデバイスはどうか? これは難しい問題となる。Android 6.0以降を搭載したモバイル・デバイスは他のデバイスより被害を受ける危険性が高い。これは攻撃者がWPA2暗号を解読するキーを再インストールすることがきわめて容易だからだ。こうなった原因はWiFi接続時のハンドシェイクの実装にミスがあったためだという。.
Googleでは11月6日にリリースするパッチでこの問題に対応するとしている。Google自身のデバイスはリリース後直ちにアップデートをインストールされるが、OEMデバイスにアップデートが行き渡るにはかなりの時間がかかるはずだ。数週間から数か月かかるだろう。Androidがデバイスごとに少しずつ異なるというフラグメンテーション問題はこうした場合非常に厄介だ。
しかしこれだけは確かだ。KRACK脆弱性はユーザーがセキュリティー・アップデートを即座にインストールすべきだということを改めて示した。デバイスの自動アップデートを有効にし、セキュリティー・パッチのインストールが通知されたらすぐにYesをクリックする必要がある。
画像:: Bryce Durbin/TechCrunch
[原文へ]
(翻訳:滑川海彦@Facebook Google+)