WiFi脆弱性修正パッチ、Microsoftはリリースずみ――Apple、Googleも近くKRACK問題を修正へ

セキュリティー専門家のMathy Vanhoefが昨日(米国時間10/16)公表したWPA2における深刻な脆弱性は世界中のWiFi利用デバイスに影響を与えるものだった。このKRACK(キー再インストール攻撃)対策についてTechCrunchでも詳しく紹介したが、根本的に脆弱性を除去するにはWiFiデバイスのソフトウェアをアップデートするのが最良の方法だ。この点、企業の対応スピードにはばらつきが見られた。

まずWiFiアクセスポイント側の対策だが、キャリヤが設置したルーターを使っている場合、これに対してユーザー側できることは多くない。キャリヤに対して「一刻も早くパッチをリリースせよ」と要求するしかないだろう。この場合、ユーザー・マニュアルでルーターのソフトウェアのアップデート方法を事前に確認しておくのがよい。

またサードパーティーの対策済みWiFiルーターをキャリヤのルーターにEthernetケーブルで接続し、キャリヤ側のWiFiを無効にしておく方法もある。Owen WilliamsはKRACK対策の状況を幅広くモニターしている。これによると、Ubiquiti、Microtik、Meraki、Aruba、FortiNetはルーターのファームウェアを即座にアップデートした。

しかしアクセスポイント側のアップデートだけでは不十分だ。ユーザーはWiFi接続を行うデバイス側のファームウェアもアップデートする必要がある。そうでないとデバイスを未対策のWiFiネットワークに接続したときに被害を受けてしまう。大規模な公共WiFiでは悪意あるハッカーが個人情報を盗もうと網を張っている可能性が十分ある。

そこでデバイス側の状況だが、Microsoftの対応が非常に素早かった。The Vergeが最初に報じたところによれば、MicrosoftはサポートするWindows製品すべてにおいて10月の定例セキュリティー・アップデート〔CVE-2017-13080〕ですでに対策ずみだという。

iMoreの 記事によれば、Appleもパッチを準備している。残念ながら同社はパッチのリリースを他のアップデートと同時に行うつもりだという。つまりKRACK対策版がすぐに必要ならmacOS、iOS、tvOS、watchOSの各OSについてベータ版をダウンロードする必要がある。安定版に関しては、AppleはmacOS 10.11.1、iOS 11.1を数週間以内にリリースする予定だ。これには各種セキュリティー・アップデートの他、バグ修正、絵文字の追加などが含まれる。

ではAndroidデバイスはどうか? これは難しい問題となる。Android 6.0以降を搭載したモバイル・デバイスは他のデバイスより被害を受ける危険性が高い。これは攻撃者がWPA2暗号を解読するキーを再インストールすることがきわめて容易だからだ。こうなった原因はWiFi接続時のハンドシェイクの実装にミスがあったためだという。.

Googleでは11月6日にリリースするパッチでこの問題に対応するとしている。Google自身のデバイスはリリース後直ちにアップデートをインストールされるが、OEMデバイスにアップデートが行き渡るにはかなりの時間がかかるはずだ。数週間から数か月かかるだろう。Androidがデバイスごとに少しずつ異なるというフラグメンテーション問題はこうした場合非常に厄介だ。

しかしこれだけは確かだ。KRACK脆弱性はユーザーがセキュリティー・アップデートを即座にインストールすべきだということを改めて示した。デバイスの自動アップデートを有効にし、セキュリティー・パッチのインストールが通知されたらすぐにYesをクリックする必要がある。

画像:: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:滑川海彦@Facebook Google+