ベルギーのルーヴェン・カトリック大学でサイバー・セキュリティの研究に携わるマシー・ヴァンホフ(Mathy Vanhoef)氏の調査により、Wi-Fiの暗号化プロトコル「WPA2」の脆弱性が明らかになりました。WPA2はWi-Fiへのアクセスに使われている2004年以降、最も一般的で安全なプロトコルであり、Wi-Fi接続のセキュリティを確保する手段として広く信頼されていることから、今回の発見は衝撃を持って受け止められています。

「KRACK(Key Reinstallation AttaCKs)」(鍵の再インストール攻撃)では、Wi-Fiネットワークの実際のパスワードをクラックまたは窃取することなく、ユーザーのデータを復号化できます。手口としては、Wi-Fiアクセス・ポイントのセキュリティを破って通信を復号化し、暗号化されていない(つまりセキュリティが確保されていない)ホットスポットを作り出します。このため、Wi-Fiネットワークのパスワードを変更するだけでは、このような攻撃の発生を阻止または抑制することができません。ただし、KRACKには制約があり、ターゲットのWi-Fiネットワークから物理的に近い距離まで移動しなければ、攻撃を仕掛けることができません。

なお、WPAプロトコルで暗号化されるのは、ユーザのデバイスからそのデバイスが登録されているWi-Fiアクセス・ポイントまでの物理媒体だけです。また、セキュリティが確保されているアプリやWebサイトはすべて、今ではHTTPSなどのエンドツーエンドの暗号化プロトコルを使用するようになっています。HTTPSは暗号化されていないWi-Fi接続など、セキュリティが確保されていないチャネル向けに設計されています。このため攻撃側では、SSL中間者攻撃(SSL MITM)も実施しなければ、この安全なトラフィックを傍受することができません。

幸いなことに、SSL MITM攻撃はiOSとAndroidのどちらのデバイスにおいても、チェック・ポイントのSandBlast Mobileにより既に検出、阻止されています。この攻撃を検出した場合はすぐにユーザに通知され、組織内のすべての資産が保護される仕組みです。SandBlast Mobileなら、ネットワーク上のモバイル・デバイスに最新のOSとセキュリティ・パッチがインストールされているか確認することもできます。

また、チェック・ポイントのCapsule Cloudが提供するサービスでは、リモートのパソコンやノートPCが世界のどこで使われていてもSSL MITM攻撃から保護することが可能であり、ユーザはいかなるWi-Fi環境でも安全にインターネットにアクセスすることができます。組織の要件によっては、チェック・ポイントのVPN経由でも同じレベルのセキュリティを確保できます。

WPA2で確認された脆弱性への対策としては、ヴァンホフ氏が発見したKRACK攻撃で明らかになったように、SandBlast Mobileなどのモバイル向けのセキュリティ・ソリューションをすべてのモバイル・ユーザがインストールし、プロバイダが提供するソフトウェアのアップデートについても漏れなく適用することが重要となります。

チェック・ポイントのワイヤレス製品はこのKRACK攻撃の影響を受けません。

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk120938