お疲れ様です。いちです。
今回は号外として、WPA2に見つかった脆弱性Krack関連のニュースについてです。
- WPA2にプロトコルレベルで脆弱性が発見された
- 脆弱性を発見した人とソースとなるページについて
- Vanhoef氏はツイートでなんて言ってる?
- 論文のソースは?
- 公式の発表はいつなの?
- Twiterでの反応
- この記事の更新情報
それでは早速、参りましょう!
WPA2にプロトコルレベルで脆弱性が発見された
2013年に起きたSSL脆弱性の様な大規模な脆弱性が発見されました。
脆弱性のコードネームは”Krack”という名前が付けられています。
(Key Reinstallation AttaCKからもじって”Krack”)
脆弱性を発見した人とソースとなるページについて
事の始まりは、blackhatというセキュリティ・カンファレンスのこのページです。
以下、長くなりますが原文を翻訳して引用しておきます。
私たちはWPA2のキーマネジメント機能に脆弱性がある事を発見した。攻撃者は"Key Reinstallation攻撃”という手法によって悪用する事が出来る。また、プロトコルレベルの脆弱性の為、正常にWPA2を設定している端末も影響があるだろう。言い換えれば、個人や企業関係なく、ほぼ全てのWifiネットワークがこの脆弱性の影響を受けるという事だ。私たちが実験で使ったWifiクライアントとアクセスポイントは、全てエクスプロイトする事が出来た。具体的にどのような攻撃手法が可能かは、ターゲットとなる端末でどのように設定しているかによって異なる。ーーBlackhatEuropeのページへ
Vanhoef氏はツイートでなんて言ってる?
そしてこちらは論文を書いたVanhoef氏本人のツイート。
既に世界中で反響が起きているようですが、まだ詳細については発表できないようですね。
つまり、まだ大手メディアでは取り上げられておらず、どのような脆弱性なのか詳細が分かりません。
論文のソースは?
本人のサイトから取得しましたが、脆弱性の発表の元になった論文がこちらの2つです。
まだ公式にPublishはされていないようですね。
- M. Vanhoef and F. Piessens. Denial-of-Service Attacks Against the 4-way Wi-Fi Handshake. To appear in 9th International Conference on Network and Communications Security (NCS 2017), Dubai, United Arab Emirates, 25-26 November 2017.
- M. Vanhoef and F. Piessens. Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2. To appear in Proceedings of the 24th ACM Conference on Computer and Communication Security (CCS 2017), Dallas, USA, 30 October - 3 November 2017.
公式の発表はいつなの?
現在は詳細をまとめていて、発表は明日以降になるそうです。
今日発表されていないのは恐らく時差の関係だと思います。
詳細はこちらのページで発表されるようです。
Reference
詳細が分かり次第、本記事に追記していきます。
Twiterでの反応
確かに暗号が破られたというわけではないですね。ちょっとした設定変更をするパッチあてをすれば修正出来るのでしょうか?
この記事の更新情報
- 2017/10/16 12時20分 初稿
- 2017/10/16 12時34分 見出し「Twitterでの反応」を追加。