ITりてらしぃのすゝめ：WPA2の脆弱性は“大げさ”だった？　「初報だけ盛り上がる問題」を考える (1/3)

先日話題となった、WPA2の脆弱性に関する問題。初報は「やや大きく取りあげられすぎている」という印象だったが……。

　先日、久しぶりの海外出張に行ってきました。5日間のラスベガス滞在だったのですが、その間にITmedia NEWS編集部から「急いで書いて！」といわれた事件がありました。それが、話題になった無線LANの暗号化手法「WPA2」（Wi-Fi Protected Access II）の脆弱性、通称「KRACKs」です。

「Black Hat Europa 2017」の講演予告ページに掲載された概要

　ところが……現地では取材に大忙し。しかも航空会社のトラブルで乗り継ぎに失敗し、1日延泊した結果――既にKRACKsに関する話題はタイミングを完全に逸し、ほとんど話題にならない状態です。

　それでも、脆弱性に起因する事件は「話題にならなくなってから」が重要です。今回はタイミングを外したからというわけではないものの、話題になった脆弱性の「その後の継続ウォッチが重要だ」ということを知ってほしいと思います。

話題になった脆弱性をどう受けとめるか

　2014年4月、オープンソースの暗号ライブラリ「OpenSSL」に脆弱性が発見され、多くのサーバに影響があることが判明しました。この脆弱性は「Heartbleed」（ハートブリード）と名付けられ、大変な話題に、そして問題になりました。

　このころから、影響の大きな脆弱性には「名前」が付けられ、プロモーション的な動きが出てくるようになりました。名前が付くことで“キャッチー”になり、IT専門メディア以外でも取り上げられるようになります。

　その後、脆弱性に名前が付くというトレンドがありました。例えば、サーバのシェルと呼ばれるプログラムに存在した脆弱性「ShellShock」をはじめ、「POODLE」「GHOST」「Dirty COW」「BlueBorne」など。

　もしかしたら、その名前を覚えているという方もいるかもしれません。そして、今回のWPA2に関する脆弱性は、その後「KRACKs」（Key Reinstallation Attacks：鍵再インストール攻撃）という名前が付きました。

　このように、名前が付いた脆弱性は多数あります。中には、発見したセキュリティベンダーの「売名行為」のために名前が付いたのではないかと思うものすらあります。名前が付いた脆弱性の全てというわけではありませんが、報道でセンセーショナルに取り上げられることも多いです。

　それにより、脆弱性の知名度が上がることはいいことかもしれません。が、あくまで冷静に対応することが求められると私は考えています。

初報が出たら――まずは冷静に情報収集を

　さて、このように「センセーショナルな報道」が行われる、名前の付いた脆弱性。少し気を付けないといけないのは、得てして初報が「センセーショナルすぎる報道」になりがちということです。

　今回のKRACKsに関しても、初報では名前が出ていなかったものの、研究者マシー・ヴァンホフ氏による「WPA2に深刻な脆弱性が存在する。詳細はハッカーイベント、Blackhatで発表する」という内容が発端でした。

　このツイートが発端となり、SNSやニュースがこの問題をピックアップします。誰もが使っている無線LANに関する問題であったことからか、本当に大きな話題になりました。ここまで大きな反応になったことに、当の発表者本人も驚いたというコメントを残しています。

　発表した本人がこのような受け取り方をしているということは、やはり初報は「やや大きく取りあげられすぎている」ということだったのではないかと思います。

　ただ、これは初報を非難しているわけではありません。最初の時点では、あまりにも情報が少なすぎるのです。この時点では、「攻撃対象は企業か個人か」「攻撃が実際に行われていたのか」を把握することに注力しましょう。

- PR -