Wi-FiのWPA2/KRACKs脆弱性への対処
いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
KRACK/Key Reinstallation Attacksの情報が公開されています。
Key Reinstallation Attacks(En)
無線LANの暗号化の仕組みWPA2に脆弱性"KRACK"が見つかりました。
WPA2はWi-Fiの無線区間を暗号化する仕組みとして、広く使われています。
この脆弱性KRACKはMathy Vanhoef
氏が発見し、ベンダーに連絡し、その内容を上記ホームページで公開しました。詳細は先のリンクにあります。
企業ネットワークセキュリティ対策の視点では、不正接続可能な範囲が無線LANにも広がるという理解で対処することになります。
1.Wi-Fiの暗号化設定はWPA2で維持する
直ちに情報が漏洩しているわけではありません。
KRACKsの実装ができる場合のみ不正な接続が可能になり、情報漏洩の危険性が高まります。
Wi-Fiアクセスポイントのメーカーが自社製品で影響があるかどうか情報が公開されるはずです。
必要に応じてWi-Fiアクセスポイントのファームウエアの更新を行います。
尚、WEPは既に暗号強度が低く脆弱性が明らかなので、KRACKs対策でWEPの利用は不可です。
2.不正接続からLAN上の機器を守るためにログイン管理を再点検する
ネットワークにつながっているサーバー、業務ソフトなどのログインパスワードの有無を確認し、不正接続者がいても、容易に内部資源にアクセスできないようにします。もっとも、これは企業ネットワークセキュリティでは当然のことです。
3.本当に隠したい情報はSSLなど、他の暗号化を併用する
本当に隠したい情報は、無線区間の有無に影響のないSSLやIPsecなどで暗号化します。この通信はKRACKsの影響を受けません。このことも、企業ネットワークセキュリティでは当然のことです。
4.登録以外のMACアドレスの通信はできないようにする
堅牢性の高いネットワークでは実施されている、MACアドレスを事前登録し、そのMACアドレス以外は通信できなくします。この方法はKRACKsに限らず不正接続を排除することが可能です。
無線LANでのMACフィルターについては、以下の通り有効性もあります。「完全性」を求めるのであればMACアドレスフィルタが完全性を備えないことは事実です。無線LANに限らず、通信のセキュリティの維持は、多重に施した防御策で対応するしかないので、その一部として捉えた有効性です。
◎APに登録されたMACアドレスのみ接続できる
無線LANの物理識別子はMACアドレスです。企業ネットワークの場合は、登録済みのMACアドレスのみ利用できる無線LAN網のほうが第三者の侵入を防ぎやすくなります。特にPSKではSSIDとパスワードが漏れた場合、接続を拒否する方法はMACアドレスフィルタのみになります。
通常の利用者はSSIDとパスワードに頼るので、そこに着目すれば、未知の接続を軽減する処置として有効性があります。
△Wi-Fi APに接続可能なMACアドレスは調べがつく
もちろんMACアドレスは無線APと端末間の通信、及び同一IPセグメント内の通信で使われるので、MACアドレスは「見えるもの」です。
そのためMACアドレスを詐称してWi-Fi接続する攻撃に備えて、上位層の接続認証で未知の接続者を排除する必要があります。
MACアドレスを詐称する技術を悪意で利用する者は、繋がった後「どこで、情報を取得するか」を考えますよね。最近の無線LAN実装では、無線区間で隣の通信が丸見えになることはないようにするので、APの内側でデータを取得する方法が必要になり、さらに頑張る必要があります。悪意の利用者がどこで諦めるかです。
ネットワーク、サーバー運用者側でできることは、PSKでのWi-Fi接続の場合は、パスワードを定期的に変更する、保護すべきネットワーク及びサーバーで適切な接続認証を実施し、認証を多段にするなどです。
結局は「どこまで頑張るか」ですね。利便性を損なわない形で、セキュリティを高めるには、用途別にネットワークを分離する、多段防御と接続状況の監視を行う、という当たり前の話に落ち着きます。