パスワードを忘れた? アカウント作成
13434014 story
スラッシュバック

WPA2の脆弱性「KRACK」の対策が進む 85

ストーリー by hylom
致命的な感じには至らなそうでなにより 部門より
headless曰く、

先日話題になったWPA2の脆弱性KRACK」だが、Microsoftはサポート対象のすべてのWindowsについて、既に10月の月例更新で修正済みだったそうだ。LinuxやAppleのOSなどでも対応が進められている(The VergeSoftpediaMac RumorsNeowinBetaNews)。

KRACK(Key Reinstallation AttaCK)攻撃は偽のアクセスポイントを使用してクライアントにWPA/WPA 2の暗号鍵を再インストールさせることで、通信内容の復号が可能になるというもの。アクセスポイントではなくクライアントを対象にした攻撃であり、クライアント側のパッチで回避可能になる。

Windowsが影響を受けるのはCVE-2017-13080で、Windows 7~Windows 10、Windows Server 2008~2016のうち、10月10日時点でサポートされているバージョンにパッチが提供されている。なお、Windows 10は最初にリリースされたバージョン(RTM)からバージョン1703(Creators Update)まで、すべてのバージョンにパッチが提供されたようだ(セキュリティ更新プログラムガイド)。

Windows以外のOSではOpenBSDDebianUbuntuFedoraRed HatLinux Mintelementary OSArch LinuxSolusなどがパッチの提供を発表しており、LinageOSもパッチをマージしている。Appleはベータ版のiOS/tvOS/watchOS/macOSで修正済みだといい、Googleは数週間のうちにAndroidのパッチをリリースすると述べているそうだ。

デバイス関連ではIntelCiscoNETGEARArubaUbiquitiが修正版ファームウェア提供などの対策を発表している。

  • by Anonymous Coward on 2017年10月18日 17時28分 (#3297706)

    2017年8月28日に約100組織の主要ベンダーに脆弱性情報の通知 [hatena.ne.jp]が行われたので、詳細情報が一般公開される2017年10月16日まで49日間もあったのです。なお、それより前の2017年7月14日頃に、脆弱性発見者の Vanhoef氏 が個人的に実験対象となったベンダに脆弱性報告したそうです。

    で、脆弱性情報が一般公開されるまでに対応できたのは大手OS会社では Microsoft だけ

    これは、Microsoft のOSが最も安全で、AppleとGoogleのOSが危険なことの証明です

    Buffalo もWi-Fi Alliance Contributor で事前に情報を知っていたはず [wi-fi.org] なのに、報道で騒がれてから脆弱性がある製品を探し始める [buffalo.jp] というあまりにも遅すぎる糞対応で駄目ですね。都会のマンション暮らしの人は、Wi-Fi AP親機は脆弱性の影響受けないから問題ないのでたいしたことがないと思うかもしれませんけど、田舎ではWi-Fi APの中継機能を使うのが当たり前で、母屋、離れ、車庫、納屋などにリピーター機能有効のWi-Fi AP(バッファローのルーターの上位モデルには搭載されている機能)を設置するのが一般的で、脆弱性の影響は大きいのです。

    脆弱性対応の早さというのは、どの会社の製品が安全かを判別するリトマス試験紙になります。脆弱性情報が一般公開されるまで49日間あったのにそれまで対応できなかったMicrosoft以外の大手全社は論外で、大手ベンダーの中で唯一まともに対応(脆弱性情報の一般公開に間に合う早さでパッチ提供)したのは Microsoft 社だけ でした。

    脆弱性に対して素早くパッチを提供するのは、現在のセキュリティにおいて最重要事項です。それができているMicrosoftのWindowsが最も安全なOSです。

    ここに返信
    • そのパッチを含む更新プログラムが原因で、WSUS/SCCM管理下にあるWindows 10/Server 2016が起動できなくなる問題 [microsoft.com]も一時は発生していたけどね。
    • by Anonymous Coward

      報道で騒がれてから脆弱性がある製品を探し始める というあまりにも遅すぎる糞対応で駄目ですね。

      NECェ

    • by Anonymous Coward

      Googleェ
      自分が見つけたMSの脆弱性には厳しいのに、自分の脆弱性には優しいのな...

      • by Anonymous Coward

        Googleのアレはネガティブキャンペーン用部隊だから……
        というのは冗談ですが、普段の言動が言動なだけにもうちょっとなんとかならんのかねぇ。

        # そういえば、XPが死ぬ理由が増えましたね。
        # まぁ、無印XPとかSP1だとそもそもWPA2なにそれ?ですけど。

    • by Anonymous Coward

      おっ、そうだな(今月のFlash Player 0-dayのWindows Update配信遅かったですね)

      • by Anonymous Coward

        今月の定例で公開が遅れたFlash Playerの更新と0-dayは別のバージョンですよ?
        定例後の1週間もしない間に新しい0-day対応のセキュリティ修正バージョンが配信されたのです。
        手動管理しているなら再確認した方が良いですよ?

        元々バグ修正だけの 27.0.0.159が10月10日に公開 [adobe.com]されてもWindowsUpdateに出なくて、

        • by Anonymous Coward

          Adobeがパッチ出した、その翌日にWindows Updateで配信開始とは流石Microsoft

          Google Chromeも裏でFlashのバージョンアップするけど、パッチ出た直後にFlashバージョンテストしても更新されてないことが結構あって実際にパッチあたるまで数日かかってるから、IE/Edgeの方が早いね

        • by Anonymous Coward

          その1日遅かったことを言っているのですよ
          Flash Player自体の自動更新が昔と違ってまともに動くようになって、Flash Playerに関してだけは7の方が安全になってしまった

          • by Anonymous Coward

            数時間でも影響が有ったりしますから、そういう意味では確かに今回は早さ的には宜しくなかったですね。
            間に余計なもの(MS)が入る悪影響か。

            個人的には公式アップデータはブラウザ開きっぱなし時の挙動が良くないので、それが改善されないと古いまま動かしつづけちゃうのがネックかなぁ

    • by Anonymous Coward

      もうBuffaloとか買うのやめて、MicrosoftのSurfaceをソフトAP化してリピーターもやってもらえばいいんじゃない?PCからAPからスマホまで全部Microsoftにすればきっと幸せになれると思うんだ。

    • by Anonymous Coward

      > 脆弱性に対して素早くパッチを提供するのは、現在のセキュリティにおいて最重要事項です。それができているMicrosoftのWindowsが最も安全なOSです。

      その論理だと、脆弱性問題が出る度にOS安全度ランキングが変化しますね。次に何か問題があってWindows以外のOSが先に対応したなら、別のOSがもっとも安全になるでしょう。
      また過去の実績を見た場合もWindowsがもっとも先に対策が出来てたんでしょうか?もしここ数年の単位でWindowsが先陣を切って対策が出来ていた割合が高いなら比較的安全なOSと言えると思いますが。
      対策一件についてだけ見て安全って言い切るのは判断を見誤りそうな感じはしますけど、そのへんどうなんです?

    • by Anonymous Coward

      脆弱性を公開するまで対応しないように報告者から指示を受けていたのにMicrosoftはそれを無視したのですね。
      OpenBSDも勝手に対応したみたいですが、セキュリティ業界の足並みを乱すような行為は謹んで欲しいものです。

    • 【重要】弊社無線製品のWPA2脆弱性対応状況について [netgear.jp]

      昨日のプレスリリースで、NETGEAR(アメリカの大手ネットワーク機器会社でルーターも作ってる)は最新のファームウェアでは「KRACK」を修正済みと発表

      一方、日本のバッファロー、I O DATA、NEC、エレコムは、パッチどころか該当製品の調査段階

      ほんと、日本の会社のセキュリティ意識は終わってる
      もう駄目だろこれ

      • by Anonymous Coward

        海外のネットワーク専門会社1社だけをサンプルとし、日本の非ネットワーク専門会社を非難する。
        お前の意識は終わってる
        もう駄目だろこれ

        こうですか?

        • by Anonymous Coward

          日本の会社はただの商社だし仕方ないよ

      • by Anonymous Coward

        論文読んでないけど、そこが今回実験台にされた製品なんじゃないのか?

    • by Anonymous Coward

      タイミングが良かっただけじゃないの?
      ちょうどRS3がRTM迎えるタイミングだったわけだし。
      それがなかったら、Appleなんかと同じような扱いだったんじゃないかなぁ

    • by Anonymous Coward

      実際問題として、
      今回の攻撃でわざわざ狙われる(ここまでやって狙う価値がある)のは
      軍事、公共、大企業のしかも重要なWIFIくらいのものです

      これは、攻撃を成功させるための事前準備の規模の大きさ、
      実際の攻撃を成立させるための攻撃行為のシビアさ、
      成功してもHTTPSやVPNの通信は見えない、などの兼ね合いの話となります

      一般的な個人を狙った攻撃としては、まったく割に合わないので(いいか悪いかは別として)ほぼ無縁ですね

      そもそも一般人を狙うなら、こんな手の込んだことをする必要はまったくありません
      適当に暗号化なしAPや本物公衆WIFIと同じSSIDのAPを立てておけば
      操作ミスしたりやタダ乗りしようとしてきたりでバンバン引っかかってくるうえ、
      攻撃する側としての努力も何百分の一で済みます

  • by Anonymous Coward on 2017年10月18日 16時46分 (#3297676)

    無線LAN製品のWPA2の脆弱性について [buffalo.jp]

    無線LANの暗号化技術であるWPA2において、「KRACKs」と呼ばれる脆弱性があるとの発表がございました。
    本脆弱性はWPA2規格の「子機」機能の実装に依存する脆弱性であるため、WPA2をサポートする子機製品および中継機製品、また親機製品で中継機能(WB・WDS等)をご利用時に影響がございます。

    現在、弊社製品の調査を進めており、対象製品、対策につきましては随時情報を公開させていただきます。

    なお、親機製品で中継機能(WB・WDS等)をご利用でない場合は対象ではございませんので、安心してご利用くださいますようお願い申し上げます。

    ここに返信
    • by Anonymous Coward

      > なお、親機製品で中継機能(WB・WDS等)をご利用でない場合は対象ではございませんので、安心してご利用くださいますようお願い申し上げます。

      当然だけど、「親機としては」安心して利用していいのであって、
      その親機につなぎに行っているスマホやノートPC等クライアントは、子機なので安心しちゃダメですよね。
      ちょっと、考えれば分かるけど、ホッとしてしまう人が居る気がした。

  • by Anonymous Coward on 2017年10月18日 22時28分 (#3297877)

    カスペルスキーの発表などを見ると分かりますが
    今のところの攻撃方法は攻撃者側が非常に頑張らないといけない内容です

    攻撃対象の限定
    攻撃用機器の準備
    本物SSIDやMACの把握
    本物ルータ&クライアントの4ウェイハンドシェイクにぴったり重なるように攻撃パケットの送信
    (=攻撃側はクライアントがパケットを出すタイミングを完璧に把握していないと無理。
      また、足がつく可能性のある証拠をまき散らすことになるので、逆に攻撃者として検知される可能性も大)

    などが必要で、そこまでやって仮に運よく攻撃が成功しても
    「HTTPSやVPNなどで暗号化されている通信はまた別にセキュリティ突破が必要」です

    実際に被害の対象になるのは、軍事、公共団体、大企業などの据え置きWIFI環境くらいでしょう

    ここに返信
    • by Anonymous Coward

      なんか必死ですね

    • by Anonymous Coward

      >本物ルータ&クライアントの4ウェイハンドシェイクにぴったり重なるように攻撃パケットの送信
      そんな制約ありましたか?
      paperには"Our key reinstallation attack is now easy to spot: because the supplicant still accepts retransmissions of message 3, even when it is in the PTK-DONE state,"と記載されていますが

      • by Anonymous Coward

        easy to spotは「攻撃されていることを見つける、検知するのがより簡単である」という意味なんだけど?

  • 防水のOasisが出たとか言うから買おうかと思ったら未だに5Ghz未対応とかさ
    Fire HDは5Ghz対応してるとかいうから買ったらW52オンリーで、古いチャネルに固定しとかなきゃエリア外判定されて接続もままならないとかさ
    KRACK対策についてもそうだけど、Amazonさんはやる気あるの?

    そろそろ5Ghz対応のみならず、ac対応のKindle出してよ
    いつまで非マンガモデルのpaperwhite使わなきゃならんのよ…

    ここに返信
    • by Anonymous Coward

      アプデがこない古いAndroidなんかはしんどいな…。BlueBorneもあるし、頑張って欲しいところ。

      • by Anonymous Coward

        なんかこの前発表されたUIのアップデートは古いPaperwhiteにも提供されるそうだが、
        今回も初代Paperwhiteは対象外らしいのよね。

        はたしてセキュリティパッチが初代Paperwhiteや、それ以前のTouchやKeyboardに
        提供されるかどうか興味津々。

        • by Anonymous Coward

          Paperwhiteなんかは、もうAmazonとしか通信しないし、HTTPSになってるだろうから、たぶん今回の放置しても大丈夫だろうとは思う。
          用途を絞ってる製品は、脆弱性見つかっても、それに触れる可能性も限定的な気がする。
          直すに越したことはないけど。

          Kindle Fireの方は、普通のタブレットで色々できるし、直すべき。

      • by Anonymous Coward

        アプデがこない古いAndroidなんかはしんどいな…。

        一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。
        KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、クラッカーが狙うならそっちだろう。

        • by Anonymous Coward

          > 一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。
          > KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、
          > クラッカーが狙うならそっちだろう。

          実際の攻撃者側の都合でいえば、
          今回の攻撃を成功させるための準備や実際の攻撃行為に費やす労力、逆に検知されてしまうリスクを踏んでまで
          (そもそもこの攻撃が成功しているのと同等か、もしくはもっと危険な状況を想定しなければならない公衆WIFI上での利用が最初から想定されていて)
          内部通信のHTTPS化が進んでいるAndroidを狙う意味はほとんどありません

          そもそもとして個人向けに適用されるような攻撃でもありません
          軍事や政府、大企業の、とくに半据え置き機器(WIFIリピーターや、WIFIプリンタなど)がまずはターゲットです

          • by Anonymous Coward

            KRACK のサイト読め。
            キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。
            他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。

            • by Anonymous Coward

              > KRACK のサイト読め。
              > キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。
              > 他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。

              それも含めて #3297887 のような話になるわけですが?

              公開されている情報はとりあえず理解してから話に参加してください

  • by Anonymous Coward on 2017年10月18日 18時26分 (#3297745)

    台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。
    そのスマホで対応スケジュールすら確定していない段階で、「対応が進む」という見出しを付けてしまうのはどうかね。

    それほど利用しやすい脆弱性ではなさそうなのでそんなに心配はしていないが、そのうち高度な攻撃コードが生まれないとも限らない。

    ここに返信
    • ここにきて絶滅確定コースに乗ったWindowsPhoneが息を吹き返すのか?!
      な~んてね

    • by Anonymous Coward on 2017年10月18日 21時00分 (#3297831)

      ゲーム機もそれなりにありそう

      特に生産終了したPS3と3DSは対応されるのか

    • by Anonymous Coward

      皆思ってると思うけど、WPA2も結構古びてきてるよね。WPA3とか作らなくていいの?4Gの次はどうとか、TLS1.3はどうするとかAESの次の暗号規格の話とかは時々聞くけど、WPA2の次の規格どうするって話進んでるのだろうか。WPA2に行き着くまでに紆余曲折ありすぎてもう規格を作るのがいやになったのだろうか。

    • by Anonymous Coward

      > 台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。

      今回の攻撃は
      実際に攻撃を成立させるためには攻撃者側に相当な努力と運とリスクが必要で、
      その上で成立してもHTTPSやVPNの通信はまた別という内容です

      そこまでやって狙うものが一般的なスマホというのはさすがに割に合わなさすぎます
      特に公衆WIFI利用などを想定して
      ベースの実装そのものにおいてHTTPS化やVPN化が(100%ではないにせよ)進んでいるスマホは、
      前述した理由からなおさら狙う意味が薄くなっています

      実際に狙われるのは軍事や大企業、研究所などの、半据え置きのWIFI機器でしょう

      この点で、(MSを除けば)
      広いオフィスをカバーするためや公衆WIFI機器としてのWIFIリピータのベンダーが最初に対応しはじめたのは理にかなっています
      そこが攻撃されやすいうえ、攻撃されるとリピータに収容されたクライアント全体に影響がおよぶからです

    • by Anonymous Coward

      公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら
      脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る

      互換性のないよりセキュアなプロトコルを作って、10年ぐらいかけて移行しないと危険かもしれない

      • by Anonymous Coward

        > 公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら
        > 脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る

        残りません

        発見者のサイトでもさんざん明言されていますが、
        HTTPSでもVPNでもその他セキュリティ用プロトコルでも、
        WPA/WPA2とは別のレイヤーに存在するセキュリティ用プロトコルは今回の攻撃の影響の範囲外です

        なのでWIFIパスワードなどは漏洩しませんし、公衆WIFIでよく行われているレイヤ7認証も
        HTTPSなどが正しく適用されていれば破られません
        偽APにつないでしまっているクライアントは、(

  • by Anonymous Coward on 2017年10月19日 6時39分 (#3297965)

    http://www.aterm.jp/product/atermstation/info/2017/info1018.html [aterm.jp]

    つまり、これから調査とか
    発表前にできることあっただろうに

    ここに返信
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...