常時SSL Lab.編集部米国時間の2017年10月16日、Wi-Fiで一般的に利用されている暗号化の仕組み「WPA2(Wi-Fi Protected Access II)」の脆弱性「Key Reinstallation Attacks」(一般的に「KRACK」などと呼称)が、セキュリティの専門家によって公表され、世界的な規模で波紋を広げています。
KRACK Attacks: Breaking WPA2
IPA – WPA2 における複数の脆弱性について
この「KRACK」への対策のひとつに、「SSLが有効である」と言われています。
そもそも「KRACK」とは何なのか、なぜSSLが有効なのか、その内容を見てみましょう。
「KRACK」の脅威
「KRACK」の技術的な詳細情報は前述のWebサイトを見ていただくとして、ここでは簡単にどういうことが起きるのかを中心に見ていきます。
一部の公衆Wi-Fiなどを除き、セキュリティの観点から近年ではWi-Fiの暗号化は一般的になってきています。
その暗号化のために利用されている仕組みが「WPA2」です。
「KRACK」は「WPA2」の脆弱性を攻撃するものです。
Wi-Fiの暗号化が破られた状態で通信が行われてしまうので、
- 通信データにアクセスできてしまう。
- 通信データを取り出して中身を読み取ったりすることが可能になる。
- 通信データに攻撃者が不正なデータを挿入できる。
など、Wi-Fi暗号化の仕組みそのものを脅かす影響があります。
また、「KRACK」は通信の仕組み自体の脆弱性を攻撃するものなので、OSやデバイスに関係なく被害に遭う可能性があることも特筆すべき点です。
「KRACK」への対策
一般的に言われている「KRACK」への対策には、以下のようなものがあります。
① OSやデバイスのセキュリティアップデートを適用
これに関しては、Microsoftなどがセキュリティパッチなどで対策を始めています。
OSだけでなく、ルーターなどの通信機器を扱うベンダーなども徐々に対応を開始しています。
② Wi-Fiを使わずに有線LANを利用
パソコンならともかくスマートフォンの場合はどうすれば!?と思うので、筆者は個人的にこれが対策といえるのか、正直なところ微妙だと思っています。
③ Webサイトとの通信にはHTTPSで接続
これは利用者からすると、閲覧したいWebサイトが常時SSLに対応していなければどうしようもないよね、と言いたくなるかもしれません。
ただ、Webサイトの提供者側の立場で言い換えると、類似する情報を提供しているWebサイトが複数ある時、今回の脆弱性のような場合には、常時SSLに対応している方が選んでもらいやすくなる、ということになります。
通信環境の脆弱性と常時SSL
Wi-Fiを利用して常時SSLに対応したWebサイトに接続している場合、WPA2とSSL(HTTPS)による二重の暗号化でセキュリティ対策が行われています。
仮にWi-Fiの通信データが攻撃者に取り出されても、取り出されたデータ自体が別の仕組み(SSL)により暗号化された状態であるため、漏洩から保護することが可能になります。
普段、Webサイトの提供者側では、利用者の通信環境を意識することは少ないと思いますが、今回のような脆弱性は今後も発生しないとは限りません。
そのようなときでも安心して利用してもらえるWebサイトを提供するために、常時SSL化は必須であるといえるでしょう。
この記事のポイント
- 「KRACK」への対策にHTTPSによる通信も推奨されている
- 利用者の通信環境に関係なく安全なWebサイトを提供するために常時SSL化は必須
株式会社IDCフロンティア
