JPAC 一般社団法人日本プライバシー認証機構ブログ

日本プライバシー認証機構 ブログ

消費者と事業者の信頼の中心に

  • WPA2の脆弱性について~できることからはじめよう~

    2017年10月31日


    私たちが普段何気なく使っている Wi-Fiですが、そのセキュリティについて気にしたことはあるでしょうか。
     
    先日Wi-FiのWPA2のセキュリティの脆弱性が発見され大きく話題になりましたが、その対策が済んでいるのかも、私たちは気にしなければなりません。
     
    問題の脆弱性に対する攻撃は、まず標的となる人物を設定し、その標的の利用しているWi-Fiネットワークに接続し、そのSSIDと同じSSIDの“偽の”ネットワークを作ります。チャンネルを変更しているだけで同一のSSIDですので、標的の人物には容易には気づかれません。
    そしてその標的がネットワークに接続するタイミングで接続先を偽のネットワークに変更するパケットを送信し、接続先を変更させ、さらにパケットの監視ツールを使用することで情報の搾取を試みます。この段階で攻撃者は標的に対して4way handshake(4way handshakeはノンス(通信のたびに変わる乱数)とMACアドレス、ネットワークのマスターキーパスワードを合わせて暗号鍵を生成する過程のこと)に対するノンスの再インストール攻撃を実施します。しかし実際はソフトウェアの脆弱性により、ノンスは変更されず、0に置き換えられてしまいます。これで暗号鍵の半分以上がわかってしまいますので、この作業を繰り返すことで、暗号鍵を割り出して情報の復号化を行います。これでWPA2のセキュリティは無効化されてしまいます。
     
    しかしこれではネットワークを流れるSSL/TLS(HTTPS)のセキュリティによるデータの暗号化は有効のままですので、攻撃者はさらにSSL/TLS(HTTPS)を無効化するためのツールを使用します。
     
    このツール(SSLstrip)によってSSL/TLS(HTTPS)を導入している一部のウェブサイトで暗号通信が行われなくなるため、標的の通信内容がアカウント情報やパスワードまで詳細に傍受されてしまいます。
     
    これが今回の攻撃の概要です。
    この攻撃を防ぐ方法はいくつかありますが、ポイントは以下の3点です。
     
    1. PC・スマートフォン等の端末、及びアクセスポイント(ルーター等)のセキュリティアップデートは常に最新のものにしておく。
    PC・スマートフォン等のセキュリティアップデートは、セキュリティ分野では必須の対策となっていますが、今回はアクセスポイント(ルーター等)も対象機種によってはファームウェアアップデートが必要になります。
    お使いのアクセスポイント(ルーター等)のメーカーからの、ファームウェアアップデートの情報を見逃さないようにしてください。また、お使いの機器がメーカーのサポート対象外の場合は、使用を中止して新しい機器の購入を検討することも必要でしょう。
     
    2. SSL/TLS(HTTPS)が無効なサイトで買い物や個人情報の入力はしない。
    今回の攻撃にかかわらず、SSL/TLS(HTTPS)が導入されていないサイトで買い物や個人情報の入力をすることはリスクの高い行為です。また、常にSSL/TLS(HTTPS)の導入されたサイトを利用することを意識していれば、攻撃を受けたことに気がつくことができるかもしれません。しかし自力で気がつくことは難しいと思いますので、ブラウザが発する警告を見逃さないようにしましょう。
     
    3. VPN通信を利用する。
    VPN (Virtual Private Network)を利用することで通信内容を暗号化できます。今回の攻撃はこのVPN通信には対応していませんので、VPN通信を利用している場合は今回の攻撃からあなた自身のデータを守ることができます。VPN通信サービスは、PC・スマートフォン等の機能に含まれていたり、最近では各種セキュリティベンダーからも提供されていますので、使いやすいものを選んで利用しましょう。
     
    今回の問題は、攻撃者が特定のWi-Fiエリアを狙った場合に発生しうるものでした。
    しかし無料を含めた公衆無線LANを利用する機会も多いことと思いますので、セキュリティについては常に意識する必要があります。
     
    このように今回の問題は多くの人に影響を与える可能性のあるものでしたが、ある程度自分自身で対応も可能な内容となっておりますので、皆さんも是非、まずはPC・スマートフォン等のセキュリティアップデートが最新であることを確認しましょう。
     
    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    新資格登場!高まるサイバーセキュリティリスク対応のプロフェッショナル資格!
    サイバーセキュリティ管理者(CSM)資格講座
    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    サイバーセキュリティ管理者(CSM)とは
    企業のサイバーセキュリティリスクに対応するプロフェッショナル人材です。
    豊富な知識とノウハウをもった講師による専門的な講義と実習を行い、すぐに実務家として幅広いフィールドで活躍出来る人材を育成するハイクラスな講座です。
    組織のCSIRT構築から運営、改善、事故発生時の対応まで一手に担うこともできます。
    講座は講義と実習が2日間ずつの計4日間で行われます。
     
    詳細はこちら

    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    経営の立場で個人情報保護を考える方の必須技能が1日で!認定CPO講座
    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    認定CPO(Chief Privacy Officer) とは
    企業・団体の代表者によって任命され、組織内の個人情報保護体制の構築・運用・改善の最高責任者として決定権限を有する者です。日本プライバシー認証機構が認定するCPOは、認定プライバシーコンサルタントなどと協力して、個人情報保護の最高責任者として、代表者に公正な見解を述べ、判断・アドバイスを行い、個人情報保護体制の整備、運用を円滑に遂行する能力を有します。

    詳細はこちら

    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    改正個人情報保護法対応、個人情報保護のプロフェッショナル資格!
    認定プライバシーコンサルタント(JCPC)講座
    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    認定プライバシーコンサルタント(JCPC)とは
    組織的な個人情報保護体制の構築・運用・維持・更新等の実務的作業や第三者へのコンサルティングを行う能力を持ったプロフェッショナル人材です。また、「プライバシーマーク」の認証基準であるJISQ15001「個人情報保護マネジメントシステムの要求事項」をはじめ、個人情報保護法、基本方針、分野別ガイドライン、情報セキュリティマネジメント、リスクマネジメント等、個人情報保護マネジメントシステムの構築・維持に必要な知識を有し、CPOの下でプライバシーマークの運用・維持などの実務を行うことが出来ます。

    詳細はこちら

  • Information
    JPAC

    一般社団法人日本プライバシー認証機構(JPAC)

    個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。

    Search