WPA自体が危ないのではない
無線LANセキュリティにおいてWEPは既に意味を成さない暗号方式という認識が広まっているはずだ。2009年になって「WPAがわずか1分で破られる」という様な報道が見られた。「無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり」(GIGAZINE),「WPA も60秒で破られる――日本人研究者などが発表」(japan.inetnet.com)などだ。このタイトルだけを見るとあたかも「WPA」という方式自体の問題のように見える。しかし,実際にはWPA方式が破られたわけではなく,WEPと互換性を持たせるためにあるTKIPという鍵交換方式が問題となる。
TKIPはWEPと同じRC4による暗号方式で,WEP時代の既存の無線LAN機器を置き換える事なく,ファームウェアの書き換え程度で実装できる事から,ハードウェアの互換性維持を目的に策定された。
WEPからの変更点として
- 乱数の初期値を決める数字「IV」の鍵長を24ビットから48ビットに増やす
- 管理者が設定した暗号用パスワードをそのまま使わず,パスワード・通信機器のMACアドレス・乱数・IVなどを元に一次鍵を生成し端末ごと,通信セッションごとに暗号鍵を更新する
というのが主な変更であった。WEPと互換性の高い実装だったことから,TKIP方式もまた脆弱性があった。
また,WPA-TKIPを60秒で破るというのも,可能な機器や環境が限定され実際に汎用的な攻撃とするには12~15分の時間を要する。
結果的にはWPA-AESを使用すれば上記のような攻撃は通用せず,WPA自体の問題ではないと云える。またWPA2においてもWPA2-TKIPを使用した場合は攻撃対象となりうる可能性がある。
なお,WPA2-AESなどはAES暗号が安全というよりもCCMPという通信データの暗号化機能だけでなく,データの改ざん検出機能も利用している事から安全性が高まっている。「AES暗号は安全」や「WPA2なら大丈夫」といった情報の不足した誤解が安全神話のように聞こえているのかもしれない。
WPA-AES製品の例示を希望。
「WebメールのSSL」を覗いたついでに... WPAについては昨年の我々の発表についても若干、誤解を受けている部分もあるのですが、WPAであれ、WPA2と呼ばれるものであれ、TKIPにかかわるプロトコルには深刻な脆弱性があり、大きな被害を受ける可能性があります。具体的には、今年3月のISECで発表しています。なお、可能な機器や環境もほとんど限定されず、一般的な環境で事前に7分程度の準備期間があれば、偽造したパケットを相手に受け取らすことができ、ARPキャッシュポイズニングやDHCP DNS Attackが可能になり、具体的な方法も与えています。 島根でのセキュリティ勉強会でポロっと口を滑らせましたが、無線LAN機器の実装自体の脆弱性もあります(現在のところ、TKIPにかかわる部分のみ)。 近々に、どこかのニュースサイトで解説するつもりです。