2017年、WPA2に発覚したKRACK
KRACKでは複数の脆弱性が報告されたが、最も致命的だったのはWPA2プロトコル経由で暗号化したデータの送受信を行う際に、第三者の妨害タイミングが合致すれば、暗号データの復号やデータ注入が可能となることだった。データの傍受、盗聴、MTM(Man-in-The-Middle)攻撃による改ざんなどが可能となってしまう。
この脆弱性が発覚した当時、致命的な問題として関連事業者が迅速な対応を行った。修正アップデートにより、Wi-Fiを使用する多くのパソコン、スマホ、ゲーム機器などのドライバー・ファームウェアも、この脆弱性に対応した。
2019年、WPA3に発覚したDragonblood
WPA3が用いる接続開始手順の「Dragonfly」の脆弱性を利用し、「ダウングレード攻撃」などが行えるという脆弱性。ダウングレード攻撃とは、WPA3圏内にWPA2規格の不正な無線LANアクセスポイントを仕込み、無線LANを中継させて行う。
正規のWPA3通信に接続して共有鍵を有する無線LANクライアントに、脆弱なWPA2ハンドシェイクを実行させることで、攻撃者がWPA2のクラッキングツールを悪用可能となるのだ。この脆弱性についても、アクセスポイント、およびWi-Fiクライアントのドライバー・ファームウェアの修正・アップデートによって解消された。
いずれの脆弱性もアクセスポイント、Wi-Fiクライアントのドライバー・ファームウェアの修正・アップデートで解決に至った。すなわち、常にアクセスポイント、接続端末ともにファームウェア、OSを最新の状態にしておくことがこうした攻撃への重要な対策となり得るということだ。
アクセスポイントで講じるべきセキュリティ対策
容易に推測できるようなセキュリティキーを避ける(電話番号・番地など)
認証に「弱いパスワード」を設定することは不正アクセスの温床となり得る。同様に、アクセスポイントにおけるパスワード、セキュリティキーについても単純で推測されやすいものにしてしまうと、不正にネットワークに侵入されかねない。過去には初期設定で「password」としている機器などもあったが、近年販売されている機器では複雑なキーが設定されている。しかし、初期設定のままになっているものは変更しておくことが望ましい。パスワード生成ツールなどを利用し、複雑なものに設定するようにしたい。
ルーターの管理はLAN内のみ可能とする
インターネット経由で外部から管理する必要性がないのであれば、管理画面へのアクセスをLAN内に制限すること。外部からの不正アクセスによる設定情報の書き換えといった行為を予防できる。
ファームウェアは常に最新状態を維持する(もしくは自動更新をON)
最近の無線LANルーターはファームウェアを自動更新にできるものが多い。この機能をONに設定しておくことで、先述のKRACKやDragonbloodのような危険性の高い脆弱性が見つかった場合でも、自動で修正アップデートが行われる。ただし、製品には保守期限が必ずあるものだ。製品の検討時にはいつまで自動更新が行われるかを検討材料に入れる必要があるだろう。
SSIDを機種が推測できないものへ変更する
無線APのメーカーや機種が推測できてしまうSSIDは少なくない。しかし、こうした状態を放置しておくことは、攻撃材料を与えてしまうようなものだ。例えば、メーカーと機種が分かれば、過去の脆弱性を調べることも容易だ。
必要以上に電波強度の強いルーターを使用しない
集合住宅などではありがちだが、必要以上に広範囲をカバーするルーターを利用してしまうことで、近隣でも電波自体は傍受できてしまう。接続の確実性を求めて強力な電波のルーターを検討しがちだが、その結果として電波傍受のリスクがあることにも気を付けたい。
ルーターのログを定期的に確認(あるいは不審な端末の接続時に警告されるよう設定)
一般的な家庭の無線LAN環境に対しても不正アクセスは行われている。ほとんどの場合、こうしたアクセスはルーターによって拒否されるが、中には執拗にアクセスを続けるケースもある。そのため、インターネット側からのログを確認することを推奨したい。また、ルーターによってはアラート機能を有しているものもあるため、その設定をONにすることも検討したい。