WPA2の脆弱性「KRACKs」対応の勘所

しばらく社内KRACKs検討にてんやわんやでした。1カ月が経過し、さすがにいろいろな場所に攻撃の詳細や対策が書かれるようになりましたが、自分なりの解釈ということで忘れる前に結論だけ書き残しておきます。Twitterでは狭すぎる。

【結論】

1.全体的なところ

  • 恒久対処にはアクセスポイントとクライアントの両方を対策する必要あり。
  • KRACKs自体の脆弱性では基本的にHTTPS通信を暴かれることはない。ただし中間者攻撃された場合は別。SSLstripで通信を偽装・傍受できてしまう。回避策として①フリーWifiには繋がない、②アドレスバーが緑色であることを確認する。

2.アクセスポイント側の対策

  • WPA2は使い続ける。脆弱性が見つかったからといって、それ以上に脆弱なWEPやWPAなんかを使ってはいけない(戒め)
  • ファームウェアを対策済のバージョンにアップデートする。

3.クライアント側の対策

  • iOSは11.x以降の最新版に上げる。ipod touch5世代以下とiPhone5C以前はiOS11にアップデートできないので素直に諦めるか新しいのを買うかする。ここはもう経営者層に判断してもらうしかない。説明はめんどくさいけどきちんとしよう。
  • Androidは使ってないのでわかんない。Wifi通信でつかっている wpa_supplicant がKRACKsにめっちゃ弱いらしい。ちゃんとアプデしよう。
  • WindowsとかLinuxとかOSXとかはよしなに。

上記対策のコストと漏洩リスクを天秤にかけながら対策しましょうって感じですね。

リスクだけ見ちゃうと「やはりヤバい」って思っちゃいますが、フリーWifiでもない限り中間者攻撃自体が簡単ではないのであまり不安がる必要もない。明確な意図をもってSSIDのパスワードを盗み、機器を用意し、MACアドレス認証を掻い潜るよう偽装しなければならない。でもそこまでして弊社から奪った情報で小銭稼ぎするくらいならその技術をもって真っ当に稼いだ方が儲かると思うんです。Proof of Work。いまはどこの会社も人不足ですし、スーパーハカーは高給で歓迎されるでしょう。たぶん。歓迎されなければ「採用されなかった日本死ね」でしょうか。

閑話休題

最終的に、甘く見てはいけないけど過剰に不安がる必要もないな、という知見が得られました。正しく怖がりましょう。って原発の啓蒙活動家みたいになってしまった。

 

参考

qiita.com

dev.classmethod.jp

blog.kaspersky.co.jp

http://www0.info.kanagawa-u.ac.jp/~matsuo/theses/pdf/matsuo_lab_20150206_setozaki_abst.pdf