無線LAN設定の「WPS」に脆弱性

　独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が運営する脆弱性対策情報サイト「Japan Vulnerability Notes（JVN）」は4日、無線LANの接続設定を容易にする規格「Wi-Fi Protected Setup（WPS）」の仕様に存在する脆弱性についての情報を公開した。

　WPSは、Wi-Fi Allianceが策定した無線LANの接続設定を簡単に行うための規格で、機器のボタンを押す「プッシュボタン認証モード」と、4～8桁の暗証番号を利用する「個人暗証番号（PIN）認証モード」がある。

　脆弱性は、WPSでPIN認証モードを使用している場合に存在する。脆弱性の存在を公表した研究者によれば、8桁の暗証番号であっても実際には1万1000通りの組み合わせを試行するだけで十分なため、すべての組み合わせを試すブルートフォース攻撃が可能になるという。また、一部の無線LAN機器には、違う番号だった場合に一定時間入力を受け付けないといったブルートフォース攻撃に対応する機能がないため、短時間で攻撃が可能だったとしている。

　JVNでは、対策が公開されるまでの間の回避策として、対象機器でWPSを無効にすることを挙げている。