無線LAN設定の「WPS」に脆弱性


 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する脆弱性対策情報サイト「Japan Vulnerability Notes(JVN)」は4日、無線LANの接続設定を容易にする規格「Wi-Fi Protected Setup(WPS)」の仕様に存在する脆弱性についての情報を公開した。

 WPSは、Wi-Fi Allianceが策定した無線LANの接続設定を簡単に行うための規格で、機器のボタンを押す「プッシュボタン認証モード」と、4~8桁の暗証番号を利用する「個人暗証番号(PIN)認証モード」がある。

 脆弱性は、WPSでPIN認証モードを使用している場合に存在する。脆弱性の存在を公表した研究者によれば、8桁の暗証番号であっても実際には1万1000通りの組み合わせを試行するだけで十分なため、すべての組み合わせを試すブルートフォース攻撃が可能になるという。また、一部の無線LAN機器には、違う番号だった場合に一定時間入力を受け付けないといったブルートフォース攻撃に対応する機能がないため、短時間で攻撃が可能だったとしている。

 JVNでは、対策が公開されるまでの間の回避策として、対象機器でWPSを無効にすることを挙げている。


関連情報

(三柳 英樹)

2012/1/5 14:32