ニュース

スマホのWi-Fi通信で内容を盗み見られる脆弱性、携帯電話キャリアや端末メーカーの対応状況は?

 スマートフォンなどのWi-Fi通信において第三者に通信内容を盗み見られてしまう恐れのある脆弱性「KRACKs」が見つかったことを受け、携帯電話キャリアや端末メーカーはどう対応した/するのか? この脆弱性を修正するセキュリティアップデート(パッチ)の提供状況・予定についてキャリア各社に聞くとともに、OSベンダーの対応状況をまとめた。

 KRACKs(Key Reinstallation Attacks)は、Wi-Fiの暗号化技術「WPA2/WPA」において10月に発覚した脆弱性だ。本来、WPA2/WPAは、Wi-Fi親機(アクセスポイント)と子機(スマートフォンやPCなど)の間の通信を暗号化することで、第三者に通信内容が分からないようにする技術。しかし、この脆弱性を悪用すると、Wi-Fiの電波の範囲内にいる第三者が、WPA2/WPAで暗号化されたWi-Fiの通信データを復号して通信内容を盗み見たり改ざんすることが可能になる。また、Wi-Fi子機に特別なパケットを送りつけることで、偽のアクセスポイントに接続させることもできるとされている。

 WPA2/WPAはWi-Fi暗号化技術として広く利用されており、KRACKsの影響を受ける機器は数多い。これを修正するには、基本的にWi-Fi子機側の機器にセキュリティパッチを適用する必要がある。

Apple、Google、Microsoftは脆弱性を修正済み

 Appleでは、iPhoneやiPad向けに10月31日に配布を開始したiOSのバージョン「11.1」とMac OS向けのセキュリティアップデートでKRACKsへの対策を行っている。また、Windowsでも、Microsoftが10月11日に配布を開始したパッチで、この問題に対処済みだ。

 一方、Androidについては、Googleが11月の月例セキュリティ情報において、KRACKsの脆弱性に対する修正パッチを、端末メーカー各社に対して1カ月前より提供していることを公表している。

Androidスマホにおける端末メーカーや通信キャリアの対応状況は?

 Android端末のユーザーは、この脆弱性に対処するために、端末メーカーや携帯電話キャリアが提供するパッチを適用/待つことになる。

 Samsungでは、いち早くこの脆弱性に対処。「Galaxy S8+/S8」向けのアップデートプラグラムが、NTTドコモから11月8日に、auから11月7日に公開されている。また、ソニーモバイルでも、Xperia XZ Premium/XZs/XZ、Xperia X Compactの各グローバルモデル向けには、この脆弱性対策済みアップデートの提供を開始している。

 なお、NTTドコモでは現在、脆弱性の対象となる機種について調査を進めているという。一方、auでは、脆弱性対策済みのアップデートを提供可能な機種については、順次対応を進めていくとしている。

 ソフトバンクでは、Googleがパッチを提供しているAndroid 5.0.2以降の機種について、WPA2/WPA脆弱性対策済みのアップデートを提供する方針。準備ができた端末について、12月以降に順次配信を行うとのことだ。

HTTPSやVPNを使えば、KRACKsによる盗聴のリスクを回避できる

 なお、まだパッチが提供されていない子機端末においては、Wi-Fi通信時に「HTTPS」や「VPN」で通信することでKRACKsによる盗聴を回避できるとされている。詳しくは、以下を以下を参照されたい。