ニュース

全Wi-Fi機器に影響する脆弱性「FragAttacks」発見される。各企業・団体が対応を発表

fragattacks.com

 ニューヨーク大学アブダビ校のMathy Vanhoef氏は12日(日本時間)、「すべてのWi-Fi機器が影響を受ける」Wi-Fiの設計と実装に関する複数の脆弱性が見つかったと発表した。「FragAttaks(fragmentation and aggregation attacks)」と名付けられ、内容の詳細はfragattacks.comで公開されている。

 発見されたのは、WPA3を含む、Wi-Fiの全ての最新のセキュリティプロトコルに影響を及ぼすもの。ほとんどのデバイスに影響するWi-Fi標準「IEEE 802.11」の設計上の欠陥に起因する3件(CVE-2020-24586、CVE-2020-24587、CVE-2020-24588)や、Wi-Fi製品のプログラミングのミスにより引き起こされるものなど、全12件の脆弱性。

 発見されたデバイスの脆弱性を直接悪用することは、特殊な設定などが必要となるため困難とされる。しかし、Wi-Fi製品のプログラミングのミスによる脆弱性によりユーザーが知らない間に悪用される可能性があり、このことが最大の懸念事項であるとしている。

 脆弱性を悪用するデモ動画が公開されている。以下の動画は被害者のユーザー名やパスワードが傍受され、スマート電源ソケットをリモート操作でオン/オフされ、さらにネットワーク上の古いWindows 7搭載PCを乗っ取られるという内容。この動画では、機密データの盗難、およびデバイスへの攻撃という2つの悪用の可能性が指摘されている。

FragAttacks悪用のデモ(fragattacks.comより)

 本発表を受け、インターネットセキュリティの業界団体ICASI(Internet Consortium for Advancement of Security on the Internet)は声明を発表。概要を報告するとともに、マイクロソフトなどのアドバイザリを紹介している。Wi-Fi Allianceもセキュリティアップデートを発表。迅速な措置を講じるとしている。

 Mathy Vanhoe氏は、2017年にはWPA2の脆弱性「KRACKs」を発見している。

各企業の対応状況

 以下の各企業が、本件に関するアドバイザリを公開している。

ICASIの声明