サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト フェロー 関原 弘樹
こんにちは!
CSS部エバンジェリスト フェローの関原です。
早いもので今年ももう折り返しの7月です。関東では史上初めて6月に梅雨明けとなり、すでに猛暑日を記録したところもあります。熱中症など体調には十分気を付けていきたいですね。
さて、今ではWi-FiによるインターネットやLANへのアクセスはデジタルデバイスを持っているほぼ全ての方に利用されています。今回のコラムは前後編に分け、2018年6月25日にWi-Fi Allianceが発表したWi-Fi=無線LANの相互接続における新規格、WPA3(Wi-Fi Protected Access 3)の背景とメリットについて確認していきます。
外部サイト:
Wi-Fi Alliance® introduces Wi-Fi CERTIFIED WPA3™ security
1.Wi-Fi Allianceとは?
20世紀末あたりから、最初の無線LAN規格である無印のIEEE802.11を実装したプロダクトが登場しはじめました。ノートPCや3G通信の普及とあわせ、モバイル環境でのコンピューティングを促進する無線LANの本格利用に期待が膨らみました。
しかし、この規格IEEE802.11には仕様上曖昧な部分が多く残されており、異なったベンダの相互接続性を検証する仕組みもありませんでした。そのためユーザがマルチベンダの無線LANプロダクトを自由に組み合わせて導入することはハードルが高い状態でした。
このような状況を改善し、無線LANプロダクトの普及促進を図ることを目的として、1999年に3comをはじめとしたいくつかのベンダによりWECA(Wireless Ethernet Compatibility Alliance)という業界団体が発足しました。その後WECAは名称を変更し、現在はWi-Fi Allianceとして活動しています。
重要なポイントとして、本コラムの話題である規格"WPA3"への準拠を謳うにはWi-Fi Allianceによる認証が必要となります。
(ちなみに本部は米国テキサス州オースティンにあり、現在加盟している企業は500社以上とのことです。)
2.WPA2について
現在、Wi-Fi環境でセキュリティを担保する技術としては、2004年に登場したWPA2が主に利用されています。WPA2はワイヤレスリンクの暗号化を中心とした無線LANのセキュリティ仕様であるIEEE 802.11iの実装です。
外部サイト:
IEEE 802.11i
★認証
WPA2は以下の2つの認証モードを持ち、それぞれ必要なセキュリティレベルに応じて利用されています。
・WPAパーソナルモード
個人や一部の公衆無線LANサービスで利用されるモードで事前共有鍵(パスワード)を使用します。アクセスポイント(AP)とデバイスのほかに認証サーバの設定が必要ないため手軽に使えますが、パスワードの管理に問題を残し、公衆無線LANサービスではEvil Twin(s)(悪意のあるAPなりすまし)という問題も抱えます。
・WPAエンタープライズモード
企業ユースで使われるモードでAP⇔クライアントの相互認証には有線LANでもおなじみのIEEE802.1Xを使用します。厳密な相互認証が可能ですが、認証サーバや場合によりクライアント証明書等も必要になり構成はちょっと大がかりです。
(ちなみに、現在モバイルキャリアで実装されているEAP-SIMは使用しているSIMを登録するだけでキャリアのWi-Fiサービスの認証が可能なのでとても便利です。)
外部サイト:
IEEE802.1X
★暗号化方式
WPA2の暗号化の背景を語るため、話を無線LAN登場時に遡らせます。無線LAN上のトラフィック暗号化にはWEP(Wired Equivalent Privacy)という方法が使用されていました。WEPは暗号化アルゴリズムにRC4という共通鍵暗号方式のストリーム暗号(1bitずつデータを暗号化するので暗号化が速い)を採用していましたが、暗号鍵の一部(40bitもしくは104bit)はパスフレーズとして固定されていました。暗号鍵としては他にIV(Initialization Vector)という24bitの値を毎回生成して使用しますが、これは平文でフレームに付加されて送信されます。
つまり、暗号鍵の割り出しは容易であり、現在ではトラフィックをキャプチャをされた場合、数分で解読されてしまうので事実上暗号化方式としては機能していません。そのほかにも改ざん検知の方法が不十分であったり、APの認証ができないという問題があり、セキュリティ対策としてのWEPは不十分です。
その後、2002年になって発行されたのが無印のWPAです。これはIEEE802.11i完全準拠のWPA2策定以前に、WEPのセキュリティ対策が不十分であることを受け発行されたものですが、当時は応急処置的に発行されたという印象でした。
暗号化方式にTKIP(Temporal Key Integrity Protocol)を採用し暗号鍵を定期的に変更する仕組み(パスフレーズを暗号鍵に使わない)によりセキュリティ強度を向上させたところがポイントです。しかし、実装必須のTKIPが使用する暗号化アルゴリズムは依然として脆弱なRC4なので、無印WPAでのセキュリティ対策も現在では不十分と考えられています。
この時すでにあったAESを必須として採用しなかったのは、AESだと既存のプロダクトのソフトウェア更新だけで対応させることが難しかったからではないか、というのが個人的な意見です。
外部サイト:
WPA-TKIPにおけるメッセージ改ざん攻撃の高速化
そして現在の標準、WPA2は2004年に発行されています。WPAから暗号鍵を定期的に変更する仕組みを受け継ぎ、トラフィックの暗号化方式にCCMP(Counter mode with Cipher-block chaining Message authentication code Protocol)を採用することにより実用レベルでのセキュリティを確保しました。
CCMPでは現在強度に問題がなく、標準的に使用されている共通鍵方式のブロック暗号アルゴリズムAES128bitの実装が必須となっており、実際の設定でもAESを使用することが推奨されています。ちなみにAESは専用のアクセラレーションチップがないと処理が遅いので、以前は(場合により現在も?)ASICを搭載していました。また、現在ではIAのうち一部のCPUが専用の命令を持っています。
外部サイト:
AES-NI
3.WPA3登場の背景
WPA2は10年以上Wi-Fi環境のセキュリティスタンダードとして多くの製品に取り入れられて利用されてきましたが、2017年10月に「KRACK」という脆弱性が発見されました。これはWPA2という規格自体が持つ脆弱性です。つまり現在のほぼすべてのWi-Fi環境が攻撃の対象となります。
外部サイト:
Key Reinstallation Attacks
「KRACK」では無線LANの電波が届く範囲からの攻撃が必要ですが、攻撃者はAPとクライアントが通信を開始するタイミングを狙って攻撃を仕掛けてきます。具体的にはAPとクライアントがアソシエーション(相互認証)を完了し、トラフィックを暗号化する鍵を交換するフェーズを狙い、無線LAN上の通信に割り込みます。
そこでMITM(Man In The Middle 中間者攻撃)の形になり、双方で暗号鍵交換のために送信した(無線LANの)フレームを受信し止めます。これにより規格の仕様上フレームの再送が発生します。この再送フレームでは一部の乱数等を再使用しており、複数回再送を実行させると選択平文攻撃に近い状態となります。
外部サイト:
選択平文攻撃
攻撃に成功すると攻撃者はフレーム内の暗号鍵を特定することが可能となり以降の暗号化トラフィックをすべて解読することが可能になります。
このように、暗号化アルゴリズムであるAESが現時点で安全であってもその他の、たとえば認証や鍵管理のプロセスが不十分であると、このような脆弱性を利用した盗聴リスクが顕在化します。幸い今回の攻撃についてはソフトウェアのアップデートにより回避可能なものでしたが、すでに14年前の規格であるWPA2に今後も同様な脆弱性が発見される可能性は少なくありません。
また、現在のIoT機器のようなデバイスでも簡単・安全にWi-Fiを利用したいというニーズに応えることはきわめて重要と考えられます。WPA2は後継規格への速やかな移行が望まれており、WPA3はこの様な背景から期待され登場しました。
今回はここまでです。ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara CISSP, CEH, PMP, CCIE #14607
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
