無線 LAN の設定簡略化プロトコル「WPS」にぜい弱性

この記事のURLhttp://japan.internet.com/allnet/20120106/4.html

作業を簡略化すると代償がともなう。セキュリティ領域だと、代償はリスクの増加となって表面化することが多い。そして、これが今まさに無線 LAN（Wi-Fi）の設定簡略化プロトコル「Wi-Fi Protected Setup（WPS）」で起きていることなのだ。ただし、WPS はユーザーが家庭で Wi-Fi 準拠の無線 LAN 導入する際のセキュリティ設定作業を簡単にする技術であるため、企業ユーザーは大抵の場合この WPS の脆弱性（ぜいじゃくせい）に影響されない。

今回の脆弱性は、セキュリティ研究者である Stefan Viehbock 氏が「Brute Forcing Wi-Fi Protected Setup」（「Wi-Fi Protected Setup に対する総当たり（ブルート フォース）攻撃」）という PDF 形式の資料で詳しく説明している。それによると、WPS には設計/実装上の欠陥があり、WPS を実行する際に入力する暗証番号（PIN）が弱点になっている。接続する機器がユーザーの意図したものかどうか認証する手段は PIN 以外になく、総当たりで PIN を試される危険性があるという。

Viehbock 氏が示した手口は、「理論的に可能」な攻撃でない。すでに実際の攻撃ツールが存在している。具体的には、セキュリティ研究企業の米国 Tactical Network Solutions がオープンソース プロジェクト用ホスティング サービス「Google Code」で運営しているプロジェクト「Reaver」のツールである。このツールを使うと、攻撃者が WPS 用 PIN を探り当て、許可なくその無線 LAN をアクセスできてしまう。さらに Tactical Network Solutions は、このオープンソース版ツールだけでなく、より高速に作動し、グラフィカルな Web インターフェイスを備える商用版ツールまで作っている。

Viehbock 氏の公表した資料と Reaver は目新しいものの、この脆弱性自体は企業向け Wi-Fi セキュリティを手掛けるベンダーの間で以前から知られていた。また、WPS は多くの家庭ユーザー向け Wi-Fi 機器に搭載されているが、対応している企業向け機器は多くない。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。