Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2018-08-09 11:44 セキュリティプロトコルの「WPA」および「WPA2」を無効にする新たな手法が、新しい「WPA3」規格を調査中の研究者によって偶然発見された。 この攻撃手法を利用すれば、WPA/WPA2で守られたルータに侵入し、「Pairwise Master Key Identifier (PMKID)」機能を有効にしているWi-Fiパスワードを破ることができる。 セキュリティ研究者で、パスワードクラッキングツール「Hashcat」の開発者でもあるJens「Atom」Steube氏がこの手法を発見し、8月にHashcatフォーラムで公表した。 Steube氏はその時、新セキュリティ規格であるWPA3を攻撃する方法を調べていた。業界団体のWi-Fi Allianceが1月に発表
Wi-Fiのセキュリティプロトコル「Wi-Fi Protected Access 2(WPA2)」に脆弱性が複数確認されたという情報がベルギー、ルーヴェン・カトリック大学のセキュリティ研究者のMathy Vanhoef氏によって、10月16日に公開された。 この脆弱性は、WPA2の暗号化の仕組みを侵害するもので「Key Reinstallation Attacks(KRACKまたはKRACKs)」と名付けられている。WPA2の認証手続きの1つであり、トラフィックを暗号化する鍵の生成時に使用される「4-way handshake」で見つかったもので、脆弱性を悪用すると、暗号化の際に鍵と同時に利用される補助的変数(Nonce)がワンタイムパスワードのようにその都度生成されず、ハンドシェイク中にNonceおよびセッション鍵が再利用できてしまうという。 総務省では、現時点でこの脆弱性を悪用した攻撃
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
森永です。 今日起きたらセキュリティクラスタがWPA2の脆弱性でざわついてて焦りました。 先ほど詳細なレポートがでましたので内容をまとめます。 だいたい分かればいい人は概要だけ読んで下さい。 KRACK Attacks: Breaking WPA2 本ブログの内容について暗号の専門家による監修はありません。誤った表現や誤解を招く表現があればお申し付け下さい。 概要 報告者 ベルギーにあるルーヴェン・カトリック大学でネットワークや無線のセキュリティなどを研究している博士研究員であるMathy Vanhoef氏 内容 Wi-Fi Protected Access 2(WPA2)の脆弱性が見つかった(WPA1も対象) 攻撃手法の特徴から「Key Reinstallation AttaCKs(KRACKs)」と呼ばれる WPA2というプロトコルの脆弱性なので、特定の製品(OS、デバイスなど)に関係
WPA2 (Wi-Fi Protected Access II) は、無線 LAN (Wi-Fi) の通信規格です。 10月16日(米国時間)に、WPA2 における暗号鍵を特定される等の複数の脆弱性が公開されました。 本脆弱性が悪用された場合、無線LANの通信範囲に存在する第三者により、WPA2 通信の盗聴が行われる可能性があります。 現時点で、攻撃コードおよび攻撃被害は確認されていませんが、今後本脆弱性を悪用する攻撃が発生する可能性があります。 各製品開発者からの情報に基づき、ソフトウェアのアップデートの適用を行うなどの対策を検討してください。 なお、本脆弱性によりHTTPSの通信が復号されることはありません 図:脆弱性を悪用した攻撃のイメージ アップデートする 現時点で、本脆弱性を修正するための修正プログラムが公開されている場合は、アップデートを実施してください。 ---2017/10
Wi-Fiの暗号化技術「WPA2」に悪用可能な脆弱性が見つかった問題について、米Microsoftは10月10日の月例セキュリティ更新で対処したと語った。米The Vergeが10月16日(現地時間)に報じた。 このセキュリティ更新では、「悪意あるソフトウェア削除ツール(MSRT)」がアップデートされた。 MicrosoftはThe Vergeに送った声明文で「このUpdateを適用した顧客は保護される」とし、他のプラットフォームユーザーの安全のため「他社が同様のアップデートを開発・提供するまで詳細の説明は控える」と語った。 米Appleは米iMoreのアナリスト、ルネ・リッチー氏に対し、iOS、tvOS、watchOS、macOSのβ版で対処済みだと知らせた。正式版になるのは数週間後の見込みだ。 なお、Appleはリッチー氏に対し、Wi-Fiベースステーション「AirPort(日本ではA
Wi-Fiで使われている暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性があることが、専門家の指摘でこのほど明らかになった。暗号化技術の仕様自体に問題があり、Wi-Fiのセキュリティ機能でWPA2を使用する全ての機器に影響する可能性があるという。 ベルギーのルーヴェン・カトリック大学でセキュリティネットワークを研究するマシー・ヴァンホフ氏の指摘によれば、暗号鍵を管理する仕組み「WPA2」に関する脆弱性(コードネーム:KRACKs)を複数発見。「Key Reinstallation Attacks」と呼ばれる手法によって悪用できるという。 Wi-Fiの暗号化が容易に破られる事態になった場合、悪意のある人物がWi-Fiのアクセスポイントにパスワードなしで接続し、同じLANに存在するPCやスマートフォン、IoT機器などに侵入して悪用する恐れがあ
Wi-Fiの暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性が見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日(米国時間)、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。 脆弱性は、ベルギーのマシー・ヴァンホフ氏(ルーヴェン・カトリック大学)が複数発見したもの(コードネーム:KRACKs)。WPA2プロトコルの暗号鍵管理にいくつかの脆弱性があり、「Key Reinstallation Attacks」と呼ばれる手法で悪用が可能という。 Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に取り組み、加盟するメンバー企業が使用できる脆弱性検出ツールを提供、メーカー側にも必要なパッチを迅速に提供で
米国時間10月16日の朝はIT管理者にとって、いつにも増して憂鬱な月曜日の朝となった。WPA2の無線セキュリティを実質的に打ち破るバグが公開されたからだ。 「KRACK」(Key Reinstallation Attackの略)と名付けられたこのバグは、WPA2(Wi-Fi Protected Access II)の仕組みにおける根本的な脆弱性となる。 WEPを改善して策定された同セキュリティプロトコルは、ルータ、携帯端末、IoT(モノのインターネット)デバイスからのあらゆる通信を保護するために使われているが、このシステムの4ウェイ・ハンドシェイクに問題が存在する。 各ベンダーの対応は以下のとおり。 Apple:「iPhone」と「iPad」を提供する同社は米CNETに対し、「iOS」「macOS」「watchOS」「tvOS」に対する修正がベータ段階にあり、数週間のうちにソフトウェアアッ
2017年10月15日(現地時間)、Wi-Fi通信のセキュリティプロトコル「Wi-Fi Protected Access 2(WPA2)」に存在する脆弱性が複数確認されたことが明らかになり、その詳細が同月16日に公開されました。報道によると、これら脆弱性は、「Key Reinstallation AttaCKs」という手法により悪用されることから「KRACK」と呼ばれ、「概念実証(Proof of Concept、PoC)」の攻撃コード(現時点で非公開、参考動画)により WPA2 の暗号化の仕組みを侵害します。 WPA2 は、安全な暗号化通信を実現するための Wi-Fi認証のセキュリティプロトコルです。今回はこの WPA2 の鍵管理に脆弱性が確認されました。攻撃者は KRACK を悪用して Wi-Fi端末機器と Wi-Fi のアクセスポイントの通信を傍受したり、場合によっては通信を乗っ取る
問題のチップセットは、幅広いAndroid端末やiOS端末に搭載されている。AppleとGoogleはそれぞれ、7月に公開したセキュリティアップデートでこの脆弱性に対処した。 Android端末やiOS端末に幅広く搭載されているBroadcom製Wi-Fiチップセットの脆弱(ぜいじゃく)性を突いて、リモートで端末を制御する方法に関し、セキュリティ研究者が7月27日にセキュリティカンファレンス「Black Hat USA 2017」で発表を予定している。 AppleとGoogleは、それぞれ7月に公開したセキュリティアップデートで、この脆弱性(CVE-2017-9417)に対処済み。米セキュリティ機関のSANS Internet Storm Centerは、手持ちの全デバイスでアップデートが適用されていることを確認するよう促した。 27日の発表を予定しているExodus Intelligen
Chris Duckett (TechRepublic) 翻訳校正: 川村インターナショナル 2014-07-07 15:06 電子フロンティア財団(EFF)は、バージョン3.1以降の「Android」搭載スマートフォンでWi-Fi接続の履歴が漏えいしていることを発見した。デバイスの画面がオフのときにWi-Fi履歴が外部に漏れるという。 原因は、Linuxや一部のBSDでよく使用されるWi-Fiツール「wpa_supplicant」のバグにある。問題を発見したEFFはブログ記事で、ユーザーの位置情報の履歴をAndroidの挙動から特定されてしまうおそれがあると述べている。 「この位置情報の履歴とは、ユーザーのスマートフォンが過去に接続したワイヤレスネットワークの名称である。これらの情報から、ユーザーが訪れた場所を特定されることが多い。たとえば、家(「TomのWi-Fi」)や職場(「XYZ社
Vulnerability lets attackers hijack iOS apps' web requests over WiFi (video) Be careful which WiFi hotspots you use -- Skycure has just revealed a web-based exploit that lets attackers hijack a iOS device on the same network through its mobile apps. The technique intercepts some apps' attempts to cache a web status message, redirecting the request to a hostile server; after that, an intruder can s
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く