最終更新日: 2017/10/25
2017年10月16日 (米国時間)、CERT/CC は WPA2 に関する脆弱性の情報を公開しました。この一連の脆弱性を報告した研究者によると、WPA2 のハンドシェイク中に Nonce およびセッション鍵の再利用を許容してしまう問題があるとのことです。この問題を悪用された場合、第三者が、中間者攻撃によって得たパケットを復号するなどの可能性があり、研究者からは説明を含めた動画が公開されています。当該脆弱性の影響を受けるとされる製品は複数存在しています。影響を受ける製品の利用者は、開発者からの情報に基づいて、修正済みのバージョンにアップデートするなど、適切な対応をとることが望まれます。
参考文献 (日本語)
Japan Vulnerability Notes JVNVU#90609033
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
https://jvn.jp/vu/JVNVU90609033/
情報処理推進機構 (IPA)
WPA2 における複数の脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html
参考文献 (英語)
CERT/CC Vulnerability Note VU#228519
Wi-Fi Protected Access (WPA) handshake traffic can be manipulated to induce nonce and session key reuse
https://www.kb.cert.org/vuls/id/228519/
KRACK Attacks: Breaking WPA2
Key Reinstallation Attacks
https://www.krackattacks.com/
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-10-25」
https://www.jpcert.or.jp/wr/2017/wr174101.html