Wi-Fi の脆弱性の発見において確かな実績を持つセキュリティ研究者が、新たな脆弱性を発見しました。そのいくつかは Wi-Fi 標準のコア セキュリティ プロトコルの一部であるため、1997 年以降のほぼすべてのデバイスに存在しています。
これらの脆弱性を悪用されると、機密データの盗難、スマートホームデバイスの制御、さらには一部のコンピューターの乗っ取りにまで利用される可能性があります。しかし、朗報が2つあります。1つ目は、一般ユーザーにとって現実的なリスクは非常に小さいということです。2つ目は、こうした小さなリスクから身を守るのは容易だということです。
これらの問題は、Wi-Fi規格の欠陥発見で名を馳せているベルギーのセキュリティ研究者、マシー・ヴァンホフ氏によって発見されました。今回の最新の脆弱性は、最新かつ最も安全な規格であるWPA3にも影響を与えています。
このウェブサイトでは、Wi-Fiデバイスに影響を与える新たなセキュリティ脆弱性であるFragAttacks(断片化攻撃と集約 攻撃) について紹介しています。被害者の無線範囲内にいる攻撃者は、これらの脆弱性を悪用してユーザー情報を盗んだり、デバイスを攻撃したりする可能性があります。
発見された脆弱性のうち3つはWi-Fi規格の設計上の欠陥であり、ほとんどのデバイスに影響を与えます。さらに、Wi-Fi製品に広く見られるプログラミングミスに起因する脆弱性もいくつか発見されました。実験の結果、すべてのWi-Fi製品が少なくとも1つの脆弱性の影響を受けており、ほとんどの製品が複数の脆弱性の影響を受けていることが示されています。
発見された脆弱性は、最新のWPA3仕様を含む、Wi-Fiのあらゆる最新セキュリティプロトコルに影響を及ぼします。Wi-Fiの元祖セキュリティプロトコルであるWEPも影響を受けます。つまり、新たに発見された設計上の欠陥のいくつかは、1997年のWi-Fiリリース以来、既に存在していたことになります。
Vanhoef は 3 種類の攻撃を示すビデオを公開しています。
この動画では、攻撃者が脆弱性を悪用する3つの例を示しています。まず、集約設計上の欠陥を悪用して機密情報(被害者のユーザー名やパスワードなど)を傍受する例を示します。次に、攻撃者がスマートコンセントを遠隔操作でオン/オフすることで、安全でないIoTデバイスを悪用する方法を示します。最後に、これらの脆弱性が高度な攻撃を仕掛けるための足掛かりとして悪用される様子を示します。特に、この動画では、攻撃者がローカルネットワーク内の古いWindows 7マシンを乗っ取る方法を示しています。
これらは、一般的には使用されていないユーザー操作とネットワーク設定に依存するため、実際のリスクは小さくなります。
可能な限り HTTPS ウェブサイトを使用し、公共ホットスポットでは VPN を使用することで、保護を最大限に高めることができます。
HTTPS Everywhereは、ウェブサイトがHTTPSをサポートしている場合、デフォルトのウェブページがHTTPバージョンであっても、強制的にHTTPSを使用するようにする機能です。Chrome、Edge、Firefox、Operaで利用可能ですが、残念ながらSafariでは利用できません。BraveとTorブラウザにはすでに含まれています。
swiipo.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
