IPAは10月17日、無線LAN(Wi-Fi)のセキュリティプロトコル「WPA2(Wi-Fi Protected Access II)」に関する脆弱性について、概要および利用者向けの対策を公開した。

10月16日(米国時間)、WPA2における暗号鍵を特定されるなどの複数の脆弱性が公開された。発見された脆弱性が悪用された場合、無線LANの通信範囲に存在する第三者により、WPA2通信の盗聴が行われる可能性がある。

発表時点で、攻撃コードおよび攻撃被害は確認されていないが、今後、同脆弱性を悪用する攻撃が発生する可能性として、IPAは注意を呼びかけている。なお、同脆弱性により、HTTPSの通信が復号されることはないという。

WPA2の脆弱性を悪用した攻撃のイメージ 資料:IPA

IPAは利用者向けの対策として、修正プログラムの適用、修正プログラムが公開されていない場合に行うべき回避策を紹介している。

アップデートについては、同脆弱性を修正するための修正プログラムが公開されている場合は、修正プログラムを適用する。Windows については、Microsoft修正プログラムが10月に公開されている。

Microsoft Corporation Information for VU#228519
https://www.kb.cert.org/vuls/id/CHEU-AQNMYP

脆弱性に関わるOSなどに関して修正プログラムが公開されていない場合は、IPAは以下の回避策の実施を検討することを推奨している。

  • HTTPのWebサイトで重要な情報を送信しない。重要な情報を送信する場合、HTTPS 接続されていることを確認してから送信する。

  • VPN を利用する。

  • 有線LAN を利用する。