【レポート】

WPAを破った森井教授からの提言- 無線LAN暗号化の脆弱性~暗号化の意味と真の問題点~

1 無線LANの暗号「WEP」と「WPA」の安全性を検証

森井昌克
 
  • <<
  • <

1/2

当初から脆弱性を指摘されていたWEPだが……

1997年に規定されたIEEE 802.11をはじめとして最新のIEEE 802.11nでも、無線LANの性質上、空間を伝搬している信号を誰にも気づかせることなく盗聴することが可能である。特に伝搬範囲を正確に制限することが難しく、利用を想定している範囲外(室外)に信号が伝搬することからその対策が必須となる。

信号電力を制御することや電波を遮蔽することは事実上不可能であることから、物理的ではなく、いわゆる論理的に信号を処理する必要がある。すなわち暗号化を行って、利用を制限する必要がある。当初このため、提案された暗号化の規格が「WEP(Wired Equivalent Privacy)」あった。

WEPではRC4というストリーム暗号が用いられ、104ビットの鍵と24ビットのIV(Initial Value)が設定されている。通信相手間だけで104ビットの鍵(秘密鍵)を秘密にしておくことによって、暗号通信が成り立ったのである。24ビットのIVの役割は同一の平文(元のメッセージ)において、同じ暗号文になる可能性を低くするためである。

WEPに対する脆弱性は当初から指摘され、特に2001年のFluhrerらによるFMS攻撃は、IVの設定方法による脆弱性を用いて、短時間で秘密鍵を導出することが示された。しかしながら、IVの設定を工夫することでFMS攻撃を避けることが可能であり、その後の拡張した攻撃法でも、短時間で秘密鍵を導出することは困難であった。

2007年になって、ダルムシュタット大学のTewsらが(この時、Tewsは大学院修士課程の学生)、IVによらず高速に104 ビットの秘密鍵を導出する方法を提案し、実際に解読ツールを作成して実証も行っている。この攻撃はPTW攻撃と呼ばれる。

PTW攻撃は強力ではあるものの、大量のARPパケットが必要となり、このARPパケットを得るために、ルータに対してARPインジェクション攻撃を行う必要がある。このARPインジェクション攻撃はIDSなどで対処可能で、PTW攻撃を排除することが可能である。

2008年10月、筆者らの研究グループはARPパケットに依存することなく、また、2万パケットから3万パケットの暗号化されたパケットを観測するだけで、104ビットの秘密鍵を一瞬で導出できる方法を提案した。TeAM-OK(Teramura-Asakura-Morii-Ohigashi-Kuwakado)攻撃と呼ばれる。この攻撃法の出現によって、WEPは名実ともにもはや暗号としての体を成さなくなったのである。

WEPの後継「WPA-TKIP」は安全なのか?

FMS攻撃に始まるWEPに対する数々の脆弱性の発見から、その後、WEPの後継となるべき、新たな無線LAN暗号化方式が定められた。それが「WPA(Wi-Fi Protected Access)」である。ただし、WPAは当初の方式であるWEPと互換性がなく、ミドルウェアなどの入れ替えの必要で、場合によってはハードウェア自体まで入れ替える必要があった。

したがって暫定的な処置として、WEPと互換性を保ちつつ、WEPの脆弱性を取り除いた方式「WPA-TKIP」も規定された。WPA-TKIPはWEPと同様、RC4というストリーム暗号を用いているが、IVの利用方法と暗号文の生成方法が改良されており、従来のWEP対応のほとんど無線LAN機器で利用可能であった。

そのため、WEPの安全性について強い疑念が広まったこの数年において、大量にWEP対応の無線LAN機器を有する事業所などではWPA-TKIPに変更された。現在でも、WEPとの互換性に対する優位さからWPA-TKIPの利用は少なくない。

2008年11月、 BeckとTewsはWPA-TKIPの改竄検出用鍵(MIC鍵)を復元でき、 ARPパケットやDNSパケットのような小さなサイズの暗号化パケットの偽造が可能となる攻撃(Beck-Tews攻撃)を提案した。Beck-Tews攻撃は任意のマスタ鍵(秘密鍵、パスフレーズ)に対して有効、なおARPポイズニングやDNSポイズニングの実行により現実的な被害が生じることから注目を集めた。しかし、同方法は攻撃に12~15分を要すうえ、IEEE 802.11eをサポートしている無線LAN機器という限定的な条件での攻撃法であるため、一般の無線LAN機器に有効とは言えないという短所があった。

2009年8月、台湾でのWIS2009において筆者らの研究グループは中間者攻撃を前提とした攻撃を提案し、 IEEE 802.11eをサポートしていない無線LAN機器に対してもメッセージの改竄を可能にした。さらに、メッセージ改竄モード(MIC鍵が得られている条件におけるメッセージ改竄処理 )を改良し、 1分程度でパケットの偽造が可能になる場合があることを示した。

  • <<
  • <

1/2

インデックス

目次
(1) 無線LANの暗号「WEP」と「WPA」の安全性を検証
(2) 考案者自らWPA-TKIPを1分で攻撃できる理由を解説


IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

東京メトロ「Find my Tokyo.」キャンペーン第2弾、石原さとみが麻布十番に
[18:54 7/1] ホビー
JALオリジナル「Pontaカード」が登場
[18:51 7/1] マネー
東京メトロ日比谷線神谷町駅直結のオフィスビル建設へ - 2018年完成めざす
[18:43 7/1] ホビー
東急東横線渋谷駅、発車メロディがドラクエの「序曲」に! 7/5から期間限定
[18:37 7/1] ホビー
「京王帝都電鉄2400形」鉄コレがもらえる「京王電車スタンプラリー」を開催
[18:32 7/1] ホビー

求人情報