1分の攻撃を実現したWPA-TKIPへの中間者攻撃

詳しくは、T. Ohigashi and M. Morii、 A practical message falsification attack on WPA、 Proc. the Fourth Joint Workshop on Information Security (JWIS2009)、 CDROM、 5A-4、 2009.を参照いただきたいが、筆者らの研究グループの中間者攻撃は、先に提案されたBeck-Tews攻撃を改良し、現実的な攻撃法として発展させたものである。

Beck-Tews攻撃では、WPA-TKIPの改竄防止機構とフラグメント化された各平文に対するCRC-32によるエラーチェック機構の脆弱性を利用している。特にIEEE 802.11eという8つのチャネルに対して異なるデータを処理可能であることに着目し、過去に破棄されたパケットを再度利用できることを指摘した。これらの事実を利用し、結果的に暗号化されたパケットからすべての平文情報を復元し、平文と暗号文を XORすることで対応するキーストリームも復元できることを示した。

また WPA-TKIPで用いられるメッセージ完全性符号(MIC)としてのMichealが可逆な関数であることから、MIC鍵を推定することによって、復元したキーストリームのサイズまでの暗号化パケットを偽造可能とした。 先に、Beck-Tews攻撃は機器が限定され、攻撃に12~15分の時間を攻撃に要すると述べた。これに対し、筆者らの研究グループはIEEE 802.11e以外の無線LAN機器に適用可能かつ大幅に攻撃時間を短縮する方法を提案している。

それを実現するため、中間者攻撃を適用している。中間者攻撃とは、攻撃者がアクセスポイントとクライアントの中間に入り、送受信者間の直接の通信を遮断させた状態で攻撃を行う方法である。したがって攻撃対象として、直接通信が行えない距離にあるアクセスポイントとクライアントを仮定する。送受信者が直接通信が行えない状況では、受信者のTSCカウンタ(順序を保持することによって過去のパケットを排除するためのカウンタ)の値が増加しないため、 リプレイ(パケット再利用)攻撃が可能になる。

Beck-Tews攻撃ではMIC鍵を得ているという条件でさえ4分程度を攻撃に要するが、4分の通信途絶時間が生じることは改竄攻撃を困難にする。筆者らの研究グループの提案する攻撃法では MIC鍵復元モードを実行する際に得られる MIC鍵以外の情報や確率的な方法を利用することで実行時間を短縮する。 理論的な評価では約37%の確率で1分以内に攻撃が成功することを、具体的な攻撃方法とともに明らかにした。この1分という攻撃所要時間は上限値である。

具体的な攻撃方法を実装して数値実験を行った結果、上限値を1分としたメッセージ改竄モードの攻撃実行時間は最大でも20秒、平均10秒程度であり、0.2秒の時間で改竄が可能な場合もあることが確認できている。現在、更なる短時間処理を試みている。

筆者らの研究グループが与えた攻撃方法は、WEPの解読法のようにパスフレーズを直接解読するわけではないが、ARPポイズニングや DNSポイズニングを実行することで現実的な被害を生じさせることが可能で、通信システムとしては極めて危険な状態に置かれることになる。

WEPの解読法では暗号化された数万パケットを盗聴するだけの、いわば受動的攻撃で、特別な装置も必要なく極めて容易に鍵(パスフレーズ)を導出可能であったが、WPA-TKIPに対しては中間者攻撃を利用することから、周到な準備が必要であり、かつ現状ではARPパケットのような短いパケットの偽造のみ可能である。上記のような現実的な被害は十分予想されるが、無線LAN以外のセキュリティ機器において攻撃を排除することも可能である。

暗号システムの脆弱性の本質を見誤るな

WEPはもはや暗号としての体をなさず、「名」のみの効果しか期待できない。その暫定的な後継であるWPA-TKIPにおいても脆弱性が発見され、具体的な攻撃方法が提案されている。現状では、無線LAN機器以外のセキュリティ機器に対し十分な注意を行うことで致命的な被害を避けることが可能と考えられるが、脆弱性の完全排除には至らず、その点を十分留意すべきである。

無線LAN暗号化に限らず、暗号化システムには、利用する基本暗号と呼ばれる、例えば、RC4やAESといった暗号アルゴリズムに気を取られ過ぎという問題がある。暗号アルゴリズムは最重要だが、その脆弱性が問題となることは少ない。暗号化システムにとって脆弱性となり得るのは、運用を含む鍵(秘密鍵、パスフレーズ)の管理や暗号アルゴリズムにおける暗号システムとしての利用法である。

WEPの解読においても、若干のRC4自体の脆弱性の利用もあるものの、IVを含む鍵管理とその利用方法が問題となって、解読に結び付いている。現在でもRC4はその運用に留意すれば、実用上安全なのである。WPA-TKIPの脆弱性もRC4に問題があるのではなく、暗号システム自体の脆弱性なのだ。RC4を例えばAESに置き換えたとしても、その脆弱性に変わりはない。

結果として、筆者らが今回のWPA-TKIPに提案した攻撃モデルは、WPA2やWPA-PSK(AES)へは適用できない。これはAESを利用しているから適応できないのではなく、CCMPというAESの利用法に工夫を加えているからである。無線LAN暗号化を含めて、暗号システム全般において、「AES(鍵長256ビットの方式を含めて)であれば安全」は単なる都市伝説にすぎない。

執筆者プロフィール

森井昌克
神戸大学大学院工学研究科教授。8月6-7日に台湾で開催されたJWIS 2009で、WPAを破る手法を公開した。その論文はJWIS 2009のサイトで確認できる。