Android Security Bulletin—November 2017

Android Studioデベロップメントチームは11月6日(米国時間)、「Google Fixes The KRACK WiFi Exploit For Android, Download OTA Now」において、KRACK(Key Reinstallation AttaCKs)と呼ばれる、Wi-Fiの暗号化技術「WPA2」の脆弱性の修正を含んだセキュリティパッチの提供を発表した。このパッチは、KRACK以外にもさまざまな脆弱性が修正されており、該当するAndroidを搭載したデバイスを利用している場合はアップデートの実施が望まれる。

「KRACK」は、2017年10月にベルギーのセキュリティ研究者Mathy Vanhoef氏によって発表された(Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse)された脆弱性。この脆弱性はWi-Fiを使用する世界中のデバイスが影響を受けることから影響範囲が世界中に及ぶと見られ、注目を集めている。

AppleやMicrosoftはすでにこの脆弱性に対応したアップデートの提供を実施。ほかのベンダーも随時KRACKに対応したアップデートを随時公開している。Androidは世界中で最も多く使われているスマートフォン/タブレットデバイス向けのオペレーティングシステムとされているが、バージョン間の分断が多く、さらにアップデートの適用がiOSと比べると遅いという点が問題視されている。いくつかのAndroidデバイスは今後アップデートが提供されない可能性もあり、脆弱な状態のままのデバイスが相当数残り続ける点が懸念される。