無線LANセキュリティ技術として利用されているWPAだが、より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。
日本の2人の研究者の発表によれば、同氏らが開発した手法を使えばWPAを利用したいかなるシステムであっても、1分とかからずに突破が可能だという。WPAの前身となるWEPの解読が数秒程度で可能なことはすでに知られているが、WPAもまたその脆弱性が明らかになりつつあるようだ。
今回の研究を発表したのは広島大学の大東俊博氏と神戸大学の森井昌克氏の2名で、8月6-7日に台湾で開催されたJWIS 2009 (Joint Workshop on Information Security 2009)の学会でその詳細が公開されている。JWIS 2009のサイトでその論文「A Practical Message Falsification Attack on WPA 」の内容が確認できる。
鍵長が短く、通信中に鍵の内容が変化しないWEPは潜在的な脆弱性を抱えていることは早期から知られており、その数々の問題を解決すべく実装が行われたのがWPAでサポートされている「TKIP (Temporal Key Integrity Protocol)」という方式だ。
TKIPの暗号化方式自体はWEPと同じものだが、鍵長が長くなっているほか(128bit)、一定時間ごとに鍵の内容が変化し、さらにパケット改竄やアクセスポイント偽装に対抗するためにMIC (Message Integrity Check)という64bitのメッセージダイジェストが追加されている。
WPAは無線LANのセキュリティ標準であるIEEE 802.11iの実装の一部であるとされ、より強力な暗号方式であるAES (Advanced Encryption Standard)を搭載したWPA2をサポートする機器が、802.11i標準準拠の製品として市販されている。これが802.11i、WPA、そしてWPA2の関係だ。
今回問題となったWPAでは、以前にもRobert Moskowitzという研究者が提案した方式で、「ブルートフォース」と呼ばれる辞書攻撃に弱いことが指摘されていた。だが辞書攻撃自体はパスフレーズを長くて複雑なものにすることで対処可能であり、現実的にこの時点では脅威ではなかった。
その後、2008年にドイツのErik TewsとMartin Beckという2人の研究者の発見した方法により、15分以内にWPAのセキュリティを破ることが可能になった。これはARPパケットやDNSパケットなどの短いパケットを抽出してMICキーを取り出す方法で、IEEE 802.11eのQoSを利用している無線LAN環境に限定されるものの、WPAのセキュリティを実際に破ることが可能であるということを証明した。この攻撃手法は「Beck-Tews Attack」と呼ばれている。
大東氏と森井氏が今回発見した手法はBeck-Tews攻撃をさらに発展させたもので、パケットを盗聴するマシンを無線LANアクセスポイントと利用者のPCの間に介在させ(いわゆる"Man-in-the-Middle"攻撃)、中継ポイントとしてBeck-Tews攻撃を行うことで1分以内での解読を可能にした。通常のBeck-Tewsとは異なり、この方式ではQoS利用の有無を問わないため、あらゆるWPAシステムに適用が可能だという。また、MITM攻撃を行うにあたっては指向性アンテナを利用することで、より効果的に(気付かれずに)短時間に処理が可能になる。
この発見により、WPAは無線LANのセキュリティ技術としては意味をすでに成していない可能性がある。いまだセキュリティ方式として広くWEPが利用されている一方で、攻撃者側の手法はかなり洗練されてきており、特に機密情報を扱う企業では早急なWPA2への移行準備が必要になるかもしれない。今回の研究論文については、9月25日に広島大学で開催予定の研究会でデモストレーションを交えて発表される予定だという。