ベルギーのセキュリティ研究者であるMathy Vanhoef氏がこのほど、WPA2(Wi-Fi Protected Access II)に脆弱性が存在すると発表(「Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse」)したことを受けて、世界中のメディア、セキュリティベンダー、OSベンダー、ネットワーク機器ベンダーなどが注意喚起やアップデート提供を開始した。

発表された脆弱性は世界中のWi-Fiデバイスに影響を与えるものと見られ、その影響範囲はかなり広いことが予測される。

さまざまな情報が発表されているが、10月16日(米国時間)に「Homelang Security|Vulnerability Notes Database - Advisory and mitigation information about software vulnerabilities」に掲載された記事「Vulnerability Note VU#228519 - Wi-Fi Protected Access II (WPA2) handshake traffic can be manipulated to induce nonce and session key reuse」などがわかりやすい。

Vulnerability Note VU#228519 - Wi-Fi Protected Access II (WPA2) handshake traffic can be manipulated to induce nonce and session key reuse

Vulnerability Note VU#228519 - Wi-Fi Protected Access II (WPA2) handshake traffic can be manipulated to induce nonce and session key reuse

今回発見された脆弱性はソフトウェアのアップデートで対応できることがわかっており、すでにパッチの提供を開始しているベンダーやプロジェクトもある。懸念すべき点はアップデートすべき対応が多岐にわたると見られるため、長期にわたって根気よくWi-Fiを使っているデバイスやシステムのアップデートを実施する必要がある点。

また、アップデートが提供されないプロダクトも存在していると見られ、長期にわたるプロジェクトにおいて脆弱性を抱えたままプロダクトが使われ続けることも懸念される。今のところ、対象の脆弱性を悪用した攻撃は報告されていないが、今後この脆弱性を悪用した情報窃取などが発生する可能性がある。今後のセキュリティ情報に注意するとともに、根気よくプロダクトのアップデートを実施していくことが望まれる。