新セキュリティ規格「WPA3」は、わたしたちの通信をいかに守ってくれるのか?|WIRED.jp

ほぉ・・・


無線LANの業界団体であるWi-Fiアライアンスが、Wi-Fiのセキュリティー新規格「WPA3」を6月28日に発表した。単調なパスワードをハッカーから守り、IoT機器のセキュリティーを強化し、公衆Wi-Fiの安全性も高めるというこの新規格。その詳細を解説する。

TEXT BY BRIAN BARRETT
TRANSLATION BY ASUKA KAWANABE

WIRED (US) 

IMAGE BY ALYSSA FOOTE
IMAGE BY ALYSSA FOOTE

世界には、人間より多くの数のWi-Fi機器が存在している(アクティヴに使われているWi-fi機器は約90億あるという)。それゆえ、Wi-Fiをハッカーから守ることは、サイバーセキュリティにおける最重要タスクのひとつである。

次世代のセキュリティ規格「WPA3」の登場が注目に値するのはそのためだ。この新規格はWi-fi接続を安全にするだけでなく、あなたを自分自身のセキリュティー不足から守ってくれる。

Wi-Fiが「安全なテクノロジー」に

無線LANの業界団体であるWi-Fiアライアンスは6月26日、今年1月に概要を発表していたWPA3に関する詳細を明らかにした。
わたしたちがWPA3の恩恵をフルに受けられるようになるまでには、まだしばらく時間がかかる。Wi-Fiアライアンスの予想では、WPA3が広く搭載され始めるのは、早くて2019年後半だ。

しかしセキュリティの専門家たちは、このWPA3搭載によって、あなたがおそらく何よりも頻繁に使っているWi-Fiというテクノロジーに対する重要かつ先延ばしにされてきた改善が行われると考えている。

「セキュリティ関係の人間に聞けば、ほぼ全員が『Wi-Fiを使うな』あるいは『いますぐVPNを使え』と答えると言ってもいいくらいです」と、セキュリティ企業Rapid 7で最高データ責任者を務めるボブ・ルディスは言う。「しかし、いまWi-Fiは『もし行き先と自分のデヴァイスがWPA3を使っているなら、そのロケーションでWi-Fiを使っても大丈夫だよ』と言えるようなものになろうとしているのです」

あなたの単調なパスワードも守る

まずはWPA3が家にいるあなたをどうやって守るかを見ていこう。具体的に言うとWPA3は、よく考えずにつけたパスワードから生じるダメージを軽減してくれるのだ。

2004年から使われている現行のセキュリティ規格「WPA2」には、「オフライン辞書攻撃」という方法によってハッカーにパスワードを当てられてしまうという根本的な弱点があった。この方法では攻撃者が同じネットワークにいることなくパスワードを辞書順に何度も試せるため、比較的簡単に正解を当てられてしまうのだ。

「わたしが誰かと会話しようとしていて、あなたはその内容を盗聴したいとしましょう。オフライン攻撃では、何もせずにそこに立って会話を目撃したり、1回わたしと接触したりするだけで準備が完了します。その後あなたは立ち去り、別の場所でクラウドコンピューティングサーヴィスを使って総当たりの辞書攻撃を仕掛けられるのです。パスワードを見つけ出すまで、2度とわたしと接触する必要はありません」と、Wi-Fi Alliance幹部のケヴィン・ロビンソンは言う。

しかし、こうした攻撃にも限界はある。「16文字や30文字のパスワードをつくったら、それを当てることは不可能です」と情報セキュリティ会社のCounter Hackでシニア・テクニカルアナリストを務めるジョシュア・ライトは言う。

チャンスがあるのは、そうでない場合だ。「問題は慎重でない消費者たちです。パスワードがイニシャルとお気に入りのクルマの名前だったりします」。もし身に覚えがあるようなら、すぐにパスワードを変えてほしい。

一方、WPA3は新しい鍵交換プロトコルを採用することによって、こうした攻撃からあなたを守ってくれる。

現行のWPA2が暗号化通信を行うために使っていたのは、不完全な「4ウェイハンドシェイク」だ。ほぼすべてのコネクテッドデヴァイスに影響する、悪名高い「KRACK」脆弱性[日本語版記事]の原因である。そしてWPA3は、より安全かつよく精査された「SAE(Simultaneous Authentication of Equals)ハンドシェイク」を用いることによって、これを回避する。

技術的な違いはいくつもあるが、あなたに関係する結果は2点だ。まず辞書攻撃が基本的には使えなくなる。

「今回の新たなシナリオでは、パスワードを当てようとするたびにわたしと接触しなければならなくなります」とロビンソンは言う。つまり、あなたがペットの名前をWi-Fiに使っているとしたら、ハッカーがそれを時間をとって当てる可能性はぐんと低くなるわけだ。

もうひとつのメリットは、パスワードが万が一当てられたときに発生する。新しいハンドシェイクによって、WPA3は前方秘匿性(Forward Secrecy)を提供している。つまり、外部者がアクセスを得た時点より前のデータトラフィックは、その後も暗号化を保ち続けるということだ。WPA2では、過去の通信を解読する手もある。

IoT接続は失敗できないほど簡単かつ安全になる

WPA2が2004年に登場したとき、IoT技術は現在恐れられている「すべてを奪うセキュリティホラー」のような危機からはほど遠いものだった。IoT機器を既存のWi-Fiネットワークに安全にのせる合理的な方法を、WPA2が提供していないのも当然である。

さらに、現在普及しているWPS(Wi-Fi Protected Setup)の脆弱性は2011年から知られている。こうした問題を解決するのがWPA3だ。

WPA3の「Wi-Fi Easy Connect」機能を使えば、ディスプレイや入力機器がまったくない(あるいは限定的な)ワイヤレス機器もネットワークに追加しやすくなる。スマートフォンでルーターに掲載されたQRコードを読み取り、さらにプリンタやスピーカーなどのIoT機器に掲載されたQRコードを読み取る。

これで完了だ。機器は安全に接続される。QRコード方式を使うことで、いままでシンプルで安全な方法がなかった公開キーベースの暗号化が可能になるのだ。

「現在のところ、IoT機器を十分に安全に利用するは難しい。機器にスクリーンやディスプレイがないからです」とルディスは言う。Wi-Fi Easy Connectがあれば、その問題が解決できる。「WPA3によって、機器は自動的に安全かつクローズドなネットワークに接続されることになります。さらに認証情報もロックできるので、IoT機器を安全に展開するのがいまよりぐんと簡単になるのです」

もう一度言うが、Wi-Fi Easy Connectのいちばん素晴らしいところは、その手軽さにある。ただ安全なだけではない。失敗するのが不可能なのだ。

公共Wi-Fiの安全性も向上

その手軽さは、Wi-Fiアライアンスが数週間前に発表した「Wi-Fi Enhanced Open」でも同様だ。

公共Wi-Fiで重要なブラウジングやデータ入力をすべきでないという話を聞いたことがあるだろう。それはWPA2において、同じパブリックネットワークにいる人なら誰でもあなたのアクティヴィティを見ることができ、中間者攻撃やスニッフィングといった侵入のターゲットにできるからだ。

WPA3ではどうかというと、そう簡単にはいかない。カフェにあるWPA3のWi-FiにWPA3対応のデヴァイスでログインすれば、通信は追加の認証情報なしに自動的に暗号化される。OWE(Opportunistic Wireless Encryption)という確立された技術を使うことによってこれが可能になった。

「WPA3では、あなたがワイヤレスネットワークに接続しようとしたその瞬間からデフォルトで通信が暗号化されます」とルディスは言う。「これが根本的に大きなことです」

パスワード保護の面について話すと、WPA3による公衆Wi-Fiの暗号化は、ユーザーがそもそも存在にすら気づいていない脆弱性から守ってくれる。もしかしたら、Wi-Fiユーザーが安全性を過信しすぎてしまうくらいにだ。

「悪意があるわけではありませんが、完全に攻撃を止めることもできません」とライトは言う。「これは部分的な解決策です。消費者たちはWPA3のおかげで自動暗号化のメカニズムがはたらくと考えるかもしれませんが、わたしが懸念しているのはそれが完全無欠ではないことです。例えば攻撃者がアクセスポイントを偽装して、その機能をオフにしてしまうことも可能になります」

オープンに吟味されたテクノロジー

技術の詳細が発表されたいまでも、WPA3について話すのは時期尚早にも感じられる。クアルコムのような大手企業は、すでに今年の夏からの搭載に向けて取り組んでいる。しかし、WPA3の恩恵を最大限に受けるにはさまざまなアップグレードを行い、エコシステム全体がこの新規格を採用しなければいけない。

WPA2がそうだったように、それも時間が経てば実現するだろう。WPA2との後方互換性のおかげで、WPA3が搭載された新しい機器は登場次第、すぐにその効果を発揮するとWi-Fiアライアンスのロビンソンは言う。

「ユーザーが能力の違う機器をもっているであろう最初期でも、WPA3のネットワークにつなげればすぐに移行モードに切り替えることができます。WPA3対応の機器はすぐにその恩恵を受けることができ、WPA2対応の機器もそのまま継続して接続できるのです」

しかし、WPA3には文字通りコストがかかる。「この技術の落とし穴は、みんながあらゆるものを新しく購入しなければならない点です」とルディスは言う。「とはいえ、少なくともいまよりも格段に安全なセットアップを提供するフレームワークではあります」

もうひとつ大事なのは、このフレームワークは普段と違って、研究者たちがすでに念入りに点検した解決策を使っているという点だ。

「5年前、Wi-Fiアライアンスは詳細を外部に発表しないまま自力でセキュリティ規格を開発し、結果それが多くの問題を含んでいることが明らかになりました」とライトは言う。「今回はもっとよく研究かつ吟味された、自信のあるプロトコルを使っています。さらに、彼らはシステムの詳細を秘匿しようともしていません」

道理にかなっている。地球上でいちばん広く使われているテクノロジーを守ろうというのだから、チャンスを見逃すわけにはいかないのだ。

情報源:新セキュリティ規格「WPA3」は、わたしたちの通信をいかに守ってくれるのか?|WIRED.jp


へぇ・・・