Wi-Fi・WPA2の脆弱性「KRACK」、AppleとGoogleが数週間で対応。今できる対策は？

Wi-Fiで最高のセキュリティを誇り、自宅のWi-Fiや無料のWi-Fiスポットでも積極的に採用されている暗号化方式「WPA2」に脆弱性（ぜいじゃくせい）が見つかった。この脆弱性には「KRACK（クラック）」との名前が付いている。

iPhone／iPad／iPod touchのiOSを提供するAppleと、AndroidのGoogleは今後数週間中にアップデートで対応することを発表した。ユーザーとして今できる対策はあるのだろうか。

Wi-Fi・WPA2の脆弱性「KRACK」とは？

KRACKとは、Wi-Fiの暗号化方式「WPA2」の脆弱性のこと。具体的にはWPA2で暗号化されたデータを複合してWi-Fiユーザーのメールやパスワードなどネットで送受信したすべてのデータを攻撃者に把握されてしまうというものだ。この脆弱性はデバイスのOSをアップデートすることで対応が可能だ。

AppleはiOS／macOS／watch OS／tvOSのベータ版で既に対処済みであることを明らかにした。Appleは現在、開発者とテスターに「iOS 11.1 ベータ3版」を提供しており、10月下旬ごろに提供されるはずだ。

Apple has confirmed to me that #wpa2 #KRACK exploit has already been patched in iOS, tvOS, watchOS, macOS betas.

Deeper dive to follow.

— Rene Ritchie (@reneritchie) 2017年10月16日

The Vergeによると、Googleは問題を認識していて数週間中に影響をうける全てのデバイスにパッチ（アップデート）を提供するとしている。Pixelには11月6日に配信予定のセキュリティアップデートで解消する予定。なお、Android 6.0以降のデバイスではKRACKによる攻撃が非常にカンタンでより深刻と報じられている。

なお、CERTのサイトではベンダーごとにKRACKの影響を受けるか否かが公開されている。「Affected」は影響あり、「Not Affected」は影響なし、となっている。

今できる「KRACK」対策は？

パスワードやメールなど暗号化されたデータを全て復号してしまう「KRACK」の対策はWPA2を利用しないことだ。ただし、「WPA」や「WEP」といった他の暗号化方式はWPA2よりもセキュリティ性が低いため別の注意が必要となる。

また、KRACKを使った攻撃はWi-Fiスポットの圏内で行う必要があるため、人が集まる無料のWi-Fiスポットや集合住宅ではより一層の注意が必要になる。

今できる「KRACK」対策は各社からアップデートが提供されるまではできるだけ無料Wi-Fiの利用を控え、スマートフォンの4G/LTEを利用するのがベストだろう。どうしてもWPA2のWi-Fiを利用する場合は会員登録はもちろん、各サービスのログインも控える必要がある（https://から始まるリンクならばKRACKによる影響を受けない）。なお、モバイルデータ通信機能がないPCやタブレットを利用する場合はスマートフォンのテザリング機能が利用できるが、WPA2で暗号化されていれば当然KRACKの攻撃対象となる。