製造業者 確認作業や情報提供 間 要 利用者 大い 混乱
: 部 実装 あ 的 弱 <
連 弱 情報 共
WPA/WPA2
実装部 極 険 実装 誤 あ
報告 部 製品
wpa_supplicant
いう 用い
WPA/WPA2
実装 いversion 2.4
2.5 wpa_supplicant
弱 突いHandshake
信0 TK
暗 鍵 利用 弱 暗 鍵 録 い
容 いう実装
誤 結 文;暗 文 全 暗 行わ い状態 例えば 大半
Android 6.0
弱攻撃 全 通信 復
や改 能 的 弱 言え
:環境 依 攻撃 立条件<
世界中 大半
WPA/WPA2
実装 響当初 大
KRACKs
あ攻撃 立
間 割 込 信
御 中間者攻撃&
MITM: man-in-the-middle attack
' 必要 あ 例えば設置 困 あ 企業 無線
LAN
等 実 攻撃 行う 容易い 条件 立 い環境
威 い い 但 偽
設置 あ 共 場 無線
LAN
接 等 注意 必要 あ: TLS/SSL 々 弱 <
IoT
普 拡大 伴い ワ々 製品 実装
弱 対応 要 い 世界中 多 人 利用 い
や実装 弱 見 問
2014
4
見Heatbleed
&TLS/SSL
実装OpenSSL
実装誤 '
2014 10
見POODLE
&SSL
3.0
設計 弱 '2015 3
FREAK
&1990
輸出 暗SSL
利用 能 状態 運用 い'等 あ 多 や 提供者
対処 余儀 い
: 備え8 弱 対策 多 防御<
WPA/WPA2
弱 開約
10
経 見 多 人 利用い 著 あ 完
全 弱 能 近い
知 弱 見 備え
前 対策 あ 多 防御 複数 対
策 組 実施 要 あ
例えば
WPA2
間 無線 間 暗 あ
PC
/間 通信 行
う場
TLS
やIPsec
等 対策 暗効 あ 複 数 対 策 組 実
施 対策 弱 見
期待 効 得 備え
TLS
やIPsec
通信路 暗あ ば 方法 前 暗
考え
対策 弱 見
開 速 や 適 用 い
企業 い 弱 情報 適
用 状 況 確 認 期 的 行 う 適 用
手 や適用 前 整備
望 い 購入 提供 含
適 製品 選
望 い 利用 い 製品 提供 い 明 場 多 防 御 行 い 当 機能や当 製品 利用停 替機能
機器 交換 検討 推奨
参考資料
1. KRACK Attacks: Breaking WPA2 https://www.krackattacks.com/
2. Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 https://papers.mathyvanhoef.com/ccs2017.pdf
3. JVNVU#90609033 Wi-Fi Protected Access II (WPA2) い Nonce 鍵 再利用 問
https://jvn.jp/vu/JVNVU90609033/index.html
4. IoT開 設計 手引 &2018 4 版' &p.69'
https://www.ipa.go.jp/security/iot/iotguide.html
10 大 威選考会
氏 所属 氏 所属
石 淳 &株' 浜 譲治 ワ (株)
石井 &株' 波 & 社' 対策推進 議会
岡 良 郎 &株' 真 美 & 社' 対策推進 議会
丸 EG (株) 勝 直人 (株)
橋 康敏 &株' 相馬 邦 (株)
藤 &株' 誠 (株)
藤 直之 SCSK&株' � 伸弘 &株'
保 啓 SCSK&株' 楢原 盛史 Tanium 会社
隆 SCSK&株' 地 地方 共団体情報 機構
大塚 淳 NRI &株' 鈴木 弘 地方 共団体情報 機構
木 健 NRI &株' 瀬 昌 地方 共団体情報 機構
中西 克彦 NEC &株' 中 朗 TIS&株'
杉井 俊也 NEC &株' 木 TIS&株'
河 拓士 NTT &株' 山室 TIS&株'
東 裕 NTT &株' 森 悟 &株'
大山 千尋 &株'NTT 桑原 和也 &株'
宮 久仁男 &株'NTT 岩井 博樹 &株'
矢竹 清 郎 &株'NTT 山 &株'電算
和生 NTT 端 術&株' 島 健 &株'東芝
植草 祐則 NRR 端 術&株' 岡 聡 &株'東芝
七條 麻衣子 大 県立芸術文 短期大学 大 大 東芝 &株'
前 彦 &株' 森 周 &株'Doctor Web Pacific
淵 真 学校法人KBC学園 原 博久 &株'Doctor Web Pacific
岡 &株' 輔 &株'
直樹 &株' 萩原 健 &株'
� 駿 &株' 藤 彦 長崎県立大学
熊 慶 郎 (株)KBIZ / (ISC)2 須川 賢洋 潟大学
山 慶子 KPMG &株' 猪股 樹 日 &株'
岡 真 &株'KPMG FAS 前 隆行 &株'日
倉 弘喜 国立情報学研究所 坂 明 & '日 犯罪対策 JC3
福森 大喜 &株' 研究所 磯 弘 日 電気&株'
宮﨑 清隆 &社'JPCERT 谷川 哲 日 電気&株'
&JPCERT/CC' 日 電信電 &株'
齊藤 和男 &株' 山 築 日 &株'
菅原 修 &株' 大 和 &株'
矢 弘 &株' 金 明寛 &株'
岡 隆佳 &株' 中 学 &株'
山 &株' 渡辺 久 &株'
大久保 隆 情報 大学院大学 林 ワ &株'
阿部 実洋 &株' 岩 東日 電信電 &株'
氏 所属 氏 所属
川 茂樹 東日 電信電 &株' 晋吾 &株'豆蔵
水越 郎 東日 電信電 &株' 河 哲之 井物産 &株'
&株'日立 洲 勲 井物産 &株'
川 祐治 &株'日立 山谷 晶英 井物産 &株'
寺 真敏 &株'日立製作所 泰 &株' 菱総 研究所
藤原 将 &株'日立製作所 石井 崇喜 &株'
賀 洋 郎 &株' 鉄 &株'
理 &株' 長 啓史 &株'
大 利 藤沢市 島 理 &株'
&株'
原 和宏 富士通&株' 和宏 &株'
原 弘和 富士通&株' 福 佳 楽 &株'
福 希 富士通&株' 柳川 俊 &株'
藤 真吾 &株'富士通研究所 研究 山崎 圭吾 &株'
神薗 紀 PwC 会社 居 和直 &株'
鈴木 暁 &株' 清水 亮輔 &株'
良 弁護士 (株) 杉山 俊春 &株'
花 実 清水 郎
増 博史 piyokango
著作 作
独立行 法人情報処理推進機構&
IPA
'責任
土
製作 株式会社 創樹
執筆 力者
10
大 威選考会10
大 威執筆者 土 � 宏郷 竹 敬亀山 彦
渡邉 祥樹
竹 純輝 智和
菅原 尚
林 桂 賢樹
IPA
執筆 力者純 金 千
桑 利
賀谷 伸 郎 坂 川 誠 中島 尚樹
澤 裕
黒谷 欣史
橋 博之
中 実
須藤 直樹
堀 亘 唐亀 侑久
木曽 優 大塚 龍彦
助川 仁
情 報 セ キ ュ リ テ 10 大 脅 威 2018
~ 引 き 続 き 行 わ サ バ ー 攻 撃 、
あ な た は 守 き ま す か ? ~
2018 3 30
日 初 版 第1
行独立行 法人情報処理推進機構
113-6591
東 都文 駒込 目
28
番8
文