69 当否断必要あ

製造業者 確認作業や情報提供 間 要 利用者 大い 混乱

： 部 実装 あ 的 弱 ＜

連 弱 情報 共

WPA/WPA2

実装

部 極 険 実装 誤 あ

報告 部 製品

wpa_supplicant

いう 用い

WPA/WPA2

実装 い

version 2.4

2.5 wpa_supplicant

弱 突い

Handshake

信

0 TK

暗 鍵 利用 弱 暗 鍵 録 い

容 いう実装

誤 結 文；暗 文 全 暗 行わ い状態 例えば 大半

Android 6.0

弱

攻撃 全 通信 復

や改 能 的 弱 言え

：環境 依 攻撃 立条件＜

世界中 大半

WPA/WPA2

実装 響

当初 大

KRACKs

あ

攻撃 立

間 割 込 信

御 中間者攻撃＆

MITM: man-in-the-middle attack

＇ 必要 あ 例えば

設置 困 あ 企業 無線

LAN

等 実 攻撃 行う 容易

い 条件 立 い環境

威 い い 但 偽

設置 あ 共 場 無線

LAN

接 等 注意 必要 あ

： TLS/SSL 々 弱 ＜

IoT

普 拡大 伴い ワ

々 製品 実装

弱 対応 要 い 世界中 多 人 利用 い

や実装 弱 見 問

2014

4

見

Heatbleed

＆

TLS/SSL

実装

OpenSSL

実装

誤 ＇

2014 10

見

POODLE

＆

SSL

3.0

設計 弱 ＇

2015 3

FREAK

＆

1990

輸出 暗

SSL

利用 能 状態 運用 い

＇等 あ 多 や 提供者

対処 余儀 い

： 備え８ 弱 対策 多 防御＜

WPA/WPA2

弱 開

約

10

経 見 多 人 利用

い 著 あ 完

全 弱 能 近い

知 弱 見 備え

前 対策 あ 多 防御 複数 対

策 組 実施 要 あ

例えば

WPA2

間 無線 間 暗 あ

PC

／

間 通信 行

う場

TLS

や

IPsec

等 対策 暗

効 あ 複 数 対 策 組 実

施 対策 弱 見

期待 効 得 備え

TLS

や

IPsec

通信路 暗

あ ば 方法 前 暗

考え

対策 弱 見

開 速 や 適 用 い

企業 い 弱 情報 適

用 状 況 確 認 期 的 行 う 適 用

手 や適用 前 整備

望 い 購入 提供 含

適 製品 選

望 い 利用 い 製品 提供 い 明 場 多 防 御 行 い 当 機能や当 製品 利用停 替機能

機器 交換 検討 推奨

参考資料

1. KRACK Attacks: Breaking WPA2 https://www.krackattacks.com/

2. Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 https://papers.mathyvanhoef.com/ccs2017.pdf

3. JVNVU#90609033 Wi-Fi Protected Access II (WPA2) い Nonce 鍵 再利用 問

https://jvn.jp/vu/JVNVU90609033/index.html

4. IoT開 設計 手引 ＆2018 4 版＇ ＆p.69＇

https://www.ipa.go.jp/security/iot/iotguide.html

10 大 威選考会

氏 所属 氏 所属

石 淳 ＆株＇ 浜 譲治 ワ (株)

石井 ＆株＇ 波 ＆ 社＇ 対策推進 議会

岡 良 郎 ＆株＇ 真 美 ＆ 社＇ 対策推進 議会

丸 EG (株) 勝 直人 (株)

橋 康敏 ＆株＇ 相馬 邦 (株)

藤 ＆株＇ 誠 (株)

藤 直之 SCSK＆株＇ � 伸弘 ＆株＇

保 啓 SCSK＆株＇ 楢原 盛史 Tanium 会社

隆 SCSK＆株＇ 地 地方 共団体情報 機構

大塚 淳 NRI ＆株＇ 鈴木 弘 地方 共団体情報 機構

木 健 NRI ＆株＇ 瀬 昌 地方 共団体情報 機構

中西 克彦 NEC ＆株＇ 中 朗 TIS＆株＇

杉井 俊也 NEC ＆株＇ 木 TIS＆株＇

河 拓士 NTT ＆株＇ 山室 TIS＆株＇

東 裕 NTT ＆株＇ 森 悟 ＆株＇

大山 千尋 ＆株＇NTT 桑原 和也 ＆株＇

宮 久仁男 ＆株＇NTT 岩井 博樹 ＆株＇

矢竹 清 郎 ＆株＇NTT 山 ＆株＇電算

和生 NTT 端 術＆株＇ 島 健 ＆株＇東芝

植草 祐則 ＮＲＲ 端 術＆株＇ 岡 聡 ＆株＇東芝

七條 麻衣子 大 県立芸術文 短期大学 大 大 東芝 ＆株＇

前 彦 ＆株＇ 森 周 ＆株＇Doctor Web Pacific

淵 真 学校法人KBC学園 原 博久 ＆株＇Doctor Web Pacific

岡 ＆株＇ 輔 ＆株＇

直樹 ＆株＇ 萩原 健 ＆株＇

� 駿 ＆株＇ 藤 彦 長崎県立大学

熊 慶 郎 (株)KBIZ / (ISC)2 須川 賢洋 潟大学

山 慶子 KPMG ＆株＇ 猪股 樹 日 ＆株＇

岡 真 ＆株＇KPMG FAS 前 隆行 ＆株＇日

倉 弘喜 国立情報学研究所 坂 明 ＆ ＇日 犯罪対策 JC3

福森 大喜 ＆株＇ 研究所 磯 弘 日 電気＆株＇

宮﨑 清隆 ＆社＇JPCERT 谷川 哲 日 電気＆株＇

＆JPCERT/CC＇ 日 電信電 ＆株＇

齊藤 和男 ＆株＇ 山 築 日 ＆株＇

菅原 修 ＆株＇ 大 和 ＆株＇

矢 弘 ＆株＇ 金 明寛 ＆株＇

岡 隆佳 ＆株＇ 中 学 ＆株＇

山 ＆株＇ 渡辺 久 ＆株＇

大久保 隆 情報 大学院大学 林 ワ ＆株＇

阿部 実洋 ＆株＇ 岩 東日 電信電 ＆株＇

氏 所属 氏 所属

川 茂樹 東日 電信電 ＆株＇ 晋吾 ＆株＇豆蔵

水越 郎 東日 電信電 ＆株＇ 河 哲之 井物産 ＆株＇

＆株＇日立 洲 勲 井物産 ＆株＇

川 祐治 ＆株＇日立 山谷 晶英 井物産 ＆株＇

寺 真敏 ＆株＇日立製作所 泰 ＆株＇ 菱総 研究所

藤原 将 ＆株＇日立製作所 石井 崇喜 ＆株＇

賀 洋 郎 ＆株＇ 鉄 ＆株＇

理 ＆株＇ 長 啓史 ＆株＇

大 利 藤沢市 島 理 ＆株＇

＆株＇

原 和宏 富士通＆株＇ 和宏 ＆株＇

原 弘和 富士通＆株＇ 福 佳 楽 ＆株＇

福 希 富士通＆株＇ 柳川 俊 ＆株＇

藤 真吾 ＆株＇富士通研究所 研究 山崎 圭吾 ＆株＇

神薗 紀 PwC 会社 居 和直 ＆株＇

鈴木 暁 ＆株＇ 清水 亮輔 ＆株＇

良 弁護士 (株) 杉山 俊春 ＆株＇

花 実 清水 郎

増 博史 piyokango

著作 作

独立行 法人情報処理推進機構＆

IPA

＇

責任

土

製作 株式会社 創樹

執筆 力者

10

大 威選考会

10

大 威執筆者 土 � 宏郷 竹 敬

亀山 彦

渡邉 祥樹

竹 純輝 智和

菅原 尚

林 桂 賢樹

IPA

執筆 力者

純 金 千

桑 利

賀谷 伸 郎 坂 川 誠 中島 尚樹

澤 裕

黒谷 欣史

橋 博之

中 実

須藤 直樹

堀 亘 唐亀 侑久

^{木曽 優} 大塚 龍彦

助川 仁

情 報 セ キ ュ リ テ 10 大 脅 威 2018

～ 引 き 続 き 行 わ サ バ ー 攻 撃 、

あ な た は 守 き ま す か ？ ～

2018 3 30

日 初 版 第

1

行

独立行 法人情報処理推進機構

113-6591

東 都文 駒込 目

28

番

8

文

https://www.ipa.go.jp/

[

局 行]

ドキュメント内 情報セキュリティ10大脅威 2018：IPA 独立行政法人 情報処理推進機構 (ページ 72-76)