無線LANセキュリティ規格「WPA」突破――その対策は?
WPAで用いられる暗号化プロトコルの「TKIP」が研究者によって解読された。無線LANの管理者はどのような対策を立てるべきだろうか。
[Andrew Garcia,eWEEK]2008年11月11日 17時04分 更新
http://www.itmedia.co.jp/enterprise/articles/0811/11/news083.html
セキュリティ研究者は今週、無線LANセキュリティ規格「WPA」をどのようにして突破できたかについて説明することになっているが、eWEEK Labsでは、このことが無線LANの管理者にとってどのような意味を持つかを説明しよう。
今週東京で開催される「PacSec 2008」カンファレンスでは、研究者のエリック・テューズ氏とマーティン・ベック氏が、WPAの暗号化技術を破るために考案した手法について説明することになっている。
今のところ、この攻撃の影響が及ぶ範囲は限られている。この攻撃はTKIP(Temporal Key Integrity Protocol)で暗号化されたネットワークにのみ有効であり、また、トラフィックを追加することはできてもデータを傍受することはできないからだ。だが、この攻撃手法をめぐり大きな混乱が生じるであろうことは確実だ。
本稿では、この攻撃とその影響について5つの要点を概略する。この攻撃の手法とその限界、そして無線LANとそのLANを通過するデータを攻撃者から保護するための対策など、いずれも無線LANの管理者にはぜひとも理解しておいてもらいたい重要なポイントばかりだ。
最初のポイントは、テューズ氏とベック氏が考案したこの攻撃手法はTKIPで保護されているネットワークに対してのみ有効だという点だ。TKIPは一定時間ごとに暗号鍵を自動的に変更するためのプロトコルで、当初は「WEP2」と呼ばれていたものだ。無線データを保護するための暗号化技術「WEP(Wired Equivalent Privacy)」が解読されたのを受けて、「ユーザーがハードウェアを買い換えずにそのままWEP対応製品をアップグレードして利用できるように」と提供されている暫定的なセキュリティ規格だ。TKIPにはWEPの基盤が採用されているが(従って、WEPと同じRC4という暗号化アルゴリズムを使用する)、暗号鍵はWEPよりも長く、鍵はパケットごとに更新され、鍵の作成に使われる初期化ベクター(IV)は24ビットから48ビットに強化され、またメッセージの改ざんを検出するための「Michael」と呼ばれる整合性チェック機能(MIC)が追加されている。
新しい攻撃手法の根底にあるのは、このMichael MIC機能だ。この攻撃では、クライアントと認証サーバとが共有するペアマスター鍵(PMK)をクラッキングするのではなく、個々のパケットを解読する手法が用いられる。つまり、セッションを保護しているペア一時鍵(PTK)を解読することで、例えばパケットのように、ほんの数バイトの未知のデータで構成される非常に小さなパケットを解釈しようという手法だ。
Michaelは1分間にエラーを2つ検出した場合には、デバイスを60秒間停止させ、鍵を書き換えるようになっているため、攻撃者は慎重に探りを入れる必要がある。だが、こうした小さなパケットであれば推測すべき要素も極めて少ないため、Michaelがエラーを戻すまでに数分もあれば十分だ(わたしが入手した情報によると、クラッキングにかかる時間は12~15分ほどだという)。この解読がうまくいけば、攻撃者は既存の攻撃手法を用いて、オリジナルのWEPに組み込まれている(そしてTKIPでも依然として使われている)整合性チェック機能を回避できる。
一方、同じWPAでも、TKIPではなくAESで保護されたネットワークはこの攻撃の影響を受けない。なぜなら、AESはCCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)と呼ばれる、まったく異なる暗号化手法を用いているからだ。
2つ目のポイントは、この攻撃では暗号鍵は破られず、またMichael MIC機能を実際に突破できるのは小さなパケットを解釈する場合に限られることから(推測すべき要素が多過ぎると、定期的な鍵の更新が行われるまでに解読を完了できないため)、攻撃者は無線LAN経由でデータを解読したり、傍受したりすることはできないという点だ。ただし、この攻撃手法をMACスプーフィングとともに利用すれば、攻撃者は無線LANのアクセスポイントを装い、ストリームに少量のトラフィックを注入できる。こうしたトラフィックの注入をクライアントのARP(アドレス解決プロトコル)キャッシュやDNSキャッシュの改ざんに用いれば、意図されていない(そして恐らくは無法な)目的地にマシンをリダイレクトできる。
「最悪のシナリオとして考えられるのは、攻撃者がアクセスポイントを装いつつ、クライアントに最大7個のパケットを注入するというケースだ。クライアントはそうしたパケットを適切に暗号化されたものとして受け止めるだろう。そうなれば、ARPスプーフィングによってあらゆるタイプのサービス拒否(DoS)状態を発生させられる。あるいはクライアントに対し、インターネット上のサーバとやりとりしているように見せ掛けることもできるだろう」とAirTight Networksで無線セキュリティを担当する上級研究者のリック・ファリーナ氏は語っている。
ただし、無線LANのユーザーや管理者は、「WPA2」規格はこの攻撃の影響を受けないという点に留意すべきだ。WPA2対応のWi-Fi認定にはオプションとしてAESベースとTKIPベース両方のセキュリティ規格が含まれているため、この攻撃を防御するには、無線LANの管理者はWPA2対応のネットワークでAES暗号化技術のみをサポートするよう確認する必要がある。
3つ目のポイントは、わたしが調べたところでは、TKIPベースのWPAネットワークに使われている認証モードの種類は関係ないという点だ。事前共有鍵と802.1x/EAP認証のいずれを実行しているのであれ、この攻撃はTKIPで保護されたネットワークに対して有効だ。なぜなら、この攻撃はPTKを狙ったものであり、PTKはどちらの認証モードでも使われているからだ。
ただし、企業の無線LANの管理者はこの攻撃に対する防御策として、ネットワークに調整を施し、通常よりも頻繁に鍵の更新が行われるようにするといい(聞いたところによると、この攻撃手法の考案者は2分ごとに鍵を書き換えるよう奨励しているという話だ)。ただし無線LAN管理者は、この変更によってパフォーマンスに及ぶ影響が、AES暗号化技術への移行に伴う影響と比べてどれだけ大きいかを慎重に検討する必要があるだろう。
また、この攻撃は総当たりの強引な手法ではないため、無線LAN管理者はこの攻撃には事前共有鍵の長さは関係しないことを認識しておくべきだ。
4つ目のポイントは、企業の中には既にこの攻撃から身を守るための防御策を講じているところもあるかもしれないという点だ。AirTight NetworksやMotorolaのAirDefense事業部門が提供しているものなど、何かしらのワイヤレス侵入検知・防止システム(WIPS)を採用している企業は、それだけでもこの攻撃に対してある程度の防御ができていることになる。こうしたWIPSシステムは、トラフィックの注入を試みる際に使われるであろうMACスプーフィング攻撃を検出できるからだ。
また、ロケーションの検出ツールも有効かもしれない。攻撃者はアクセスポイントを装う必要があるが、こうしたWIPSシステムは、アクセスポイントが突然移動したように見える場合には、直ちに警告を発してくれる。
恐らくWIPSベンダー各社は目下、この攻撃の一環で発生するはずのMichaelエラーを検出して相互関係を示す方法など、新たな対応策を検討しているところだろう。Michaelのエラーはまれであるため(チェックサムハッシュ値を変えずデータペイロードだけ変えるのは非常に難しい)、61秒ごとにMichaelエラーが発生しているといった異常は容易に探知して警告を発すはずだ。
TKIPはこれまでWEPに代わる一時的な次善策として、深刻な脅威にさらされることもなく、かなり善戦してきたといえるだろう。だが今回、初めて攻撃手法が公開されたからには(そして、aircrack-ngのように、この攻撃手法を使った初期のハッキングツールが既に出回っていることもあり)、この先TKIPのセキュリティがより詳しく吟味されるであろうことは確実だ。
最後になるが、5つ目のポイントは、暗号自体はまだ破られていないものの、無線LANの管理者はWPAとTKIPの使用について見直しを進めた方がいいという点だ。クレジットカード取引を行う業者向けのセキュリティ基準「PCI」のバージョン1.2へのコンプライアンスの関係上、いずれにせよ、多くの企業は無線LANのアップグレードの必要に迫られているからだ。PCI 1.2に関しては、先月、機密データをやりとりする無線ネットワーク向けのセキュリティ規格としてWEPに関する記述が排除される時期が決定したところだ。古いスキャナやバーコードリーダーなど、取引用の各種モバイル端末をいよいよ引退させなければならない企業各社は、次の設備投資においてはAESのサポートを目指すべきだ。
幸い、ここ4年間に購入したエンタープライズレベルの機器は大半がAESをサポートしているはずだ。ただし、クライアント端末を対応させるには一部でパッチが必要かもしれない。Windows Mobile 6.1以前のバージョンを実行しているWindows Mobile端末ではAESのサポートが提供されないため、モバイル端末の管理者はアップグレードが提供されているかどうかを確認する必要があるだろう。
なお、Windows XPとZero-Config無線ツールを使っているがWindows XP SP3はまだインストールしていないという向きは、パッチをインストールしてAESのサポートを追加する必要がある。
