2017 年 10 月 16 日、ICASI（International Consortium for Advancement of Cybersecurity on the Internet）がセキュリティ業界に対し、WPA と WPA2 の一連の脆弱性を警告する声明を発表しました。これらの脆弱性は、多数のベンダが提供している無線インフラストラクチャデバイスや無線クライアントに影響します。セキュリティに関するこの問題によって、これらの脆弱性が存在するクライアントやアクセスポイントでは、この問題を解決する具体的な対策を実施されるまでの間、WPA および WPA2 で暗号化された Wi-Fi トラフィックの安全性が保証されなくなります。パスワードや個人データが含まれる Wi-Fi データストリームが、ユーザに知られることなく、傍受、復号化、変更されてしまう恐れがあります。ウォッチガードの一部の Wi-Fi アクセスポイントや Wi-Fi 対応アプライアンスも、これらの脆弱性の影響を受けます。脆弱性の詳細、影響を受けるウォッチガード製品、およびパッチ公開時期に関する詳細情報を以下に記載します。

これらの脆弱性の影響の範囲

この脆弱性は広範囲に及ぶものです。追加情報と CVE については、上記のリンクから ICASI の声明文にアクセスして、ご確認ください。WPA または WPA2 の暗号化が採用されている無線 AP（アクセスポイント）を使用している組織、および、スマートフォン、タブレット、ラップトップ、またはその他のデバイスで Wi-Fi ネットワークに接続するモバイルユーザは、これらの脆弱性に対応するパッチを適用する必要があります。

脆弱性の数／種類

ICASI の脆弱性リストと CVE（Common Vulnerability and Exposure）の ID については、こちらを参照してください。

WPA / WPA2 の脆弱性によって発生する問題

攻撃者が特別に作成したパケットを WPA / WPA2 認証ハンドシェイクの中間に挿入することで、攻撃者にとって既知であるか、攻撃者が制御できる鍵が強制的にインストールされてしまう恐れがあります。これにより、クライアントからのトラフィックが攻撃者によって復号化されたり、変更されたりする恐れがあります。尚、HTTPS、VPN、またはアプリケーションの暗号化などの高レベルの暗号化プロトコルですでに保護されているトラフィックについては、この脆弱性の影響を受けることはありません。

デバイス構成によっては、認証されていない攻撃者がこれらの脆弱性を悪用し、パケットリプレイ攻撃、無線パケットの復号化、無線ネットワークのパケットの偽装やインジェクションを実行する可能性があります。ハンドシェイクメッセージの再送を操作することで、これらの攻撃が可能になります。

無線経由でやり取りされる特定のハンドシェイクメッセージを意図的に操作することで、ハンドシェイクの確立時にいくつかのシーケンス番号が再利用されるようになりますが、シーケンス番号の再利用は、WPA2 暗号化の強度とリプレイセキュリティの根拠になっている基本原則を覆すものです。この基本原則とは、すなわち、あるキー階層、PTK、GTK、および IGTK では、それを使って保護されている 2 つの元々の発信元（再送者ではない）によるパケット送受信でシーケンス番号が繰り返されることはないというものです。パケットが対で存在し、この前提が成立していない場合、一方のパケットの平文が既知か推測可能であるのであれば、他方のパケットの内容を判断できます。シーケンス番号によって、攻撃者による、古いパケットの受信者へのリプレイも可能になります。

影響を受けるウォッチガード製品

• アクセスポイント：
  AP100、AP102、AP120、AP200、AP300、AP320、AP322、AP420
• アプライアンス：
  XTM 25-W、26-W、33-W。Firebox T10-W、T30-W、T50-W

ウォッチガードのパートナーやお客様に対して、これらの脆弱性に関連するパッチ／アップデートはどのように情報を得られますか？

ウォッチガードは、Fireware、ウォッチガードのレガシーおよび現行の AP、および WatchGuard Wi-Fi Cloud のパッチを、以下のリリースで提供します（リリースと提供開始時期については、変更される可能性があります。このブログでパッチの最新情報をご確認ください）。

2017 年 10 月 15 日（日）：

• AP120、320、322、420：Release 8.3.0-657、クラウドモードのみ

2017 年 10月 30 日（月）：

• Fireware：Release 12.0.1
• レガシー AP：
  • AP300：Release 2.0.0.9
  • AP100、102、200：Release 1.2.9.14
• AP120、320、322、420：Release 8.3.0-657、非クラウド（GWC モード）

ウォッチガードのお客様やパートナーに対するこれらの脆弱性の影響

これらの脆弱性の影響をこれまでに受けたお客様やパートナーは、これまでに確認されていません。

WPA2 とは

WPA2（802.11i）は、Wi-Fi ネットワークのリンク層セキュリティの現行の標準規格で、802.1x（EAP）または共有鍵（PSK）ベースの認証を使用します。802.1x では、無線接続のセットアップ時に、クライアントがバックエンド RADIUS サーバから認証されます。この認証の過程で、クライアントと RADIUS サーバが PMK（Pairwise Master Key）と呼ばれる共通鍵を生成し、この PMK がセキュアな有線ネットワーク経由で RADIUS サーバから AP に送信されます。PSK では、クライアントと AP が同じパスフレーズ（パスワード）を入力することで、双方に PMK が静的にインストールされます。次に、PMK を使用して、AP とクライアントとの間の無線リンク経由で送信されるデータを暗号化し、整合性を保証するために使用する鍵の階層が生成されます。

PMK からこの鍵の階層を生成するプロトコルは、EAPOL 4-Way Handshake と呼ばれており、この鍵の階層を使用して、以下の鍵が作成されます。

• PTK（Pairwise Transient Key）：AP とクライアントの間のユニキャスト通信を暗号化する際に使用されます。PTK は、無線接続のセットアップ時に AP とクライアントによって作成されて、インストールされます。接続中は、事前に設定しておいた時間が経過すると更新され、クライアントが FT（Fast Transition）プロトコルを使用して AP 間でローミングした場合も更新されます。
• GTK（Group Transient Key）：AP からクライアントへのブロードキャストおよびマルチキャストのメッセージを暗号化する際に使用されます。GTK は、AP によって生成、維持され、無線接続のセットアップ時に、AP からクライアントへと安全に配布されます。
• IGTK（Integrity Group Transient Key）：AP からクライアントに送信されるブロードキャストおよびマルチキャスト管理メッセージ（管理フレーム保護または MFP と呼びます）の整合性を確保する目的で使用されます。IGTK は、AP によって生成、維持され、無線接続のセットアップ時に、AP からクライアントへと安全に配布されます。

クライアントがその AP から離れると、鍵（GTK と IGTK）が更新され、Group Key Handshake と呼ばれるプロトコルを使用して、残りのすべてのクライアントに新しい鍵が配布されます。

WPA とは

WPA（Wi-Fi Protected Access）は、以前のシステムである WEP（Wired Equivalent Privacy）に見つかった弱点を解決する目的で Wi-Fi Alliance が開発した、セキュリティプロトコル／セキュリティ認証システムです。将来的にはさらに複雑で安全の高い WPA2 へと移行することを前提とし、中間的な対策として開発されたものです。WPA は古い規格であり、セキュリティが十分ではないため、ウォッチガードはすべてのお客様に対して、WPA ではなく、WPA2 の使用を推奨しています。

パッチを適用したデバイスをパッチが適用されていないデバイスから保護する方法

ウォッチガードは、上記のスケジュールに従って、影響を受けるすべての製品のパッチを提供する予定です。ウォッチガード以外のアプライアンスについては、Wi-Fi デバイスのベンダの Web サイトまたはセキュリティ勧告を参照し、お使いのデバイスに対するこれらの脆弱性の影響とパッチの公開予定をご確認ください。