【Wi-Fiのセキュリティに必須のWPA】最新のWPA3の機能や脆弱性について

【Wi-Fiのセキュリティに必須のWPA】最新のWPA3の機能や脆弱性についてのアイキャッチイメージ

2018年6月にそれまで10年以上、IT業界を始めとする各企業に採用されていたセキュリティ規格「WPA2」の後継であるWPA3がリリースされました。それから約1年(2019年7月時点)経ち、WPA3の利便性と弱点、それに対するアップデートなど様々な動向が現れています。今回はそれらの動きをまとめてご紹介します。

Wi-Fiのセキュリティ規格WPAとは?

WPA(Wi-Fi Protected Access)はアメリカにある無線LANの普及促進を図る非営利の業界団体「Wi-Fi Alliance」が発表する無線LANの暗号化方式のことです。それまで使われていたWEPはセキュリティ上の脆弱性が多数指摘されていたことに対して、WPAでは暗号が一定時間で変更される仕様にすることで解読の難度を向上させています。WPA2ではさらに強力な暗号方式「AES」を採用するなど、定期的にWi-Fiを含む無線LANのセキュリティ向上が行われていました。

WPA3はWPA2で指摘されていた「KRACK」と呼ばれるWi-Fiトラフィックを傍受できる脆弱性を解決するべく、修正を図るために開発されました。
実際、「パスワード類似攻撃」に対する認証ハンドシェイク技術の採用やパスワードが破られても、攻撃者がそれに先だって交わされるWi-Fi通信の暗号を解くことができないようにするなど、WPA2からセキュリティが向上した部分は多いです。
その一方で、WPA3にはセキュリティに関する脆弱性が指摘されていました。その概要と対応を次で説明します。

WPA3にも脆弱性が…アップデートで対処

【Wi-Fiのセキュリティに必須のWPA】最新のWPA3の機能や脆弱性についてのイメージ

WPA3の脆弱性は、ホームネットワーク規格「WPA3-Personal」で2種類見つかっていました。具体的には「WPA3対応デバイスへのダウングレード攻撃」と「WPA3のDragonfly Handshakeの弱点」で、これらの脆弱性が悪用されてしまうと、Wi-Fiネットワークのパスワードを不正入手されてしまう恐れがあるほか、クレジットカード番号やパスワード、メールの内容なども流出してしまうリスクがあります。

そこでWi-Fi Allianceは、2019年4月に同問題に対処するためのソフトウェアアップデートを公開しました。
同団体によると先ほど指摘された問題は今回のアップデートですべて回避できるとされています。

ユーザーは常に最新の状態を保つことが重要

Wi-Fi Allianceはセキュリティ規格「WPA3」のユーザーに「セキュリティを万全にするためにはアップデートを適用し、常に最新の状態を保っておくことが重要」と呼びかけています。エンジニアもセキュリティに関するアンテナを張って、最新の情報を入手できるように気を付けておきましょう。

合わせて読みたい

IoTデバイスのセキュリティ設計その3【脆弱性対策】... IoTデバイスに脆弱性があると、そこを狙って攻撃されることがあります。 そのため脆弱性対策は必須です。 今回はIoTデバイスの脆弱性対策についてご紹介します。 製品開発段階での対応 IoTの脆弱性対策としては、まず開発段階から対応を始めます。 具体的には以下のような対応が推奨されていま...
エンジニアなら判断できて当たり前!シャドーITと「BYOD」の違いとは... 会社側が把握していないIT機器を使い業務を行うことを「シャドーIT」といいます。 それに関連した言葉として「BYOD」があります。 この2つは同じように語られることも多いですが、明確な違いがあります。 本記事ではシャドーITとBYODの違いについてご紹介します。 BYODの概要 BYOD(...
ネットワークセキュリティの新たな概念「ゼロトラストネットワーク」とは... ほとんどの企業では、社外からのトラフィックに関しては検査やログ取得を行っています。一方で、社内のトラフィックに関しては信用しているため、特にセキュリティ対策を講じていないことが多いです。 しかし、それでは充分な安全性を確保できないことが増えてきました。 そのような中で注目されているゼロトラストネ...
今主流のWi-Fiセキュリティ。WPAとWPA2とは何か?... 近年、フリーWi-Fiのセキュリティが問題になるなど、Wi-Fiにおいてもセキュリティの注目度が上がっています。 今回はWPAとWPA2の違いや無線LANセキュリティのモードなどについてご紹介します。 Wi-Fiにも使われるWPAとWPA2 2019年現在、Wi-Fiのセキュリティで主に使...
データベースを狙った不正アクセス。SQLインジェクションの対策方法をご紹介... 多くのホームページには、データベースを使ったアプリケーションを使用しています。 そのためアプリケーションのセキュリティ上の不備を利用して不正アクセスし、データベースシステムを操作する「SQLインジェクション」への対策が必要です。 今回はエンジニアであれば知っておきたいSQLインジェクションの対策...