WiFi「Hole196」：重大な脆弱性か、それとも大騒ぎするほどの些細なことか？

WiFi セキュリティにおける最新のセキュリティホールは非常に深刻ですが、企業や政府のネットワークに広範囲にわたる混乱を引き起こす可能性は低く、最大の頭痛の種となる可能性があります。

実際、このエクスプロイトは、過去7年間のWi-Fi機器に搭載されているWiFi Alliance WPA/WPA2認定版のIEEE暗号化規格を解読する効果的な方法が存在しないことを改めて証明しています。家庭や中小企業のネットワークで一般的に使用されている短いパスフレーズに対するブルートフォース攻撃と辞書攻撃が、依然として鍵復元の唯一の手段となっています。

AirTight Networksの主任ワイヤレス設計者であるカウストブ・ファンセ博士は、「これは鍵クラッキングの話でも、ブルートフォース認証の話でもありません」と述べています。AirTightの研究者がこの問題を記録し、今週ラスベガスで開催されたBlack Hat ArsenalとDefcon 18のデモンストレーションでその結果を発表しました。

AirTight Networksの文書作成者によって「Hole196」と名付けられたこの脆弱性は、既知の問題の全容を詳細に解説し、その実例を示したものです。この脆弱性は、後にIEEE 802.11i規格の最新版である802.11-2007に組み込まれた仕様に直接起因しています。これは、ドライバや実装固有の脆弱性とは対照的です。

AirTightとのブリーフィングと、この脆弱性に詳しい複数のセキュリティ研究者との議論を経て、吠えるよりも実際に攻撃する方がはるかに悪いことが明らかになりました。これは悪質なように聞こえ、実際に悪質ですが、新たな感染経路となる可能性は低いでしょう。

穴について説明する前にスコープから始めましょう。

Hole196の範囲

このエクスプロイトを利用するには、攻撃者は、TKIP（WPA）またはAES-CCMP（WPA2）の暗号化キータイプに依存するWiFi Protected Accessセキュリティ（WPAまたはWPA2バージョン）を使用しているWiFiネットワークの承認済みユーザーである必要があります。このエクスプロイトでは、このキーは解読されません。

WPA/WPA2 Personalのように事前共有鍵を使用するネットワークでは、この攻撃はほぼ無意味です。各ユーザーが同じ鍵を共有しているため、悪意のあるユーザーは既にネットワークをスニッフィングして他のユーザーの一時鍵を抽出し、すべてのトラフィックを傍受する手段を持っています。そもそも、このようなネットワークは、単純な内部攻撃から保護されていないのが一般的です。

むしろ、このエクスプロイトは、ポートベースのアクセス制御プロトコルである802.1Xに依存するWPA/WPA2 Enterpriseを貫通する可能性があります。802.1Xでは、ルーター（Wi-Fiまたはイーサネットスイッチ）は、クライアントが認証情報を渡すために、非常に制限された方法で接続を許可します。スイッチまたはルーターは、認証情報が承認されるまで、ネットワークの残りの部分へのアクセスをブロックします。

802.1X を導入する人は、単純なユーザー名とパスワードの組み合わせを要求するように選択できますが、システムがそれらを監視していない限り、ブルート フォース攻撃やソーシャル エンジニアリング (「こんにちは、経理部の Jim です。パスワードをもう一度お聞きください。」)、または怠慢 (アカウント情報を誰かが見つけられる場所に書き留めておくこと) に対して脆弱になります。

一部の企業は、クライアント側証明書を利用することで、802.1X経由の不正ログインのリスクを回避しています。クライアント側証明書は独自に発行され、ノートパソコンなどのデバイスにインストールされるため、偽造できません。一方、二要素認証は、アカウントとパスワードに加えて、定期的に変更されるコードをキーホルダーに表示し、ユーザーが手動で入力する方式、またはUSBメモリや内蔵カードリーダーにカードをスワイプすることで、コードを表示せずに同様の効果が得られる方式ですが、ログインデータの保護にはそれほど広く利用されていません。

リスクは主に、スパイ活動、窃盗、またはサービス拒否攻撃を行う正当なネットワークユーザーから生じます。企業や政府の機密情報に対する攻撃の多くは、インターネットとの境界における保護よりもはるかに脆弱な企業内部から発生します。今回の攻撃は、こうした内部関係者にとって新たな攻撃の手口となる可能性がありますが、彼らの実行能力を低下させる要因はまだ多く残されています。

誰がその穴を利用できるかという条件を念頭に置き、その内部を見てみましょう。

ホール196を覗き込む

セキュアなWPA/WPA2エンタープライズネットワークでは、各ユーザーが認証されると、そのユーザー専用のマスターキーマテリアルが生成されます。このマスターキーは、認証ネゴシエーションで生成された乱数と組み合わせられ、パケットの保護、スプーフィングやインジェクションの防止のためのパケット整合性の確保、その他のタスクに使用される特定のキーが生成されます。

ただし、各クライアントにはグループ一時キー（GTK）も渡されます。GTKは、クライアントがアクセスポイント（AP）からのブロードキャストおよびマルチキャストメッセージを受信するために必要です。GTKは、MACアドレスと同じ形式の番号を使用する特定のBSSID（基本サービスセットID）上のすべてのユーザーに対して同一です。BSSIDはアクセスポイントごとに一意です。また、複数のネットワーク名と仮想LANを組み合わせてトラフィックを分離している企業では、アクセスポイント上の仮想SSIDごとにも一意です。

APは、GTKによって暗号化されたパケットを送信するネットワーク上の唯一のエンティティです。しかし、Hole196エクスプロイトは、IEEE 802.11-2007の196ページに記載されている以下の記述に依存しています。

注：TKIPまたはCCMPによるペアワイズキーのサポートにより、受信STAはMACアドレスのスプーフィングやデータ偽造を検出できます。RSNAアーキテクチャは、送信アドレスと受信アドレスをペアワイズキーにバインドします。攻撃者がスプーフィングされたTAを使用してMPDUを作成した場合、受信側のカプセル化解除手順でエラーが発生します。GTKにはこの特性はありません。

このメモでは、ネットワーク上の各クライアント (STA またはステーション) に固有のペアワイズ一時キー (PTK) を使用して、送信アドレス (TA) が偽装されていないことを検証できることが説明されています。

同様の参考文献が 38 ページにあります。

データ発信元の信頼性は、ユニキャストデータフレームにのみ適用されます。ブロードキャスト/マルチキャストデータフレームについては、対称鍵では信頼性を確保できず、公開鍵方式では計算コストが高すぎるため、プロトコルはデータ発信元の信頼性を保証しません。

したがって、GTKで暗号化されたブロードキャストパケットは信頼できません。特定のBSSID上のクライアントは、GTKで暗号化されたブロードキャストパケットを作成・送信できますが、APはブロードキャストメッセージの送信のみを行い、受信は行わないため、このパケットは無視されます。パケットの送信元としてAPのアドレスを持つ場合、他のすべてのクライアントは、APが送信したかどうかを認証することなく、このようなパケットを受信します。

これにより、悪意のある承認済みユーザーが ARP (アドレス解決プロトコル) ポイズニングを試みることができるようになります。これは、ネットワーク上の他のクライアントを騙して、トラフィックを AP ではなく、ゲートウェイとして指定されたマシンに送信するために使用できます。(ARP メッセージは、ネットワークの MAC アドレスを IP アドレスに関連付けるために使用されます。攻撃者は、要求されていないブロードキャスト メッセージを送信して、クライアントにそのような関連付けの内部キャッシュ テーブルを書き換えさせようとします。)

すべてのユーザーがGTKを所有しており、GTKがこのように使用される可能性があるため、このような悪用に対する保護手段はありません。「ネットワークに公開されている悪意のあるノードもGTKを所有していることになります」と、この脆弱性の文書化を担当したAirTightのシニアセキュリティ研究者、Md. Sohail Ahmad氏は述べています。

クライアントが侵害されると、それらのクライアントは独自のPTKを使用して、偽のゲートウェイを宛先とするAPへのトラフィックを暗号化します。APは、2つのクライアントが通常のデータ転送を行っているかのように、悪意のある第三者に秘密鍵情報を提供することなく、クライアント間のトランザクションを問題なく処理します。「1つのパケットを挿入し、それをGTKで暗号化することで、悪意のある内部関係者は正当なユーザーからのトラフィックを復号化できます」とアフマド氏は述べています。

偽ゲートウェイは、ネットワークを通過するはずだったあらゆる平文情報を捕捉、スキャン、転送できます。これには、電子メール、転送中のファイル、その他の社内ネットワークアクティビティが含まれます。こうしたタスクは、リモートアクセス用に暗号化（VPNまたはクライアント/サーバーSSLセッション保護を使用）されている場合もありますが、企業内でこれらのサービスを保護することは、一般的になりつつあるとはいえ、まだ一般的ではありません。

ARPポイズニングはDNSキャッシュポイズニングも可能にし、正確なDNS情報に依存する特定のSSL保護を破るために利用されます。多くの中間者攻撃は、悪意のあるゲートウェイとポイズニングされたDNSの組み合わせから利益を得ています。

AirTight は、ARP ポイズニングや同様のブロードキャストベースの攻撃に対して無線アプローチを使用し、アクセス ポイントがブロードキャスト パケットを無視し、それが有線ネットワーク セグメントに転送されないようにすることで、現在の侵入防止および防御システム (IPS/IDS) では攻撃が比較的検出されにくいと主張しています。

攻撃にはいくつかの困難

しかし、この攻撃は、それを利用する企業に本当に影響を与えるのでしょうか？私が話を聞いたセキュリティ専門家は、Hole196は正当な懸念事項ではあるものの、攻撃者に現在よりも大きなアクセス権限を与えるものではなく、いくつかの困難も伴うと述べています。

あなたの隣に座り、あなたの[イーサネット]スイッチの別のポートに差し込むことで、同じ攻撃を実行できます。有線システムのすべてのトラフィックを私経由でリダイレクトすることもできます。これは同じ攻撃ですが、無線経由です。

まず、攻撃者は承認されたユーザーであることやアカウントへの不正アクセスといった要件に加え、APの近くにいる必要があり、攻撃はAP単位でしか機能しません。ブロードキャストはAPに接続しているクライアントに限定され、さらにセキュリティなどの目的で複数のWi-Fiネットワークに分割されたネットワーク上の特定の仮想SSIDに限定されます。（内部認証情報を持つ外部の人物が、遠くから高利得アンテナを使用することは可能ですが、必ずしも成功するとは限りません。また、APとは通信できても、受信感度が低いクライアントとは通信できない可能性があります。）

AirTightによると、ネットワークがクラ​​イアント分離（APが2つのクライアント間のユニキャストトラフィックの中継を拒否する）を使用している場合、GTKスプーフィング攻撃は片方向攻撃にのみ利用可能となる。個々のコンピュータにインストールされたエンドポイントセキュリティは、潜在的なARPポイズニング攻撃、ゲートウェイの突然の変更、悪意のある片方向攻撃など、特定のフラグが立てられた際に通知するように設定することもできる。

発信元アドレスが偽装されているため、攻撃者を特定するのは難しいかもしれませんが、攻撃者は近くにいるか、AP に関連付けられた別のマシンを侵害しているはずなので、企業は AP を無効にすることから始めても、ソースを見つけてシャットダウンすることができます。

しかし、根本的にHole196は2つのネットワーク監視シナリオの中間に位置します。1つ目、そしてより一般的なシナリオでは、ネットワークの監視がそれほど厳格ではないため、有線機器やGTK暗号化ブロードキャストを使用していないWi-Fiクライアント経由で発生するARPポイズニングなどの攻撃は検知されません。多くの企業はエッジでの監視に注力し、信頼性の低い関係者（請負業者や訪問者など）を別のVLANや仮想SSIDに割り当てています。

8件のコメント