ESETが公表したKr00kを悪用した攻撃の概念図。対策を施したアップデートを行わないままでいると、やり取りするデータの中身を不正に解読されてしまう可能性がある
●Kr00kの影響を受けるデバイスは10億台以上!
サイバーセキュリティ分野におけるグローバル企業の1つとして知られるESET(イーセット)社は、2月26日、多くのスマートフォンやPC、ネットワーク機器が採用しているWi-Fiチップに、ネットワーク利用の安全性を脅かす脆弱性があることを発表した。攻撃者がこの脆弱性を利用すると、伝送するデータの暗号を解読される危険性があるという。
「Kr00k(CVE-2019-15126)」と名付けられたこの脆弱性は、多くのクライアントデバイスが採用するBroadcomおよびCypressのWi-Fiチップに存在。脆弱性を解消するためのパッチの適用が必要となるデバイスの総数は、実に10億を超えているとみられる。
同社によれば、著名な製品としては、Amazon(Echo、Kindle)、Apple(iPhone、iPad、MacBook)、Google(Nexus)、Samsung(Galaxy)などが含まれており、アクセスポイントやルーターにも対策が必要なものがあるようだ。
●対象デバイスは早急に脆弱性対策パッチの適用を
ESETは、チップメーカーであるBroadcom、Cypressやデバイスメーカーに脆弱性を開示しており、すでにパッチのリリースは始まっている。主要製品の修正版リリースには例えば下記のようなものがある。
■iOS 13.2/iPad OS 13.2(2019年10月28日)
■macOS Catalina 10.15.1 セキュリティアップデート2019-001/2019-006(2019年10月29日)
■シスコセキュリティアドバイザリ 20200226(2020年2月27日)
■Huawei Security Notice 20200228-01(2020年2月28日)
※他メーカーについては問い合わせをKr00kを狙った攻撃を防ぐためには、対象となるすべてのWi-Fi対応デバイスを、最新のオペレーティングシステム、ソフトウェア、ファームウェアバージョンに更新したことを確認しよう。クライアントデバイスだけでなく、アクセスポイントやルーターなどネットワーク機器についても各メーカーに確認したい。
●Bluetoothにも複数の脆弱性が
Bluetoothの脆弱性というと、昨年夏に発覚した「KNOB Attac」が、iPhone、Mac、Windows10などが対象となっていることから、影響が大きいと思われる。
この脆弱性は、デバイス間の接続を行う際に用いる暗号鍵の長さを攻撃者側で短く設定できるというもの。攻撃者は鍵の長さを1バイトにした上で総当たり攻撃をかけることができるので、通信内容を傍受される恐れがあるというのだ。
こちらもすでに、Apple(iOS 12.4、MacOS Mojave 10.14.6)、Microsoft(2019年8月の定期アップデート)によって脆弱性の修正が行われているので、未対応の方は速やかに適応したい。
参考 : 「Bluetooth BR/EDRでの暗号鍵エントロピーのネゴシエーションにおける問題」(JPCERT/CC)
参考 : 「Key Negotiation of Bluetooth」(Bluetooth SIG)また、WIREDによれば、シンガポール工科デザイン大学(SUTD)の研究チームが、Bluetoothの省エネ版であるBluetooth Low Energy(BLE)における実装レベルでの脆弱性12個を発見し「SweynTooth」と命名したという。
同研究チームによれば、SweynToothによって医療機器を含むスマートデバイスが危険にさらされる可能性があるようだ。
これら12個のバグは、大手ベンダー7社のSoC(System-On-a-Chip)のソフトウェア開発キットに含まれていることから、家庭用・業務用スマート機器のほか、ペースメーカーなどの医療機器にも影響が懸念されている。
すでに一部の製造元では修正プログラムを配布を実施しているが、SoCを用いたデバイスメーカーがそれぞれの修正プログラムを自社製品用に適用させて配布する必要があるため、最終的な問題解決にはしばらく時間がかかりそうだ。
スマートフォンやIoT機器など、ネットワークの利用が当たり前となった現在、ネットワークに潜む危険の検出・解消は、これまで以上に重要性を増している。ユーザー一人ひとりも、より一層脆弱性対策に注意したいものだ。
3/4(水) 7:05配信
https://headlines.yahoo.co.jp/article?a=20200304-00010000-finders-bus_all
- 10億台も同類があるのなら何も怖いことないな
- WZRシリーズのKRACKs対策アップデートをしてくれなかったバッファローは
どこまで対応してくれるだろう - root化してノーガード戦法してるわ
- >>4
>root化してノーガード戦法してるわ吹いたわw
- チェックしても端末のアプデは無い
- wifiルータは危険だよね
- 公共回線を使っている時点で、データの中身を見られる可能性はあるだろ。
- ガチの犯罪者は個人の情報なんてもう狙わないからな・・・
- >>8
特定人物に執着してるネットストーカーのハッカーなんて小物はどこいっても相手されないしね - >>8
踏み台用のストックリストがありそう - Androidとか二年くらいでキャリアが更新してくれなくなるけどこういうのは更新してくれんの?
- >>1
またシマンテックかよ - 今それどころちゃうねん
- 🇷🇴創価学会も財務怠ると怖いよね
- 糸電話は最高だな。
- windows 7 のワイ大勝利
- 狙い撃ちされたら何してても同じだと思ってる
取られて困るのもないしクラックするならやってみろ!
ウソ嘘うそです、見逃してくださいm(_ _)m - 正直、読まれて困るようなもの全く入ってないんだよねw
- 次の機種買う金もないんだかどうにかしてくれ
- 脆弱性って良く言うけど
何がどうなって何されるの? - ずっと言ってるな
アップデートされないから困るけど
イラレ動かすのにXP使ってるけど問題ないよw - きゃーこわい
ワイファイもブルートゥースも使ってないけど - 俺のエ口通信データが傍受されるのか!
胸熱 - スマホにパソコンのカレンダーに時計のソフトを開発したのは日本人なんだよね
世界中のスマホにパソコンの利用者はそのソフトで時間とカレンダーを見ている
- >>1
あっちもこっちもウィルスウィルスって - iPodはセーフ!
- ルーターやアクセスポイントは ファームの更新できないのも多いだろうから問題なんだろうけど
そもそも
・攻撃者がWiFiのエリア内にいる必要がある
・WiFiのリンクレベルで通信を見られたところで HTTPSとか上位レベルで暗号化されていれば問題ないのでは?
そんなに深刻でもないような気がするけど… - もう日本が安心安全なOS開発したらええやん
なんでやらないの - >>28
日本人に出来るわけ無いだろ - >>29
BTRON
国内だけならWindowsには勝てるだろ
せめて内需は国産だろ - >>32
字だけでも十分だよね - そこまでいくと
10億の中から有用なデータ分けるのも大変そう - 大変だ
H嗜好がばれちゃう - >>1
ま、実際問題ふるいandroid等でクレカの被害が出んと、心に刻まれない。それが人間w - クソ過ぎだろ
- ハッカーにだって選り好みがあるだろうに
- 使ってるスマホAndroidのアップデート もう何年もないなぁ 新しいの買えって事なんだろう (-_-;)
- はーい、サボってまーす
大体更新して深刻なエラーが出ることもあるから人柱の報告を見たあと手動で
と思っていたら忘れてたパターン - >>44
忘れてないけど面倒くさいからほったらかしのパターン
【セキュリティ】スマホ、PCのバージョン更新をサボっている人は要注意! 世界10億台以上のデバイスに深刻な脆弱性が見つかる
ニュー速+
コメント