「WPA(TKIP)が1分で破られる」という誤報は何故広まったか

■ ネット Posted by ひぐま (Higmmer) on 2009-09-27 at 23:14:51

◆共有テーマ: インターネットセキュリティー [コンピュータ]

当ひまグでも「無線LANセキュリティの世界でまかり通る「ウソ」について考える」として書いた件について、この界隈では手強い論客として知られる高木浩光先生が、わざわざ広島で行われた研究会に実際に出向かれて発表者の話を聞いた上で(*1)詳しく解説されている。

色々と興味深い内容が書かれているので幾つか箇条書きで紹介(詳細は上記サイトを参照のこと)。

  • 中間者攻撃のデモは無く、実験は(昨年の)Beck-Tews攻撃と同じ環境で行われた
  • この手法でWPAを破るには11分はかかる(1分で破られるというのは誤り)
  • (この手法を用いた)DNSパケットの改竄に成功したわけではない
  • 今回の発表では対策方法についての議論は無し
  • 間違った報道がなされているといった釈明或いは訂正も無し
  • 今回の発表論文の意味を読者は正しく読み取れるだろうか(疑問)

まずもって実際には「中間者攻撃」は実装すら行われていなかったというだけでも「なんじゃそれ」という感じだが(*2)、先のエントリの脚注にも書いた通りそれは攻撃時間短縮とは無関係なのでどうでもいいということだろう。しかし、それにしては一連の報道においてこの「中間者攻撃」という言葉が踊り過ぎている気がする。

更に最も重要な「WPA(TKIP)が数秒~1分以内で破られる」という点についても完全な誤報だということが実際に発表内容を聴いた方の手によって改めて明らかとなった。

一体どうしてこんな誤報が広まってしまったのか。高木先生は(立場上?)明言はされていないが(*3)、門外漢の素人の立場から言わせてもらえばこの分野の専門家或いは研究者と言われる方々の責任が極めて重いと思う。

勿論、第一義的には誤報を流した「日本のIT分野の科学ジャーナリズム」に問題があることは言うまでもない。だが、今回の件に限って言えば少なくともGIGAZINEは発表者のコメントを取っているし、マイコミジャーナルも(後日だが)発表者本人による解説記事を掲載している(*4)。しかし(先のエントリにも書いた通り)それらのコメントや解説自体に誤りや誤解を招く表現が少なからず含まれているにも関わらず、結果として誤報を「もっともらしく信用させる」役割を担ってしまっている。そういった一方的な情報を垂れ流すのではなく複数の専門家や論文等に当たって検証するのがジャーナリズムの役割だと言えばその通りだが、実際問題としてそれがなされていないという現状がある以上、コメントを寄せる側も相応の注意を払うべきではないか。

それとも研究者は研究するのが仕事であり、それが世間に与える影響まで考慮する必要はないということだろうか。それはそれで一つの立場としてはあり得るだろうが、この間の一連の動きを見ていると必要以上の危機感を煽るような言葉(*5)の「火元」は寧ろ当事者側であり、そこに各メディアによる尾ヒレが付け加わったことで世間一般に誤った認識が広まったというのが実態のような気がする。それらを放置・黙認することで世間の注目を浴びることを狙っている――などとは思いたくないが、このようなことが仮に今後も続くならば、「暗号は理解されない」という発表者の思いとは裏腹に、この分野はますます世間一般から理解されないものになっていくだろう。

(*1) いつもながらこの行動力には敬服させられる(他に書く人がいないのが問題なのだが)。

(*2) 産総研の分析でも述べられている通り、この「中間者攻撃」が成立するかどうかは「現実の脅威」を評価する上で重要なファクターの1つとなるにも関わらず。

(*3) 言外に言わんとしているニュアンスは伝わってくる。

(*4) ちなみにこれらの記事は発表者自身のブログでも紹介されているが、特に訂正や補足がなされている様子はない(→[1], [2])。

(*5) 「最短で数秒」「中間者攻撃」「システム自体を崩壊させることが可能」「AESなら安全というのは都市伝説」など。

ニンテンドーDSがWEPにしか対応しない本当の理由

■ ネット Posted by ひぐま (Higmmer) on 2009-09-21 at 19:15:50

◆共有テーマ: インターネットセキュリティー [コンピュータ]

Twitterで少々気になる発言を見つけた(元ネタは「情報科学若手の会」の内容らしい→参考)。

WEPの暗号はもはや一瞬で解けるのでパスワードをかけている意味がない。WPAはアドホックモードができないのですれ違い通信したいNDSではWEPだけサポートしたのでWPAにつなげない#wakate2009

Twitter / nishio hirokazu: WEPの暗号はもはや一瞬で解けるのでパスワードをかけ ...

これは任天堂の技術者に聞いた情報だろうか?自分の認識ではニンテンドーDSのアドホックモード(*1)は「任天堂独自プロトコル」を使っており、標準準拠のインフラストラクチャモード(*2)とは何の関係もないと捉えていたので、一方の仕様が他方の制約の影響を受けるとはにわかに信じ難い。とはいえ、通信プロトコルのベース部分はIEEE802.11のそれを流用している可能性もあるので、DSのアドホックモードで本当にWEPが使われているのかを調べてみることにした。

(*1) 「DSワイヤレス通信」「DSワイヤレスプレイ」などと呼ばれる。

(*2) 所謂「ニンテンドーWi-Fiコネクション」のこと。

というわけで、以下が「ドラゴンクエストIX」において「すれ違い通信」の待ち受け時、及び「外の世界の仲間を募集する(マルチプレイのホスト)」状態にした時のビーコン情報をキャプチャした様子だ。

DQ9における暗号化の状態 DQ9における暗号化の状態

上がすれ違い通信時、下がマルチプレイのホストとなった時のビーコン情報(Speedが2Mbpsになっている点に注目)。
いずれの場合においてもWEPフラグはオフになっている。

これを見れば明らかなように、ビーコン情報の暗号化の欄が空欄になっており、(WEP)暗号化はされていないことを示している。また、よく見るとTypeの欄が「AP」になっていることから、厳密にはアドホックモードではなくインフラストラクチャモードにおけるアクセスポイントのように振る舞っていることが分かる(*3)(*4)。このように、先に引用した発言は前提から間違っている可能性が高い。

また仮にその情報が正しかったとしても、先に述べたように両者は独立したモードなのだから、アドホックモードはWEP、インフラストラクチャモードはWPA(以上)と使い分ければいいのであって、そんなのはWPAに対応できない理由には全くならない。これは論理的に考えれば簡単に分かることだ。現に(その仕組みはどうであれ)DSと同じく「すれ違い通信」を実現しているPSPはしっかりとWPA(TKIP/AES)に対応しているという事実をご存知ないのだろうか。

(*3) 最大16台までの同時通信を行う必要上、1台が親機となって他の子機をぶら下げる方式になっているのだろう。

(*4) ちなみに画面は示さないが、PSPにおけるアドホックモードの場合はType欄がきちんと「Peer」になる。

それよりは、初代DSに採用した無線LANチップがショボ過ぎてハードウェア的にWEPにしか対応できなかったという方が理由としてはよほど納得できる(*5)。但しその場合でも、WPA(TKIP)までならばWEPの基本アルゴリズムやハードウェア(回路)を流用しつつソフトウェア的に対応することも不可能ではないはずだが、やはり何らかの制約(*6)があって実現できなかったのだろうか。

見過ごされがちな事実だが、「ニンテンドーWi-Fiコネクション」の最初の対応ソフトが国内において発売されたのは初代DS発売の約1年後。つまりそれまでにWPA(TKIP)対応の通信ドライバが開発できていたなら間に合った可能性もあるわけだ(*7)。しかし実際はそうはならず、その後2回のハードウェア更新(DS Lite/DSi)を経た現在に至ってもなおWEP対応のみのソフトが大量かつ新規に販売され続けているというのが厳然たる事実だ。その数は直近のドラクエ9とポケモン金銀を合わせただけでも実に約500万本にも上るというから凄まじい。

更に言えばWi-Fi AllianceがWPAをWi-Fi認証の必須項目に加えたのは初代DSの発売から1年以上前(*8)、最初の「ニンテンドーWi-Fiコネクション」対応ソフト発売から見れば実に2年以上も前なのだ(*9)。そこにいかなる理由があろうとも、ニンテンドーDSがWPAに対応しなかったことの免罪符にはならないと考えるのは自分だけだろうか。

(*5) 無印IEEE802.11という古い規格にしか対応しなかった点からも十分考えられる。

(*6) 例えばCPUの処理能力やメモリ容量の制約など。

(*7) ちなみにDSとほぼ同時発売のPSPも当初はWEP対応のみだったが、その後のファームアップで1年以内にWPA(TKIP/AES)への対応を完了させた。

(*8) 2003年9月(規格の提案は2002年10月末)。初代DSの発売は2004年12月2日。

(*9) 紛らわしいが初代DS/DS LiteはWi-Fi認証機器ではない。但しDSiはWi-Fi認証を受けている


無線LANセキュリティの世界でまかり通る「ウソ」について考える

■ ネット Posted by ひぐま (Higmmer) on 2009-09-18 at 01:13:31

◆共有テーマ: インターネットセキュリティー [コンピュータ]

WPA(TKIP)が解読されたというデマに注意」というエントリを書いてから久しいが、最近になってまた無線LANセキュリティ界隈が賑やかになっているようだ。きっかけはおそらく以下の記事だろう。

最初に逃げを打っておくが自分は無線LAN技術者でもセキュリティ専門家でもない。だが自分なりに調べた結果この記事は見出しの時点で2つのウソを含んでいると分かった。

(9/27追記)

本件について広島で行われた発表会に実際に出向いて発表者の話を聞かれた方による解説は以下のサイトへどうぞ。

その1) WPA(TKIP)を「数秒から数十秒で破る」ことができる?

→ ウソ! 実際の所要時間は「およそ12分+α」程度

件の発表論文によれば今回の攻撃は以下の3つのフェーズで行われる。

  1. 中継モード
     攻撃者はAP-端末間の直接通信を妨害し、代わりに自分が中継役となって通信を監視する
  2. MIC鍵復元モード
     正規の(必要な)通信がないタイミングを見計らって攻撃を開始、MIC鍵の復元を試みる
     (所要時間 12~15分)
  3. メッセージ改竄モード
     2.で得られたMIC鍵を用いて改竄パケットを作成、端末に送り込む
     (所要時間 数秒~数十秒/1パケット) (*1)

これらの技術的詳細について理解する必要はない(というか自分も理解していない)(*2)。しかし上記2.における所要時間は昨年のBeck-Tews攻撃と全く同じ。今回短縮されたのは上記3.の部分らしい(以前はこれが4~5分だった)(*3)。

もちろん所要時間が数十秒なら危険で12分+αなら安全などと言うつもりはない。どちらも誤差程度の違いでしかないだろう(*4)。だが普通「暗号が数十秒で破られる」と聞いてどのようなイメージが浮かぶだろうか。殆どの人はおそらく「暗号通信が筒抜けでほぼ暗号化してないに等しい状態」を思い浮かべるのではないか。現にそうしたイメージを助長するかのような記事も出て火に油を注いでいる。

特に前者の記事では「WPAを利用したいかなるシステムであっても1分とかからずに突破が可能」「WPAは無線LANのセキュリティ技術としては意味をすでに成していない可能性がある」などとおどろおどろしい言葉が並んでいるが、これは明らかに言い過ぎだ。また、後者の「WPA」という表現は本件があたかも「WEPが(数秒で)解読される」という話と同レベルの問題であるかのような印象を与える。しかし実際には任意のパケットを解読できるわけではないし、任意のパケットを改竄できるわけでもない

更に攻撃対象とするシステムについても「直接通信が行えない距離にあるアクセスポイントとクライアント」を仮定していることなどから、産総研では「提示された脆弱性は、現実の無線LANの常用環境での攻撃は比較的困難であり、直ちに実用環境でのデータの盗聴などの深刻な被害の蔓延は予想されない」結論付けている(*5)。

だからといって何の対策も講じなくてよいと言いたいわけではない。だが正しい対策を取るにはまず正しい情報を知ることが必要だ。

(*1) 発表者によれば1分以内に成功する確率は約37%(理論値)、実験における平均所要時間は10秒程度とのこと。

(*2) 詳しく知りたければ産総研が出している「WPA の脆弱性の報告に関する分析 (技術編)」が非常に参考になる。

(*3) 但し所謂「中間者攻撃」が時間短縮に寄与したわけではない。TKIPの防御機構を回避するために以前はQoSの抜け穴を利用していたのを、自らが中継役となって通信を監視・細工をすることで実現したという話のようだ。時間短縮は別途、改竄対象とするパケットの種類を限定したり確率的な手法を使うことで実現している。

(*4) 実際にはグループ鍵の更新間隔を2分程度にすることで「MIC鍵復元」を失敗させられる(産総研の分析より)。だとするとこの違いは数字の差以上に大きな意味があるとの見方もできる。

(*5) 一方、発表者は「現実的な被害を生じさせることが可能で、通信システムとしては極めて危険な状態に置かれる」と主張している。これはどちらが正しいという話ではなく、「現実」という言葉の意味するところの違いだろう。

その2) 「WPA2に移行」すれば安全?

→ ウソ! 単に「WPA2」というだけで安心してはいけない

これを「ウソ」と言うのは言い過ぎかも知れないが少なくとも「誤解を招く表現」だ。しかし世の中には何故かこういった表現が蔓延している。

より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。

無線LANセキュリティ「WPA」をわずか1分以内で破る手法発見される [マイコミジャーナル]

Girard 氏は InternetNews.com に対し、「(中略)今すぐ WPA2 Enterprise に移行するよう推奨する」と電子メールで回答してきた。

WPA も60秒で破られる――日本人研究者などが発表 [japan.internet.com]

森井昌克氏によると、「以上のように,WEPはまったく暗号としての体をなさず,その暫定的な改良であるWPAも大きな問題があることが明らかになりました.早期にWPA2に移行する必要があります.」とのこと

無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり [GIGAZINE]

今回のWPA-TKIPに提案した攻撃モデルは、WPA2やWPA-PSK(AES)へは適用できない

WPAを破った森井教授からの提言- 無線LAN暗号化の脆弱性~暗号化の意味と真の問題点~ [マイコミジャーナル]

実際には「WPA2=安全」と考えるのは誤りだということは以下の事例を見れば明らかだ。

ここで重要なのは「TKIPを使っているか否か」であり「WPAかWPA2か」ではない。WPA2であってもTKIP方式の場合は「全く同じ攻撃が可能」だと産総研のレポートに述べられている。また、それによるとこの「WPA2(TKIP)」というモードはIEEE802.11i 仕様書にも載っている(*6)(*7)由緒正しい(?)ものにも関わらず、専門家と言われる方々までもが誤った説明をしてしまうのは理解に苦しむ。

ちなみに最後に挙げた記事は以下のように続いている。

これはAESを利用しているから適応できないのではなく、CCMPというAESの利用法に工夫を加えているからである。無線LAN暗号化を含めて、暗号システム全般において、「AES(鍵長256ビットの方式を含めて)であれば安全」は単なる都市伝説にすぎない。

WPAを破った森井教授からの提言- 無線LAN暗号化の脆弱性~暗号化の意味と真の問題点~ (マイコミジャーナル)

一方でこのように述べながら(*8)、他方では「WPA2であれば安全」というような新たな「都市伝説」が広まってしまうのは本意ではないだろう(*9)。

(*6) WPA2でのCCMP(AES)の実装は「義務」でTKIPは「オプション」という扱い。

(*7) 正確には「WPA/WPA2」はWi-Fi Allianceが認定する呼称であってIEEE802.11iに出てくる用語ではない。

(*8) このような言い方は一歩間違えれば「解けない暗号は無いからWEPによる法的防御で十分」「見られて困る情報は無いから逆にノーガード戦法」「有線最強」などの偏った認識を招きかねない(いずれも某掲示板で実際に見られた反応)。

(*9) しかもこの場合、我々素人レベルでは(適切なパスフレーズを設定しさえすれば)現時点で「AES=安全」と言っても事実上差し支えないのに対し、「WPA2=安全」はそうではないという点でも問題だ。


<参考サイト一覧>

<続報 (9/27追記)>

新型PS3を買いますた

■ ゲーム Posted by ひぐま (Higmmer) on 2009-09-03 at 22:43:34

◆共有テーマ: PS3 [ゲーム]

本日発売の新型PS3を入手。

新型PS3

同梱のコントローラに不具合があった(キーが誤反応)以外はとりあえず無事に動作。今のところ、ゲームそっちのけで専らDLNAクライアントとして稼動中(^^;