Apple、ついに iPhone の KRACK の問題を修正

2017.12.22

KRACK(リンク先:英語) (Key Reinstallation Attack:鍵再インストールの略称) を覚えていますか。


約 2 か月前になりますが、大きな脆弱性のニュースが報じられました。世界中で広く利用されているワイヤレスネットワークの保護に使用されている Wi-Fi 暗号化プロトコルである WPA の暗号鍵に脆弱性が見つかり、ことの重大性から BWAIN (Bug With An Impressive Name (印象的な名前のバグ) の略称) がこの脆弱性に付けられることになりました。


非常に簡単に説明すると、KRACK は、ワイヤレスアクセスポイントが同じ暗号鍵でスクランブルされたセッションの最初の 2 つのパケットを送信させるように仕向けます。パケットの一方のコンテンツを把握していれば、もう一方のパケットのコンテンツも把握できるという問題です。


KRACK はワイヤレス接続の安全性を根本から覆すほど深刻な問題でありませんでしたが (Wi-Fi は未だに安全に使用できます(リンク先:英語))、暗号化されている Wi-Fi はいかなるデータも漏洩させるべきではありませんので、パッチを適用することが推奨されます。


Apple は、他のベンダーの中でも、iPhone ユーザー向けに非常に迅速にパッチを公開しており(リンク先:英語)、ソフォスでも 11 月の初旬に以下のようにレポートしています(リンク先:英語)


しかし、公開された修正プログラムはすべての iPhone ユーザーを対象としたものではありませんでした。


Apple の正式なサポート文書(リンク先:英語) [2017 年 11 月 2 日] によると、KRACK の修正プログラムは、iPhone 7s、iPad Pro 9.7 (2016 年前半にリリースされた製品) 以降にしか適用されません。


KRACK のパッチが新しい Apple のデバイスにしか適用できない理由は私たちには分かりませんが、それ以前のデバイス向けの修正プログラムは開発中であったのかもしれませんし、Apple は、これらの古いバージョンは KRACK の影響をまったく受けないと判断していたのかもしれません。


いずれにしても、iPhone 7 より前のデバイスを使用されているのでしたら、Apple からの更新プログラムが公開されていないどうかを確認する必要があります。


ついに、Apple は、iOS 11.2(リンク先:英語) も対象とした最終版のアップデートを公開しました。今回のアップデートには、これまで対応されていなかったデバイスへの KRACK 関連のパッチも含まれます。


(引用文日本語訳) Wi-Fi


対象となるデバイス: iPhone 6s、iPhone 6s Plus、iPhone 6、iPhone 6 Plus、iPhone SE、iPhone 5s、iPad Pro 12.9-inch (第 1 世代)、iPad Air 2、iPad Air、iPad (第 5 世代)、iPad mini 4、iPad mini 3、iPad mini 2、iPod touch (第 6 世代)iOS 11.1 を搭載した iPhone 7 以降および iPad Pro 9.7-inch (Early 2016) 以降を対象にリリース。

影響:Wi-Fi 通信範囲内にいる攻撃者が、WPA マルチキャスト/GTK クライアントでノンス (nonce) の再利用を強制する場合がある (Key Reinstallation Attacks – KRACK)。


iOS 11.2 のアップデートでは、「カーネル権限を取得され、任意のコードを実行される可能性がある」と記載されている 4 つの脆弱性を含め、その他の多くのセキュリティホールが修正されています。これは、完全にジェイルブレイクされデバイスが乗っ取られる恐れがある問題です。


また、macOS では High Sierra 10.13.2(リンク先:英語) に同じアップデートを提供しており、Mac ユーザー向けに「カーネル権限を取得され、任意のコードを実行される可能性がある」3つの問題も修正されています。


できる限り速やかにパッチを入手して適用してください。


iPhone では設定 | 一般 | ソフトウェア・アップデート からパッチを適用できます。Mac では Apple メニュー | この Mac について | ソフトウェア・アップデート... からパッチを適用できます。


引用元

おすすめの記事はこちら