Wi-Fiは統一規格であるため、認証システムも一律である。初代のAESがたやすく見破られるパスワードしか使えなかったため、しばらくはWPAが推奨された。ところがこれも脆弱性が発見され、WPA2が上位版として用意されるも、同じ運命をたどった。そして今WPA3が登場しようとしている。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
2017年10月、あるセキュリティの研究者が現在のWi-Fiネットワークの大部分を保護しているセキュリティプロトコル「WPA2」に深刻な脆弱性があることを明らかにした。この発見によってこれまでの本プロトコルのセキュリティが見直され、新たな標準化の必要性が話し合われることとなった。
2018年に入って、Wi-Fiデバイスを認証する団体である「Wi-Fiアライアンス」は、新しく強化された認証プロトコル「WPA3」の概要を発表した。だが、この新しいバージョンは、WPA2の問題点を改良することを目的としたものではない。すでに明らかになっている脆弱性に対するパッチはそれぞれWPA2を実装している製造者側が用意し、その代わり、WPA3は、新たな機能を実装し、過去13年もの間に改善されていなかったWPAプロトコルのセキュリティ全般の強化を目指しているようだ。
WPA3は、今後のIoT機器の利用増加を想定しており、ワイヤレスネットワークの設定が容易にできる。それとともに、認証と暗号化の改善を狙っており、暗号化を強化するに当たって、192ビットの暗号化機能を搭載する。今のところWi-Fiアライアンスは明言していないが、WPA3もWPA2のように、またWPAで利用されていたように、48ビットの「初期化ベクトル」(IV)も使用するようである。このようにWPA3は、これまでで最強レベルのセキュリティ要件を満たしており、政府や軍部、産業システムなど、セキュリティが最も厳しいネットワークにおいて使用したとしても、十分に耐え得ると考えられる。
WPA3のもう1つの注目すべき点は、「ドラゴンフライ」(Dragonfly)というプロトコルの実装である。これは「SAE」(Simultaneous Authentication of Equals)とも呼ばれる。目的は、鍵が交換される際に発生するハンドシェイク時のセキュリティを向上させることである。結果として、WPA3は、短いパスワードまたは見破られやすいパスワードが使用されても、すなわち文字、数字および記号の組み合わせを含まないものであっても、堅牢なセキュリティを提供することができる。
この機能は、第三者が推測しにくいパスワードを作成することが困難である場合のことを考えれば、非常に便利である。Wi-Fiアライアンスによれば、辞書攻撃や「ブルートフォース攻撃」など、従来の方法を使ってネットワーク侵害することは、ほとんど不可能となる。
もう1点、コーヒーショップやホテル、空港などで用意された公衆無線LANを使用してパソコンを常時リモートで作業する人々のために、WPA3はプライバシー対策を強化しているようだ。具体的には、デバイスとルーター間の接続をすべて一意の鍵で暗号化し、それを個々のデータの暗号化を適用させて「中間者攻撃」のリスクを軽減するというものである。
このようにWPA3は、プロトコルを強化し、ユーザーのセキュリティを強化することを明確に目的としている。また同時に、グラフィカルユーザーインタフェイス(GUI)を持たないデバイスに対してもWi-Fi接続が簡単に行えるようにしている。これは、莫大な量のIoTデバイスが利用されようとしている現状を考えると、非常に重要なことである。したがってWPA3では、WPA2で使用されているようなWPSボタンを押して接続を行う仕組みをさらに改良することになるだろう。
まだWPA3の実装についての詳細は分からないものの、この新しいプロトコルを支える標準化の一部はすでに明らかになっている。今後メーカーはこの適用要件を順守することが義務付けられており、Wi-Fiアライアンスの審査をクリアして「WPA3認証」マークをデバイスに記さねばならない。とはいえ、たとえこのようにしてWPA3が新たなデバイスに組み込まれる予定であるとしても、自宅のルーターを買い替えるユーザーはほとんどなく、すべての家庭でWPA3が使用されるまでには、しばらく時間を要することだろう。
WPA3は、直ちにWPA2の代わりになるわけではない。むしろ逆に、WPA2は現在市場で入手可能なデバイスに組み込まれており、それらのデバイスが家庭で使用される前に、長期間にわたって維持され、更新され続けることだろう。実際のところWi-Fiアライアンスは、WPA2のセキュリティテストを引き続き実施して、安全ではない設定によって引き起こされる脆弱性の影響を減らし、無線ネットワークの保護をさらに強化することに注力すると発表した。したがって、この新しいプロトコルに関する詳細が分かるまでは、引き続き専門家のアドバイスに従い、Wi-Fiネットワークを保護することをお勧めする。