情報セキュリティの脅威はすぐそこに

脆弱性対応のスピード感

今月は無線LANの暗号プロトコル「WPA2」の脆弱性が公表され、大きな話題になりました。

情報が出回った当初はセキュリティ関係者を中心に大きな波紋を呼びましたが、クライアントへのパッチで修正が可能という情報が続報されたことや、HTTPSやVPNなどEnd to Endで暗号化が行われていれば影響は回避できるとの情報も流れており、混乱はある程度終息しつつあります。

とはいえ執筆時点で修正パッチが提供されていないプラットフォームもあるなど、引き続き状況に注視が必要なことには変わりありません。

今回の一連の過程において少し興味深い懸念があります。

そもそもこの問題は5月19日にベルギーのMathy Vanhoef氏によって提出された研究論文に端を発します。その後7月から8月にかけてVanhoef氏からCERT/CCを経由して複数のベンダーに通知が行われています。

騒ぎが大きくなったのは10月6日に世界的なセキュリティカンファレンス「Blackhat」のTwitterが「WPA2をテーマにした発表がある」と予告したためです。

元々、これらの論文や発表は11月から12月にかけて発表される予定でしたが、騒ぎを受ける形で10月16日に詳細情報が公開されるに至ります。これに前後してWi-Fi Allianceからソフトウェアアップデートでの解決が可能というアナウンスもなされています。さらにこれを受けて各国の主要ベンダーから対応についてアナウンスがされ始めているというのが現在の状況です。

 

ここで重要なポイントは多くのベンダーに対しては「8月末までに情報の通知が行われていた」というところでしょう。

そこから騒ぎが大きくなるまでに約1ヶ月半の時間があったにも関わらず、詳細情報公開時で修正パッチが提供されていたのはMicrosoftのみ、1週間が経ったところで海外系のハードベンダーやLinuxディストリビューションの修正パッチ提供が始まっています。

一方でスマホなどで影響の大きいAppleやGoogleは提供を予告するに留まっていたりベータ版までしか修正されていなかったりしますし、国内のベンダーなどではまだ「対応ファームウェア準備中」だったり「影響機種確認中」だったりと、対応スピードにバラツキが出ています。

無線アクセスポイントの親機は対象外で、中継器と末端に接続されるPCやスマートフォンなどの端末が対象となっているということで、ベンダーごとに温度感の差が出ているというのは理解できなくもないですが、それを差し引いても実質1ヶ月半というのは準備期間として十分だったのではないかという感はあり
ます。

個別の事情もいろいろあることは想像に難くないですし、どのような内容で通知がされていたのかは明らかになっていませんが、詳細が公表された段階に至っても「影響範囲確認中」だったベンダーは、スピード感も含めて内部のフローの見直しが必要な事案だったのではないでしょうか。