IT ニュース＆コラム    2017/11/ 6   通巻750号  ニュース版

                             ソフトウェアデザイン館  Sage Plaisir 21

￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣


■■　無線LANの暗号 WPA2 に脆弱性 KRACKs、ただし危険度は小　■■


2017年 10月16日、ベルギーの Mathy Vanhoef 氏が、多くの無線LAN に
使われている暗号方式 WPA2 に脆弱性 KRACKs があると発表した。 対象
となる機器が非常に多いため大きなニュースになったが、攻撃するには
攻撃対象の電波が届く範囲に行かなければならないため、それほど危険では
なかった。 現在は、粛々と修正パッチがあてられている。

KRACKs を利用すると、通信内容を盗聴できるようになる。 
クライアント機器がWi-Fiのアクセスポイント（AP）と接続する際、暗号鍵
を決定する手順（4ウェイ・ハンドシェイクの一部）が行われるが、交換が
一度うまくいかなかったときに、攻撃者が解読できる暗号鍵を再送信して
クライアント機器がそれを受信してしまうというものだ。

このように侵入するには、攻撃者が無線LANの電波を送受信しなければ
ならないため、ターゲットの電波の届く範囲に攻撃者がいなければならない。 
また、接続を開始するタイミングでなければならない。
ターゲットが近所の知り合いで接続を開始するタイミングを知ることが
できたら問題だが、ほとんどの場合不可能だろう。 また、https や VPN 
といった WPA2 の上で更に行う暗号をしておけば盗聴はできなくなる。

Android, iOS, Linux, Windows などにすでに修正パッチが提供されている。
Apple や Google は発表から半月後に提供となり、あまり急いだ対応では
なかった。 Windows は発表前に提供されていた。

ニュースではセンセーショナルに脆弱性が発表されるものだが、その発表
が公表される段階では、すでに専門機関の間で対策が検討された状態に
なっている。 つまり、本当に問題が見つかった瞬間というのは公表される
かなり前なのだ。 ニュースで知ったときは、対策内容をニュース サイト
ではなく、一次情報源である IPA などで内容をよく確認することだ。

ソース
http://www.itmedia.co.jp/news/articles/1710/27/news038.html
https://japan.zdnet.com/article/35108859/
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html
https://security.srad.jp/story/17/10/16/0632204/



■■　注目ニュース  一覧　■■


◇ ソフトのようにデータをオープンに。The Linux Foundationが新フレームワーク。
https://builder.japan.zdnet.com/tool/35109232/
https://mag.osdn.jp/17/10/24/160000
 … CDLA-Sharing は GNU、CDLA-Permissive は BSD のイメージ。

◇ Twitter従業員、退職日にトランプ大統領のアカウントを失効させて英雄扱い。
http://www.itmedia.co.jp/news/articles/1711/03/news030.html
 … トランプ大統領を嫌っている人たちのほうが過激に見える。

◇ Google Chrome 63ベータ版では開発者向け機能が充実。非同期イテレーターなど。
https://forest.watch.impress.co.jp/docs/news/1088789.html
https://blog.chromium.org/
 … 非同期イテレーターは for 文にしか await を記述できなさそう。性能向上用。

◇ Google製品の脆弱性情報筒抜けも。社内情報管理ツールに重大な問題、外部の研究者が報告。
http://www.itmedia.co.jp/enterprise/articles/1710/31/news054.html
 … バグや脆弱性の管理ツールの内容が漏れていた。 今は塞がれている。

◇ アップルのAnimojiは商標侵害。日本企業が提訴。
https://japan.cnet.com/article/35109172/
 … アップルによる商標権売却の方法がヒドい。アップルはパクリ企業になった。

◇ ICOには高いリスク。金融庁が注意喚起。
http://www.itmedia.co.jp/news/articles/1710/30/news053.html
 … オレオレ仮想通貨（電子ポイント）には価値がない。

◇ 富士通、11月中旬までにLenovoへPC事業を売却。
https://pc.watch.impress.co.jp/docs/news/1088332.html
 … 意外にも黒字の事業だが、将来が見えないのだろう。

◇ アップルとFacebookの両CEO、中国の習近平国家主席に会う。
https://japan.cnet.com/article/35109613/
 … 清華大学の顧問という形で情報共有や宣伝。



■■　ソフトウェアデザイン館  Sage Plaisir 21　■■


  ホームページ   >>> http://www.sage-p.com/
  メルマガ       >>> http://www.mag2.com/m/0000083983.html
  ブログ         >>> http://blog.livedoor.jp/sage_p/
  ツイッター     >>> http://twitter.com/Ts_Neko
  ダウンロード   >>> http://www.sage-p.com/freesoft.htm
  サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi
  東日本大震災   >>> http://www.sage-p.com/saigai.html
  メール         >>> ts-neko◇sage-p.com   ←◇を@に変えてください
                     緊急メールは件名に「うどんメール」を付けてください。

      このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm