セキュリティ最新情報 - 2019年4月

どのようなテクノロジーでも、常に新たな脅威の一歩先を進むための堅牢なセキュリティ リサーチによって、新たな脆弱性を見つけることができます。このほどセキュリティ リサーチの実施者によって、WPA3™-Personalの限られた数の初期導入環境でいくつかの脆弱性が見つかり、その旨が直ちに Wi-Fi®業界に報告されました。この脆弱性がWi-Fi ユーザーへの悪意ある攻撃に使われた事案は報告されていませんが、Wi-Fi Alliance®はユーザーの皆様がこれまでと変わらずWPA3-Personalを信頼できるようにするとともに、これまで以上に強力なセキュリティ保護を提供するための緊急措置を講じました。

  • 認定ラボのグローバル ネットワークにおいて、推奨する対策の幅広い実装を推進するためのテストをWi-Fi CERTIFIED WPA3-Personalプログラムに追加
  • 業界全体を通じてWPA3-Personal の市場への普及が進む中で、今回報告された脆弱性の詳細に対するデバイス メーカーの理解を進めて実装のガイダンスを周知するための活動を展開

この問題は、簡単なソフトウェア アップデートで解消できます ―― Wi-Fi ユーザーであれば、いつもモバイル デバイスで行っているソフトウェア アップデートとほとんど変わりません。現在WPA3-Personalは普及の初期段階にあり、今回の脆弱性の影響を受ける数少ないデバイス メーカーはすでにこれらの問題に対するパッチの提供を開始しています。このソフトウェア アップデートでは、Wi-Fiデバイス間の相互接続性に影響するような変更は一切ありません。詳細は、各デバイス ベンダーのWebサイトでご確認ください。

いつもと同じように、ユーザーは必ずデバイス メーカーからの最新の推奨アップデートをインストールしておく必要があります。セキュリティ環境は常にダイナミックに変化していますが、これからもWi-Fi Allianceは、Wi-Fi CERTIFIED™プログラムを通じて強力なセキュリティ保護をWi-Fiユーザーの皆様に提供していきます。

Wi-Fi Allianceの公式声明はこちらをご覧ください: https://www.wi-fi.org/ja/news-events/newsroom/wi-fi-alliance-3

関連情報

  • CERT ケースID: VU#871675
  • CVE-2019-9494
  • CVE-2019-9495
  • CVE-2019-9496
  • CVE-2019-9497
  • CVE-2019-9498
  • CVE-2019-9499

関連リサーチ

実装ガイダンス

Frequently Asked Questions

Are the identified vulnerabilities a WPA3™-Personal protocol issue or on issue related to specific device implementations?

When considering the question of whether a vulnerability is a protocol or implementation issue, the purpose is often to determine the vulnerability’s broader implications, such as the pervasiveness of the vulnerability, the ease of addressing the vulnerability, and the ability to maintain interoperability between patched and unpatched devices.

In this instance, the issues found in a limited number of early implementations of WPA3-Personal can be mitigated through software updates that retain interoperability across Wi-Fi devices. WPA3-Personal is in the early stages of deployment, and the small number of device manufacturers that are affected have already started deploying updates to their implementations of WPA3-Personal. Wi-Fi Alliance is broadly communicating implementation guidance to ensure vendors understand the relevant security considerations when developing their devices.

How will vulnerabilities in existing devices be fixed?

These issues can be resolved with a software update – much like users regularly perform on their Wi-Fi devices already. WPA3-Personal is in the early stages of deployment, and the small number of device manufacturers that are affected have already started distributing updates to their users. Wi-Fi CERTIFIED WPA3-Personal now includes additional testing to encourage greater adoption of recommended practices.

Will the fixes to address this vulnerability create interoperability issues between Wi-Fi devices?

The software updates do not require any changes that affect interoperability between Wi-Fi devices. Users can expect all their Wi-Fi devices, whether patched or unpatched, to continue working well together.

How will I know if my device is affected?

These issues affect a limited number of early implementations of WPA3-Personal, which devices have only recently begun supporting. Users should refer to their Wi-Fi device vendor’s website or security advisories to determine if their device has been affected and has an update available. As always, Wi-Fi users should ensure they have installed the latest recommended updates from device manufacturers.

What will Wi-Fi Alliance do to prevent these types of issues moving forward?

Security is and will always be a dynamic endeavor, and Wi-Fi CERTIFIED is an important tool in driving broad adoption of strong security protections in Wi-Fi devices. Wi-Fi Alliance regularly updates Wi-Fi CERTIFIED requirements and test coverage to address wireless security and privacy challenges as the threat landscape changes. Wi-Fi Alliance encourages responsible disclosure of any discovered security vulnerabilities to ensure the best possible outcome.

Does WPA3 remain secure?

WPA3-Personal provides security for private Wi-Fi networks based on a simple password credential. Wi-Fi users should continue to look for Wi-Fi CERTIFIED WPA3 in their devices to ensure they are receiving the strongest available Wi-Fi security. Wi-Fi CERTIFIED WPA3-Personal now includes additional testing within our global certification lab network to encourage greater adoption of recommended practices.