初代Amazon Echoと、第8世代のKindleにWi-Fi傍受の脆弱性。数百万台に影響。

Wi-Fiの脆弱性が確認された数百万台のAmazon EchoおよびKindle(写真:ロイター/アフロ)

 ESETスマーホームリサーチチームは、初代Amazon Echoと、第8世代のKindleに、Wi-Fiの通信を傍受可能にする脆弱性「KRACK」が存在することを発表した。

 この脆弱性を含むデバイスの数は数百万台規模に達したという。

■KRACKとは?

 今回発見されたKRACK(Key Reinstallation AttaCK)とは、Wi-Fi ネットワークの保護に利用される暗号化プロトコル WPA2に存在する脆弱性で有り、2017年にセキュリティ研究者、Mathy Vanhoef 氏によって発見された。殆どのWi-Fiデバイスに影響を与える本脆弱性は、当時大きな話題を集めた。

 KRACKの脆弱性を利用されると、攻撃者はWi-Fi通信を傍受することが可能になるため、Wi-Fiネットワークを通じて送信されるクレジットカード番号やパスワード、電子メールといった情報を盗難することが可能になる。

■EchoとKindleへの影響

 ESETの報告によれば、初代Amazon Echoと第8世代Kindleには、CVE-2017-13077(鍵の再インストール)およびCVE-2017-13078(鍵ペアの再利用)の脆弱性が存在する。

 また、ESETは該当するEchoとKindleに対して、この脆弱性が利用されると、攻撃者は以下のような操作を実行可能になると警告している。

・古いパケットをリプレイしてDoS攻撃を実行したり、ネットワーク通信を中断したり、リプレイ攻撃を実行する。

・被害者が送信したデータ、または様々な情報を解読する。

・ネットワーク設定に応じて、データパケットを偽造したり、デバイスにパケットを廃棄させたり、新しいパケットを挿入する。

・パスワードやCookieなどの機密情報を傍受する。

 本脆弱性はAmazonに報告され、既に対策パッチがリリースされている。該当するデバイスの数は数百万台に達したという。

■KRACKを悪用されるには、近接する必要有り

 Amazonデバイスは、Amazonのショッピングにも利用可能なため、悪用されると金銭的な被害が発生するリスクもゼロでは無い。しかし、このKRACKを悪用するめたには、攻撃者は対象となる機械と物理的に近接する必要が有る。具体的には攻撃者はWi-Fiの電波が届く範囲内にいる必要がある。

 そのため、EchoやKindleを家庭の中で利用している場合には、攻撃されるリスクは低い。しかし、公共施設等、不特定多数の人がWi-Fiの到達範囲に存在する状況でEchoやKindleを利用している場合には、注意が必要だ。

■対策

 Echo、Kindle共に最新のファームウェアにバージョンアップすることで、Krackの脆弱性は対策済みとなる。

 ・Amazon Echo ファームウェアアップグレード手順

 ・Kindle ファームウェアアップグレード手順

 通常Echo、Kindle共にインターネットに接続されており、自動アップデートが有効になっていれば、自動的にファームウェアがバージョンアップされる。暫く利用していなかった、EchoやKindleはファームウェアがバージョンアップされていない可能性が有る。

 念の為、初代Echoおよび第8世代Kindleを利用しているユーザは上記リンクの内容に従い、最新のファームウェアになっていることを確認することを推奨する。