Wi-Fiの「クライアント分離」は安全か？脆弱性を暴く研究『AirSnitch』が公開

公共Wi-Fiなどで一般的に利用されているセキュリティ機能「クライアント分離（Client Isolation）」の仕組みを解明し、それをバイパスする手法を提案する研究論文『AirSnitch』のPDFが公開されました。ネットワークセキュリティの前提を揺るがす、エンジニア必見の内容です。

この記事で議論されている論文はこちら: https://www.ndss-symposium.org/ndss-paper/airsnitch-demystifying-and-breaking-client-isolation-in-wi-fi-networks/

ちょっとセンセーショナルなタイトルじゃない？これは「Wi-Fi暗号化を破る」ものじゃなくて、攻撃者がすでに同じネットワーク内にいる場合のデバイス分離を無効化するだけだし。

私の理解では、これらの攻撃はどれも、攻撃者がすでに被害者のネットワークに接続していることが前提だね。ほとんどの攻撃は、空港やカフェといった共有Wi-Fiで昔から知られている手法と似ているように見える。斬新なのは、ゲストネットワークと通常ネットワークの間でトラフィックを正しく分離できていないルーター実装の弱点を突いている点だろう。

何か見落としがあるかな？これだと、暗号鍵をクラックせずにAPへ接続するような、最悪のパターンの攻撃（ドライブバイなど）にはつながらないように聞こえるんだけど。

従来のWi-Fi攻撃とは異なり、AirSnitchはレイヤー1と2のコア機能や、これらと上位レイヤー、他のノード、SSIDなどのネットワーク名との間でのバインド・同期の失敗を悪用する。このクロスレイヤーでのID同期不全がAirSnitch攻撃の鍵だ。

最も強力なのは、完全な双方向のMitM（中間者）攻撃だ。つまり、攻撃者はデータが本来の宛先に届く前に閲覧や改ざんができる。攻撃者は同じSSID上にいてもいいし、別のSSIDや同じAPに接続された別セグメントにいてもいい。家庭やオフィスの小規模ネットワークから、企業の大規模ネットワークまで通用してしまう。

2000年代初頭にウォー・ドライビングをやってたよ（WEPとかｗ）。データセンターで数年働いて、今はそれなりに神経質になってる。自宅ネットワークではWi-Fiを使ってないし、スマホは外向きの固定電話扱いで、ノートPCのカメラはテープで隠し、アンテナは外してる。メールもずっと前にやめたよ…

技術は魅力的だけど、無線が持つ脆弱性から身を守るなんて誰にできるんだ？とりあえず銅線か光ファイバーだけでいいよ。

次は[AirSnitch]を歴史的背景の中に位置づけ、現実世界でどれほどの脅威になるかを評価することだ。ある意味、2007年のPTW攻撃に似ている…あの時はWEPが一瞬で無力化され、ユーザーは身近な攻撃者から守る手段を失った。今回もクライアント分離が同じように、ほぼ一夜にして無力化されており、即座の救済策はない。

これは1つのSSIDでしか機能しない。対策としては、WPA2でPrivate-PSK/Dynamic-PSKを使うか、EAP/RadiusのVLANプロパティを使うのが有効だ。

WPA3/SAEだとさらに厄介だ。標準規格ではパスワード識別子をサポートしているけど、Linuxのwpa_supplicant以外で別のパスワードを選択できるデバイスなんて知らないし。

余計な情報を全部読み飛ばすと、結局はこれに行き着く：

「ネットワークが適切に保護されていれば、つまり権限のあるユーザーだけが知っている強力なパスワードで守られていれば、AirSnitchは攻撃者にとってそれほど価値のあるものではないかもしれない」

これはかなり深刻だよ。あるWi-Fiネットワークのクライアントが、たとえ別の認証情報を使っているとしても、同じAPでホストされている別のネットワーク上の通信をMITMできるってことだからね。私がこれまで見た企業向けのWi-Fi環境は、ほぼすべてその分離をセキュリティの前提にしている。

この手の攻撃は新しいものじゃない。衝撃的なのは、多くのエンタープライズ向けハードウェアが、こうした初歩的な攻撃を緩和するために何もしていないってことだ！

論文を読んだところ、ほとんどの家庭用Wi-Fiルーターは同じSSIDで2.4GHzと5GHzを運用しているから、今やほぼすべての家庭ユーザーが被害に遭う可能性がある。Radius認証を使っている場合でも突破できる可能性があるみたいだけど、そこまでは深く掘り下げられてなかった。EAPの種類がトラフィックの読み取りに関係するのかは興味があるね。

要するに、複数のAP MACアドレスで同じSSIDを吹いている場所ならどこでもやられる可能性がある。

近所のハッカーのせいで数年前にEAP TLSに切り替えたんだけど、それなら攻撃は通用しないはずだ。

対策は、接続可能なAPのMACアドレスを1つだけにすること。攻撃は2つを切り替える（ゲストと通常、あるいは2.4GHzと5GHzなど）ことを前提としているから。

EAP TLS環境で2.4GHzと5GHzの間をバウンスされた場合に、パケットを全て読まれてしまうのかどうか、もっと調査が必要だ。

20年前の技術のほうが、マルチスペクトル対応の最新機器よりも安全っていう破滅的な状況だね。

もしDoS攻撃が起きていることに気づかなければ、単一のSSID MACアドレスでもやられるかもしれない。Radiusの件はもっと調べる必要があるな。TLSは他と違って認証情報をチャネル上に流さない。TLS中にフルデクリプションキーが抜かれるのかは調査が必要だ。論文のテストはRadiusと認証情報を送信するクライアントを対象にしていたから、TLSは使っていなかったみたいだし。

EAP TLSの証明書が守りきれなくてキーを導出されてしまうとしたら最悪だね。

とりあえずそんなところかな。

ちなみに、このクライアント分離ってのは、自分が管理してないネットワークだと実務上で非常に厄介だ。ハードウェアメーカーは、「全てが1つの巨大なWi-Fiネットワークにあって、すべてのデバイスが互いに通信してキャンプファイヤーを囲んで仲良く歌える」って前提で設計してるからな。

そこにネットワーク分離が入ると、ElgatoのWi-Fi照明をオンにしたり、Boseのスピーカーと話したり、Chromecastを使ったりできなくなるんだ。

トラフィックをインジェクトできるだけでも十分デカいよ。IPv6のルーター広告を送信できれば、DNS設定を変更できる場合があるからね。