フォーブス・ジャパンからの転載です。

Wi-Fiデバイスに内蔵されたチップのバグにより、世界10億台ものスマホやタブレットの通信が傍受される潜在的脅威が浮上した。

この脆弱性は、スロバキアのセキュリティ企業ESETが発見し、「Kr00k」と名づけられた。Kr00kは、BroadcommとCypress社製のWi-Fiチップのバグに起因する脆弱性だ。

この2社のチップは、世界で最も利用されているもので、アップルのMacBookやiPad、iPhoneやアマゾンのキンドルやエコー、サムスンのGalaxyやグーグルのPixelでも採用されている。

ESETによると、Kr00kはデバイス間通信で利用されるall-zero encryption key(すべてゼロ値の鍵)を引き金とし、サイバー犯罪者がネットワークパケットを解読可能にする脆弱性だという。

Wi-Fiデバイスは通常の場合、長く複雑な暗号化キーを用いることでネットワークへの侵入を防いでいる。しかし、BroadcomとCypressのチップを搭載したWi-Fi機器は、通信強度が弱いときなどに暗号化キーをゼロにリセットする現象を起こし、無防備な状態にしてしまう。0000のような単純な数字の入力のみで、通信を傍受される可能性がある。

つまり、スマホやタブレットのセキュリティが万全であっても、Kr00kの脆弱性をついたサイバー犯罪者に情報を盗まれる危険があるのだ。

ESETは既に問題のチップメーカーに通知を行い、セキュリティの業界団体ICASI経由で、影響を被る可能性のあるデバイスの製造元にも警告を行ったという。

BroadcoomとCypressは既にKr00kに対処する修正パッチを開発し、リリースした。自動アップデート機能を備えているデバイスは、このパッチで対処が完了しているはずだ。

しかし、Kr00kは非常に深刻な脆弱性であり、厳重に対処する必要がある。企業のセキュリティ担当者などは、アップデートが行われているかどうかを、手作業で確認してみたほうがいいだろう。

編集＝上田裕資

フォーブス・ジャパン

この記事を読むと、電波の弱いところで使用している場合に限定されるようですが、岡崎でも中心部以外は比較的電波強度が低いところが有ったりしますので注意は必要でしょうね。

でも、ここで明示された機種以外は、どのWiFi Chip が搭載されているかなんて、普通には分からないので、困ったことですね。スマホのメーカーによっては、バグ・フィックスしてくれない場合もありますので、ちょっとだけ慎重に扱いましょう。