今日は、無線LANのWPA2の脆弱性問題で、朝からいろいろと賑やかだった。それにしても、その第一報にたいする条件反射みたないネットの書き込みは、なかなかに考えさせられるものがあった。
正直いって、あまりに情報の少ない初期の情報だけで、"後続の規格がない"とか、"ハードを全部変えなきゃだめー"とか、まぁびっくりするくらい短絡的な反応がたくさんあって、パニックというのは、こうやって広がっていくのだなと観察できた。
結局のところ、昼過ぎには元の論文も公開されて、それなりに詳しい人もざくっと読んでコメントし始めるし、Wi-Fi Allianceも正式なコメントを出して、Open source系も対策パッチがリリースされた。
基本的には、MIM(Man in the Middle)といって、悪意のある偽基地局が端末と正規の基地局の間に入って、接続手順(プロトコル)の途中で特定の処理を操作した時に、端末がとるべき反応が不適切な場合に生じる問題だ。
問題は、こういう手順は、標準規格であるIEEE802.11で規定してるのだが、規格の解釈によって実装が異なったり、規格に明確に書かれていない部分があったりして、実装によって望ましくない挙動があることだ。
だから、規格をつくる側の仕事をしている人たちは、曖昧さを排除する努力を続けているのだが、それでも完璧ではないので、こういう部分はでてくる。
IEEE802やWi-Fiで活動している仲間からの複数の情報をみると、まぁ問題は、論文発表前にそれなりに関係者には伝わっていて、パッチや対策の実装と検証がそれなりに準備されていたので、速やかなリリースがされたようだ。
それにつけても、それなりにネットでご高説を垂れてる専門家的な人でも、最初の一報で、かなり断定的というか深読みした発言をしていたのをみると、こういう人は、要するに浅慮なタイプなんだなという、自分なりの基準ができたのはありがたい。
なかには、この騒ぎに乗じで、自社製品なら大丈夫的な展開をしてる人もいて、シロアリ商法というか火事場泥棒というか、もう呆れてしまった。
まぁ、ネットの書き込みは、反応速度が早いということにも価値があるのだろうから、なんでも熟考に熟考を重ねてとはいかないだろうけど、だったらあまり断定的なことは書かなきゃいいのにとも思うわけだ。
というわけで、まぁ僕は関西人じゃないけど、こういう時には、最後に「知らんけど」をつけるのが重要だなと思うわけだ。
ところで、技術的な話、今回のは原理的には、有線でもMIMができれば起こるわけだから、
「おおお、有線LANも危険らしいぞ、使ってる人は直ぐにLANの線抜かないとヤバイらしい......知らんけど」
とでも、書いておくか。