2026年2月25日にセキュリティ学会NDSS 2026で発表されたWi-Fi攻撃手法「AirSnitch」について解説する。AirSnitchは、WPA2/WPA3の暗号自体を解読するのではなく、ルーターやAPが提供する「クライアントアイソレーション」機能の構造的欠陥を突いて中間者攻撃(MitM)を成立させる手法である。研究チームの実証テストでは、家庭用ルーターからエンタープライズ環境まで、検証したすべての環境で少なくとも1種類の攻撃が成立した。実環境ではWPA2-Enterprise(eduroam含む)で傍受を実証しており、WPA3-Enterpriseについても論文上はラボ環境で攻撃が成立し得ると整理されている。
発表の概要
カリフォルニア大学リバーサイド校(UCR)のXin’an Zhou氏らと、ベルギーKU LeuvenのMathy Vanhoef氏の共同研究チームが、NDSS Symposium 2026(2月23〜27日、サンディエゴ)にて論文「AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks」を発表した。
クライアントアイソレーション(APアイソレーション)は、同一Wi-Fiネットワーク上のクライアント同士の直接通信を遮断する保護機能である。ARPスプーフィング等の内部攻撃を防ぐ目的でベンダー各社が独自に実装してきたが、IEEE 802.11標準には規定されておらず、実装手法は統一されていない。AirSnitchは、この非標準機能の構造的弱点を体系的に分析し、バイパスする攻撃手法群の総称である。
なお本件は学術研究における概念実証(PoC)であり、現時点で攻撃者による野生での悪用被害は報告されていない。
共著者のMathy Vanhoef氏は、WPA2の鍵再インストール攻撃「KRACK」(2017年)やWi-Fiフレーム処理の脆弱性群「FragAttacks」(2021年)の発見者として知られる。今回の研究は、暗号プロトコル自体ではなく、クライアントアイソレーションという運用層の保護を対象としている点が従来とは異なる。
攻撃の仕組み ― 3つの根本原因
研究チームは、Wi-Fiのネットワークスタックにおけるレイヤー間の同期不備を突く以下の3つの根本原因を特定している。
1. 共有グループ鍵(GTK)の悪用
ブロードキャスト通信を保護するGroup Temporal Key(GTK)は、同一BSSIDに接続する全クライアントで共有される。攻撃者はGTKで暗号化したフレームを生成し、APからのブロードキャストに偽装して被害者に直接注入できる。このフレームはAP側のルーティングを経由しないため、アイソレーション機能では遮断されない。
2. 単一レイヤーでのアイソレーション実装(Gateway Bouncing)
多くのベンダーはアイソレーションをレイヤー2(MAC層)またはレイヤー3(IP層)のどちらか一方でしか実施していない。攻撃者は、APのゲートウェイMACアドレスを宛先にしつつ、IPヘッダーの宛先を被害者のIPアドレスにしたパケットを送信する。ゲートウェイはレイヤー3のルーティングとして被害者にパケットを転送するため、レイヤー2のアイソレーションを迂回できる。
3. クロスレイヤーでのID非同期(Port Stealing)
Wi-Fiでは、クライアントのMACアドレス・暗号鍵・IPアドレスが各レイヤー間で暗号的に紐づけされていない。攻撃者が被害者のMACアドレスを詐称して別の周波数帯やSSIDで同一APに接続すると、AP内部のMACアドレステーブルが書き換わり、被害者宛のダウンリンクトラフィックが攻撃者に転送される。さらにゲートウェイのMACアドレスを詐称すれば、アップリンクトラフィックも傍受でき、双方向のMitMが成立する。
実証テスト結果
研究チームは家庭用ルーター5機種、オープンソースファームウェア2種、エンタープライズ機器4機種、実際の大学ネットワーク2環境でテストを実施した。論文によれば、すべての環境で少なくとも1種類の攻撃が成立している。
テスト対象機器
| カテゴリ | 検証機器/ソフトウェア |
|---|---|
| 家庭用ルーター | Netgear Nighthawk X6 R8000、Tenda RX2 Pro、D-Link DIR-3040、TP-Link Archer AXE75、ASUS RT-AX57 |
| オープンソースFW | DD-WRT v3.0-r44715、OpenWrt 24.10 |
| エンタープライズ | Ubiquiti AmpliFi Alien Router、Ubiquiti AmpliFi Router HD、Cisco Catalyst 9130、LANCOM LX-6500 |
| 実環境 | 大学ネットワーク2環境(eduroam含む) |
論文の注入テスト(10観点)と傍受テスト(8観点)の結果、D-Link DIR-3040とLANCOM LX-6500はほぼ全観点で攻撃が成立した。OpenWrtは推奨ゲスト設定でPort Stealing(傍受系)を抑止できたが、注入系は一部条件で成立しており、完全な防御には至っていない。攻撃パターンの成否はベンダー・機種ごとに大きく異なり、クライアントアイソレーションの実装が標準化されていない現状を反映している。
ゲストネットワーク経由の攻撃実証
実務上とくに注目すべきは、ゲストSSIDと企業SSIDが同一APハードウェア上で稼働する構成に対する実証結果である。研究チームはNetgear R8000を使用したラボテストで、ゲストネットワークに接続した攻撃者が、異なるSSID・異なる認証情報・異なる暗号鍵で保護された企業SSIDのトラフィックを傍受できることを実証した。大学ネットワークの実環境テストでは、ゲスト用ネットワークからWPA2-Enterprise(eduroam)ユーザーのダウンリンクトラフィック傍受に成功している。いずれも研究チームの管理下にある自身のデバイスを対象とした実験であり、第三者への影響はない。
実務視点での評価
攻撃成立の前提条件
AirSnitchの攻撃が成立するには、攻撃者が対象ネットワーク(または対象APが提供する別のSSID)に正規に接続できることが前提条件となる。外部から非認証状態で電波を傍受するだけでは実行できない。この点で、KRACK(暗号鍵の再インストール)やFragAttacks(フレーム処理の脆弱性)とは脅威モデルが異なる。攻撃リスクが高い典型的な構成は以下の通りである。
- パスワードが広く共有された(または認証なしの)ゲストSSIDと、業務用SSIDが同一APで稼働している
- 空港・カフェ等のオープンWi-Fiと、同一事業者の業務ネットワークが同一AP基盤を共有している
- 複数のAPが同一配線スイッチ(Distribution Switch)に接続されたキャンパス/フロア構成で、異なるSSID間の分離がVLAN/ファイアウォールのみに依存している
「論理的ネットワーク分離」の限界
企業や大学では、コスト効率のためにゲスト用と業務用のSSIDを同一APで運用するのが一般的である。SSID・VLAN・認証を分ければ十分なセグメンテーションが確保できるという前提で設計されてきたが、AirSnitchはこの前提に疑問を投げかけている。論理的な分離(SSID・VLAN・ファイアウォールルール)だけでは不十分であり、研究チームは「信頼度の異なるネットワークにはAPハードウェアの物理的分離が必要」としている。
しかし、すべてのフロアで業務用APとゲスト用APを別途設置するのは、設備投資・配線工事・管理コストの面で現実的ではない拠点が多い。段階的な対応として、機密性の高いセグメント(役員フロア、開発セグメント、認証基盤周辺など)から優先的にAPの物理分離を進め、来客用Wi-Fiについては同一APの共存を避けられない場合でも、少なくとも別コントローラ/別スイッチ/別L3セグメントへの分離を検討するといった優先順位の設計が求められる。
MitM成立後の影響範囲
MitMが成立してもHTTPS通信の内容自体は保護される。ただし以下の攻撃は可能になる。
- DNSクエリの盗聴および応答の改ざん(Secure属性未設定のCookieの窃取にもつながり得る)
- 社内イントラネット等の平文通信の傍受
- 通信メタデータ(接続先ホスト名・通信パターン等)の漏洩
修正の見通し
UCRの研究チームは、ソフトウェアパッチだけでは根治しないと明言している。クライアントアイソレーションはIEEE 802.11標準に規定されていない非標準機能であるため、根本的な対策にはIEEEでの標準化を含むアーキテクチャレベルの見直しが必要となる。ベンダーには発表前に通知済みだが、標準化とハードウェア更新には数カ月から数年を要する見込みである。現時点でCVE番号は個別には割り当てられておらず、Hacker News上でVanhoef氏自身がベンダーごとの採番になる旨を示唆している。
当面の運用対策
- APハードウェアの物理的分離:同一AP内でのゲスト用・業務用のSSID共存が最もリスクの高い構成となる。高機密セグメント(役員フロア、開発環境、認証基盤周辺)を優先して物理分離を検討する。
- VPN/DNS暗号化の導入:MitM成立後の影響を軽減するため、社内Wi-Fi環境であってもVPNの利用を推奨する。DNS暗号化(DoH/DoT)も併用し、DNS盗聴・応答改ざんのリスクを低減する。
- 無線IDS/IPSの検知ルール更新:異常なMACアドレスの重複(Port Stealingの兆候)や、不正なゲートウェイ経由の通信を検知するルールを点検・有効化する。
- APファームウェアの更新監視:各ベンダーから提供される緩和策(IP層およびMAC層両面でのアイソレーション強制など)が含まれるファームウェアアップデートを随時適用する。
コメント