はんだ付けの基礎知識 | 製造/建設エンジニアの情報サイト「Tech Note」

はんだ付けの基礎知識 | 製造/建設エンジニアの情報サイト「Tech Note」

はんだ付けの基礎知識 | 製造/建設エンジニアの情報サイト「Tech Note」

図1は、はんだ付け接合部を電子顕微鏡によって、約400倍に拡大した写真です。下が銅の層、上がはんだの層です。はんだと銅の境界線部分に細い帯があるのがわかるでしょうか?(赤矢印の部分)これがはんだと銅を接合しているスズと銅の合金層(金属間化合物)です。はんだ付けは、この合金層によって接合されています。...

はてなブックマーク - はんだ付けの基礎知識 | 製造/建設エンジニアの情報サイト「Tech Note」 はてなブックマークに追加

新分野に売って出る/博洋自動車社長・吉田佳史氏−台湾から観光バスを輸入 – 日刊工業新聞

新分野に売って出る/博洋自動車社長・吉田佳史氏−台湾から観光バスを輸入  日刊工業新聞

博洋自動車(福岡県須恵町、吉田佳史社長、092・937・7474)は、トラックやバスなど大型車両の点検、整備、修理業者。2017年1月に台湾のJIAMA Motor(ジャーマ ...

TeamSQL | Multi-Platform SQL Client – Simple. Effortless. Extensible.

TeamSQL | Multi-Platform SQL Client - Simple. Effortless. Extensible.

TeamSQL | Multi-Platform SQL Client - Simple. Effortless. Extensible.

Cloud Storage & Saved SQL Queries When you save your TeamSQL queries, they are then available to you no matter where you are. Powerful search functionality means that searching in the cloud is as easy as searching on your computer. TeamSQL allows you to save and manage Oracle, MySQL, PostgreSQL, ...

はてなブックマーク - TeamSQL | Multi-Platform SQL Client - Simple. Effortless. Extensible. はてなブックマークに追加

[脆弱性まとめ] WPA2の脆弱性 KRACKsについてまとめてみた

2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。

脆弱性タイムライン

日時出来事
2017年5月19日Vanhoef氏が研究論文を提出。
2017年7月14日頃Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。
その後Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。
2017年8月24日ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表
2017年8月28日CERT/CCから複数の開発ベンダ*1に通知。
2017年10月6日BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。
2017年10月16日SNSなどでKRACKsが話題となり、Vanhoef氏が反響に驚いているとコメント。
同日Wi-Fi AllianceがソフトウェアアップデートでKRACKsが解決可能と発表
同日KRACKsの脆弱性の詳細情報が公開される。
2017年10月18日IPA総務省がKRACKsに関連するセキュリティ情報を公開。
2017年11月1日Vanhoef氏がKRACKsの背景である研究論文をダラスのCCSで発表。
2017年11月8日Vanhoef氏がKRACKsクライアント向け検証コード公開。*2
2017年12月Blackhat EU(ロンドン)でVanhoef氏がKRACKsについて発表予定。

脆弱性の概要

対象Wi-Fi Protected Access II (WPA2)
影響暗号化されたデータの複号による盗聴
特定の暗号化利用時における通信内容の改ざん
通称KRACKs またはKRACK (Key Reinstallation Attacks:鍵再インストール攻撃)
PoCクライアントへの影響有無チェックツール公開あり
CVE-2017-13082のAPへの影響有無チェックツール公開あり
デモ動画あり
悪用の状況観測情報なし(2017/10/16)-Symantec,Wifi Alliance
ロゴあり
発見者/報告者Mathy Vanhoef氏 (@vanhoefm)
発見者による情報公開
対象のCVE一覧

KRACKsの脆弱性として全部で10件のCVEが発行されている。

CVE概要
CVE-2017-130774way Handshakeにおけるペア暗号鍵(PTK-TK)の再インストール
CVE-2017-130784way Handshakeでのグループ鍵(GTK)の再インストール
CVE-2017-130794way Handshakeにおける整合性グループ鍵(IGTK)の再インストール
CVE-2017-13080Group Key Handshakeにおけるグループ鍵(GTK)の再インストール
CVE-2017-13081Group Key Handshakeにおける整合性グループ鍵(IGTK)の再インストール
CVE-2017-13082再送されたFast BSS Transition Reassociation Requestを受け入れ、処理中におけるペア暗号鍵の再インストール
CVE-2017-13084PeerKey HandshakeにおけるSTK鍵の再インストール
CVE-2017-13086TDLS HandshakeにおけるTunneled Direct-Link Setup PeerKey(TPK)の再インストール
CVE-2017-13087ワイヤレスネットワーク管理(WNM)スリープモードレスポンスフレームを処理中におけるグループ鍵(GTK)の再インストール
CVE-2017-13088ワイヤレスネットワーク管理(WNM)スリープモードレスポンスフレームを処理中における整合性グループ鍵(IGTK)の再インストール
  • 攻撃タイプ別の整理
攻撃タイプCVE影響を受ける対象デバイス
4way HandshakeCVE-2017-13077Wifiクライアント
Group Key HandshakeCVE-2017-13078/13079/13080/13081/13087/13088Wifiクライアント
802.11r FTCVE-2017-13082アクセスポイント
PeerKey HandshakeCVE-2017-13084/13086Wifiクライアント

KRACKsによる影響とその範囲

  • WPA、WPA2どちらもKRACKsの影響を受ける
  • Wifiネットワークに接続をするクライアント機能が影響を受ける
  • ルーターによってはクライアント機能や802.11r機能があり、それらが影響を受ける恐れがある
  • 暗号鍵の管理するプロトコル(WPA2)に確認された問題であり、AESなどの暗号化アルゴリズムが破られたわけではない。
  • 4way Handshake以外もGTK、PeerKey、TDLS、FTに対して同様の技法を使って攻撃できる
  • AES-CCMPを利用している場合、HTTPなどのパケットを復号(偽装は不可)し、TCP通信を乗っ取ることができる。
  • WPA-TKIP、GCMPを利用している場合、パケットを偽造し注入することができる
  • Android(6.0以上)やLinuxで使用されているWifiクライアント(wpa_supplicant)のバージョン2.4以上は容易に通信の盗聴、操作ができる
  • 発見者はOpenBSD、MediaTek、Linksysなどの製品でもKRACKsの影響を受けることを確認している
攻撃の前提条件
  • 攻撃者は対象者が使用しているWifiネットワークの範囲内にいる必要がある。インターネットを経由して攻撃することはできない。

影響対象の調査とその対策

回避策
  • KRACKsによる通信の盗聴に対して、VPNやHTTPSを用いて暗号化をする
  • KRACKs影響下においてHTTPSの安全性はWebサイト管理者が適切に設定(HSTSを有効)している場合に担保される
  • 脆弱性が修正されるまで一時的であってもWEPは使用せずWPA2を使い続けることを発見者は推奨している
影響を受ける製品
ベンダ対策状況、ベンダの案内等
Microsoft2017年10月10日のセキュリティアップデートで修正済み。(脆弱性情報の詳細)
Google2017年11月6日のセキュリティパッチレベルで修正。
Apple2017年10月31日付の更新で修正。macOS,iOS,tvOS,watchOSが対象。
iPhone 5s〜iPhone 7 / iPhone SE / iPad Air以降 / 第6世代iPod TouchはVE-2017-13077、13078の影響を受けない。CVE-2017-13080も同様かは不明。
Arch Linuxwpa_supplicant 1:2.6-11: security update
hostapd 2.6-6 (security update)
Aruba NetworksARUBA-PSA-2017-007
WPA2 Vulnerability Discussion
【お知らせ】Wi-Fiの暗号化技術「WPA2」脆弱性対策について
CiscoMultiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II
Cisco Meraki802.11r Vulnerability (CVE: 2017-13082) FAQ
CloudTraxSecurity Notice: Key Reinstallation Attack
CZ.NICMajor WPA2 vulnerability to be disclosed
DD-WRTチェンジセット 33525
DebianDSA-3999-1 wpa -- security update
Espressif SystemsEspressif Releases Patches for WiFi Vulnerabilities (CERT VU#228519)
Extreme NetworksVN 2017-005 - KRACK, WPA2 Protocol Flaw
FedoraFEDORA-2017-f45e844a85
Fortinet[PDF] FortiAP 5.6.1 Release Notes
FreeBSD ProjectFreeBSD Security Notice: WPA2 vulnerabilities
HostAPN/A (CERT/CC listed)
Intel CorporationOne or more Intel Products affected by the Wi-Fi Protected Access II (WPA2) protocol vulnerability
Juniper NetworksN/A (CERT/CC listed)
KPNBeveiligingsonderzoekers vinden kwetsbaarheid in wifi-protocol
LEDEKRACK (Key Reinstallation Attacks), now patched upstream in hostapd
LineageOShttps://review.lineageos.org/#/q/topic:krack-n
Microchip TechnologyVU#228519 - Wi-Fi Protected Access II (WPA2) Vulnerabilities
NETGEAR【重要】弊社無線製品のWPA2脆弱性対応状況について
WPA2 脆弱性 セキュリティアドバイザリー (PSV-2017-2826, PSV-2017-2836, PSV-2017-2837)
Security Advisory for WPA-2 Vulnerabilities, PSV-2017-2826, PSV-2017-2836, PSV-2017-2837
OpenBSDOpenBSD Errata: August 30th, 2017 (net80211)
PeplinkSecurity Advisory: KRACK WPA2 Vulnerability (VU#228519)
pfSenseWPA2 issue (KRACK)
RedhatKRACKs - wpa_supplicant Multiple Vulnerabilities
rivebed[PDF] Security Advisory KRACK WPA/WPA2 Vulnerability
SophosAdvisory Sophos Wireless affected by WPA and WPA2 vulnerabilities with key reinstallation attacks (KRACKs)
SUSEBug 1063479 - VUL-0: hostap: WPA2 attacks (VU#228519) aka ”KRACK”
SynologySynology-SA-17:60 KRACK
TP-LinkWPA2 セキュリティの脆弱性に関して(KRACKs)
Severe flaws called ”KRACK” are discovered in the WPA2 protocol
Ubiquiti Networks3.9.3.7537 for UAP/USW has been released
ubuntuUbuntu Security Notice USN-3455-1
WatchGuardWPA and WPA2 Vulnerabilities Update
WPA と WPA2 の脆弱性に関する最新情報
Zyxel CommunicationsZyxel security advisory for the key management vulnerabilities of WPA2 protocol
IODATAWPA2の脆弱性に関する弊社調査・対応状況について
BUFFALO無線LAN製品のWPA2の脆弱性について
ヤマハ「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について
アライドテレシスWi-Fi Protected Access II (WPA2) ハンドシェイクに関する脆弱性
D-link japan「WPA2の脆弱性」 に関する弊社調査状況について
ELECOMWPA2の脆弱性に関する弊社調査・対応状況について
日本電気【重要】「WPA2」の脆弱性に関するお知らせ
無線LAN(Wi-Fi)通信規格 WPA2における複数の脆弱性について
富士通N/A(JVN listed)
東芝デバイス&ストレージN/A(JVN listed)
東芝メモリ無線LAN搭載 SDメモリカード/FlashAir™における「WPA2の鍵情報の生成・管理に関する脆弱性」について
PLANEXWPA2の脆弱性への対応についてのお知らせ
フルノシステムズ【重要なお知らせ】無線LAN製品のWPA2の脆弱性に関するお知らせ
【重要なお知らせ】無線ハンディターミナル製品のWPA2の脆弱性に関するお知らせ
  • この一覧が影響対象のすべてを網羅したものかどうか不明。(CERT/CC、JVNの調査をベースとして記述)
  • 引用した取材情報*3 *4
影響を受けない製品

KRACKsの調査、まとめ、注意喚起など

全国紙、テレビ等での報道

報道元日付/記事名
NHK2017年10月17日 ニュースチェック11 トレンド「無線LAN」
2017年10月18日 ニュースチェック11 世界で使用 "Wi-Fi"規格に欠陥
日本経済新聞2017年10月17日夕刊 Wi-Fi 深刻な脆弱性 最新暗号方式修正ソフトを配布
2017年10月18日朝刊 Wi-Fi 深刻な脆弱性 IoT基盤に不安
2017年10月19日朝刊 ソフト更新呼びかけ Wi-Fi機器で総務省
読売新聞2017年10月18日朝刊 WiFi暗号化に弱点 攻撃される条件 限定的
毎日新聞2017年10月18日朝刊 無線LAN 深刻な欠陥 「暗号鍵」ハッキング メール盗み見も
産経新聞2017年10月18日朝刊 無線LANに申告欠陥 暗号化関連の技術 注意喚起
朝日新聞2017年10月19日朝刊 Wi-Fi暗号に申告な欠陥

更新履歴

  • 2017年10月17日 AM 新規作成
  • 2017年10月17日 PM 誤字を修正。影響範囲を追記。対策の「パスワード変更の必要がない」といった記述を削除。
  • 2017年10月18日 AM 国内ベンダの影響を追記。新聞報道を追記。
  • 2017年10月18日 PM IPAや総務省の注意喚起を追記。
  • 2017年10月19日 AM 国内ベンダの影響を追記。新聞報道を追記。
  • 2017年10月21日 AM CVE-2017-13082のチェックツール、国内ベンダの影響を追記。
  • 2017年11月09日 AM 続報追記。

*1:報道では約100組織

*2https://twitter.com/vanhoefm/status/928117439631642625

*3Microsoft Quietly Patched the Krack WPA2 Vulnerability Last Week,BLEEPINGCOMPUTER,2017年10月17日アクセス

*4Microsoft has already fixed the Wi-Fi attack vulnerability,THE VERGE,2017年10月17日アクセス

移民はダメだが「技能実習生」なら受け入れる! 激しい日本の搾取に中国人もベトナム人も怒った│米紙突撃ルポ | クーリエ・ジャポン

移民はダメだが「技能実習生」なら受け入れる! 激しい日本の搾取に中国人もベトナム人も怒った│米紙突撃ルポ | クーリエ・ジャポン

移民はダメだが「技能実習生」なら受け入れる! 激しい日本の搾取に中国人もベトナム人も怒った│米紙突撃ルポ | クーリエ・ジャポン

移民はダメだが「技能実習生」なら受け入れる! 激しい日本の搾取に中国人もベトナム人も怒った│米紙突撃ルポ 移民はいつまでたっても受け入れないが、抜け道はある。日本の中小工場が長年にわたって外国人労働者を使ってきたのは「技能実習」なる方法だった。しかし、実態は女工哀史そのものの激しい搾取。その実態に、米紙「ニューヨーク・タイムズ」が迫った。 「中国の月収3倍」に惹かれて来日 リュウ・ホンメイは上海の...

はてなブックマーク - 移民はダメだが「技能実習生」なら受け入れる! 激しい日本の搾取に中国人もベトナム人も怒った│米紙突撃ルポ | クーリエ・ジャポン はてなブックマークに追加