4月10日Wi-Fiセキュリティ規格「WPA3」に影響を及ぼす脆弱性が、Mathy Vanhoef氏とEyal Ronen氏によって公開されました。このうちVanhoef氏は前身のWPA2において著名な脆弱性「KRACKs」を公開した人物です。

WPA3では、主に個人や家庭向けの「WPA3-Personal」と、企業・組織向けの「WPA3-Enterprise」の2つのモードが提供されています。WPA3-PersonalではSAEと呼ばれるクライアントとルータやアクセスポイント間のハンドシェイク方式を採用していて、これが通称Dragonflyと呼ばれています。

今回の脆弱性はこのDragonflyの設計上の不備を利用したものです。

CVE番号は、「CVE-2019-9494」「CVE-2019-9495」「CVE-2019-9496」「CVE-2019-9497」「CVE-2019-9498」「CVE-2019-9499」など都合6件。

この脆弱性に対する攻撃は、容易にかつ低コストで行えるとしています。