AirSnitch：Wi-Fiネットワークのクライアント隔離を回避する攻撃を研究者が考案

佐々山 Tacos

2026.02.27

AirSnitch：Wi-Fiネットワークのクライアント隔離を回避する攻撃を研究者が考案

ArsTechnica – February 26, 2026

Wi-Fiクライアントの隔離機能の回避する新たな攻撃「AirSnitch」に関する論文を、カリフォルニア大学などの研究者らが発表。テストでは、NetgearやD-Link、Ubiquiti、Ciscoなどのルーターに加え、DD-WRTやOpenWrtを用いるルーターに対してもAirSnitch攻撃の有効性が確認されたという。

AirSnitchは、Wi-Fiの認証や暗号化を破る攻撃ではなく、クライアント隔離機能の回避を可能にする中間者攻撃（MitM：Machine-in-the-Middle攻撃）と説明されている。AirSnitchが標的とするのは、ネットワークレイヤーの最下層にあるレイヤー1（物理層）とレイヤー2（データリンク層）。各レイヤーのコア機能を利用し、また、物理的接続（BSSIDなど）とMACアドレスの結び付けが厳密に保証されていない設計を悪用し、SSIDや内部ブリッジをまたいでクライアント識別の整合性を崩すこと、クライアント隔離を回避できるという。

AirSnitch攻撃は、大まかに以下のような流れで実行可能とされる。なおここでは、攻撃者が対象となるWi-Fiに正規接続できていることが前提条件となる。

①攻撃者が、ターゲットユーザー（以下「被害者」）が使用していない方のBSSIDに接続する（例：ターゲットが5GHzを使用中であれば、攻撃者は2.4GHzを使う）。

②続いて、Wi-Fiの4-wayハンドシェイクを完了する。

③攻撃者は、自らのNICで被害者のMACアドレスを名乗り、被害者になりすます。これにより、APの内部スイッチは被害者のMACアドレスと攻撃者のポート／BSSIDを誤って紐付ける。

④ルーターから被害者宛に送られるはずのパケットが、攻撃者側へ送られることになる。この通信は攻撃者のPTKで暗号化されるため、復号が可能となっている。これにより、被害者にとってはDoS状態が生まれる。

⑤被害者が異変に気付かないよう、また双方向の中間者ポジションを確立できるよう、攻撃者はランダムなMACアドレスからICMP pingを送る。このpingは全クライアント間で共有されるグループ鍵（GTK）でラッピングされていることから、元々のレイヤー1マッピング（MACアドレスとポートの対応付け）を回復させる返答が引き起こされる。

⑥上記の流れにより、被害者の通信は自然に復活する。

⑦攻撃者は必要に応じてMACの奪取と元のマッピングの回復を繰り返すことで、双方向の中間者攻撃を実現する。

研究者らは、以下11種類のデバイスに対して複数パターンのAirSnitch攻撃をテスト。すると、どのデバイスも少なくとも1つの攻撃パターンに対して脆弱だったという。

Netgear Nighthawk x6 R8000
Tenda RX2 Pro
D-LINK DIR-3040
TP-LINK Archer AXE75
ASUS RT-AX57
DD-WRT v3.0-r44715
OpenWrt 24.10
Ubiquiti AmpliFi Alien Router
Ubiquiti AmpliFi Router HD
LANCOM LX-6500
Cisco Catalyst 9130

一部のルーターメーカーは既に攻撃の一部を緩和する更新プログラムをリリースしており、今後もさらなるアップデートの提供が見込まれているとされる。ただ、いくつかのメーカーは、システム的な弱点の一部はシリコンメーカーから調達している基盤チップの変更を通じてのみ対処可能だと述べているという。

クライアント隔離のメカニズムはメーカーごとに異なり、業界全体の標準が存在しないため、こうした個別の対応策にはまとまりがなく、協調的なセキュリティ的関心が寄せられない可能性がある。この点も、メーカーにとっては課題となっている。

AirSnitch攻撃を実現するには一定の技術力が必要となるほか、攻撃者がWi-Fiへ接続できることが前提条件となることなどから、現実世界における差し迫った脅威となる可能性は高くはない。ただ、これまで安全視されていたクライアント隔離を崩すものであること、公衆Wi-Fiや設定の甘い企業・家庭環境では実現可能であること、また完全な緩和にはチップレベルでの修正が必要となる可能性があることなどから、軽視すべきではないと言えそうだ。