古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/09/20 10:00
Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ: アプリで脆弱であることが判明。2014年冬に発売されたSH-02Gは、Android 4.4までしか提供されていません。Bluetoothはオフにしたほうがいいでしょう © ITmedia エンタープライズ 提供 アプリで脆弱であることが判明。2014年冬に発売されたSH-02Gは、Android 4.4までしか提供されていません。Bluetoothはオフにしたほうがいいでしょう

 また、新たなセキュリティ問題が発生しました。米セキュリティ企業のarmisが発表したBluetoothに関する脆弱(ぜいじゃく)性、「BlueBorne」です。PCやスマートフォン、IoT機器など、およそ82億台ものデバイスに影響が及ぶ可能性があると指摘されています。

 このBlueBorneの恐さは、「Bluetoothをオンにしていると、そこから攻撃が行えてしまう」点です。ペアリングの必要も無いので、見知らぬ人の端末を感染させることもできるとarmisは動画で警告しています。

 特に影響があるのはスマートフォンではないでしょうか。ワイヤレスヘッドフォン人気が人気を博している昨今、昔に比べてBluetoothを使う人が増えているからです。このような「無線」、しかもインターネットではない攻撃ルートが明らかになったのは衝撃的な展開です。

●日本でも注意喚起、まず、講じるべき対策は

 この脆弱性「BlueBorne」に関しては、日本で脆弱性情報をとりまとめているJPCERT コーディネーションセンターでも注意を喚起しています。影響を受けるのは、主に「Android」「iOS」「Windows」「Linux」を搭載したデバイス。既に修正アップデートが配信されており、Androidは2017年9月のセキュリティパッチ、iOSは10以降、Windowsは2017年9月12日にリリースされたセキュリティパッチで対応しています。

・Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起

 armisはAndroid向けのアプリ「BlueBorne Vulnerability Scanner by Armis」をリリースしており、これを使うとインストールした端末にBlueBorneの影響があるか、身の回りに影響があるデバイスがあるかどうかを確認してくれます。

 早速、このアプリをダウンロードして、手元にあった古いAndroid端末をチェックしてみました。3年前に購入したこの端末は、「Vulnerable」と表示され、“脆弱な状態にある”ことが分かります。

 また、このアプリでは「近接するデバイスをスキャンし、問題が無いかどうかを確認する」機能もあります。これがなかなか衝撃的で、自宅の中でスキャンすると想像を超える数のデバイスが表示されます。

 ただし、そのほとんどはBluetoothが使える端末に固有のID、MACアドレスだけしか表示されていない上、各機器でそのMACアドレスを確認する機能がほとんどないため、スマートフォン(Android/iOS)、Windows端末以外は何のデバイスなのかがさっぱり分からないという課題があります(これはarmisのアプリの問題ではなく、Bluetoothを搭載する各機器側の課題だと思っています)。

 最近のIoT機器はAndroidベースであることが多く、わが家でも「Amazon Fire TV」(AndroidをベースとしたFire OS)、ひかりTVチューナー(Android 4.0)がリモコンとしてBluetoothを利用しているようです。今回の影響があるのではないかと思うのですが、MACアドレスが不明で調査できませんでした。

 利用者としてはいまのところ、「最新のOSアップデートを適用すること」と「ベンダーがアップデートを提供することを信じること」しかできません。もし、アップデートが配信されていない場合、Bluetoothはしばらくオフにしておくことをお勧めします(9月19日時点では、残念ながらほとんどのAndroid端末はまだアップデートがなく、この脆弱性の影響があると思っています)。

●身近にある端末の安全すら把握できない恐さ

 以前、自宅に「ウイルスバスター for Home Network」を導入し、そのスキャン機能を試したときに、自分でも忘れていた機器がネットワークにつながっていることに驚きました。

 しかし、Bluetoothでつながっている機器はさらに多く、見えにくいはずです。今回は「親機」になり得る端末が対象のようですが、スマートフォンだけでなくテレビのセットトップボックスもAndroidで動き、最近はリモコンがBluetooth化されていることも多いので、BlueBorneの影響範囲は昔に比べて広くなっています。

 そして今回の大きな問題は、「アップデートが適切に提供されるかどうか」ということです。Androidに関しては、Android 8.0(Oreo)以降の「Project Treble」対応ベンダーならばある程度安心できそうですが、それ以外の機器はベンダーを信頼するしかありません。さらに問題なのは、家庭内にある「PC、スマホ以外のIT機器」なのかもしれません。

 今回、攻撃手法として「Bluetooth」が狙われましたが、今後も驚くような攻撃手法が、予想もしないところから狙ってくる可能性があります。特にIoT機器を提供するベンダーは、PCやスマホのように「セキュリティ的な洗礼」を受けていないことで、仕組みが脆弱だったり、アップデートを想定していないこともあるかもしれません。

 BlueBorneについては、現時点の影響とともに、ベンダー各社がどのように対応しているかにも注目したいと思っています。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon