Bluetoothを搭載した端末多数に影響を及ぼす、深刻な脆弱性が複数あることが、明らかになった。セキュリティ企業の米Armisが「BlueBorne」と名付けた8件の脆弱性は、悪用されると端末の乗っ取りや情報漏えいを引き起こすおそれがある。
Armisによると、脆弱性BlueBorneは、Android、iOS、Windows、Linux、tvOS(AppleTV用のOS)に影響する。Bluetooth機能を搭載した、膨大な数のスマートフォンやタブレット、パソコンやIoT機器が被害にあう可能性があり、JPCERT/CCと内閣サイバーセキュリティセンターが13日、注意喚起を行っている。
Armisによると、BlueBorneを悪用するにはペアリング(機器同士で初めてBluetooth通信を行う際に必要な操作)が不要で、Bluetoothがオンになっている端末が通信可能な範囲内にあればよい。
ただし、攻撃には相手のBluetoothのMACアドレスが必要だ。アドレスは、ペアリング済みの相手や、ペアリングモードに入って検出済みの相手のものなら分かるのだが、通常は分からない。入手するためには、「通信を傍受する」、「総当たりで試す」、「端末を操作して表示し書き写す」など、何らかの方法を用いなければならない。こうした準備を行った上で攻撃が可能になるため、誰かが知らずに持ち込んだ感染端末から瞬く間に感染が広がっていくという状況は考えにくい。
Armisはすでに関連する企業や団体に情報を提供しており、問題に対応したアップデートも公開されている。
JPCERT/CCのまとめた情報によると、現時点でBlueBorneの影響を受けるOSは以下の通り。
・Android:セキュリティパッチレベル2017年9月を適用していないAndroid
・Windows:2017年9月マイクロソフトセキュリティ更新プログラムを適用していないWindows Vista以降のWindows
・Linux:Kernel 3.3-rc1 以降のバージョン、BlueZ すべてのバージョン
・iOS、tvOS:iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前
iOS 10はすでに対策が施されているという。また、WindowsユーザーはWindows Updateを実行して今月のセキュリティ更新プログラムを適用すればよい。問題なのはAndroid端末で、Androidを開発、提供しているGoogleは9月のセキュリティパッチでこの問題に対応したのだが、このパッチはWindows Updateのようにユーザーが手動で適用できるものではない。端末のメーカーや通信キャリアが行う「システム更新」を待たなければならないのだ。システム更新が行われて脆弱性が解消されるまでの間は、不便なこともあるだろうが、Bluetoothをオフにしておくことをおすすめする。
(2017/09/14 ネットセキュリティニュース)
【関連URL】
・The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device
[英文](Armis Labs)
https://www.armis.com/blueborne/
・Bluetoothの実装における脆弱性 "BlueBorne" に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2017/at170037.html
・#BlueBorne脆弱性に関する注意喚起(内閣サイバーセキュリティセンターのツイート)
https://twitter.com/i/moments/907846889776836608
・様々なBluetooth実装に複数の脆弱性(JVN)
http://jvn.jp/vu/JVNVU95513538/index.html