is702
ニュース

Bluetoothに乗っ取り可能な脆弱性、影響を受ける機器は50億台以上

2017/09/19

トレンドマイクロは9月14日、公式ブログで「脆弱性『BlueBorne』、Bluetooth機器の乗っ取りを可能に」と題する記事を公開しました。スマートフォン、デジタルオーディオ、PC周辺機器等で利用されている無線通信規格「Bluetooth」(ブルートゥース)に、深刻な脆弱性のあることが判明しました。

これは、IoTセキュリティ企業の「Armis」が米国時間9月12日に発表したもので、同社はBluetoothの複数の脆弱性を、まとめて「BlueBorne」と名づけ、詳細を報告しました。「BlueBorne」は、Android、Linux、iOS、Windows等に存在するとのことです。

OSに応じた「BlueBorne」を悪用すると、攻撃者は、遠隔操作で機器を乗っ取ることができます。これにより、不正コードの実行、情報収集、「Man-In-The-Middle(MitM、中間者)攻撃」が可能になります。さらに別のBluetooth機器に感染を拡大することも可能です。ただし、攻撃を受ける条件としては、Bluetoothが有効になっていること、Bluetooth機器の通信範囲(通常は10メートル)内にいることがあげられています。

Bluetoothの通信範囲内からの実行が前提となりますが、「BlueBorne」を使った攻撃は、メールを開く・権限を許可するといったユーザの操作なしで実現します。そのため、ノートパソコン、スマートフォン、IoT機器等、幅広い機器が遠隔操作で乗っ取られる恐れがあります。現時点(2017年9月19日9:00)で、攻撃コードおよび攻撃の被害は確認されていませんが、今後本脆弱性を悪用する攻撃が発生する可能性があります。「BlueBorne」を発見したリサーチャによるとBluetooth機能を備える機器は世界中で53億台以上と推察されており、広範な影響が懸念されます。

Bluetooth対応機器を使用しているなら、Bluetooth接続を有効にしておくべきか検討し、不要であればオフにしておいてください。またWindows、iOS、Android、Linux等のユーザは、OSや端末のファームウェアを最新版にアップデートしてください。なお、すでに各社の対応も進んでいます。以下を参考にしてください。

・Windows(Microsoft)
 2017年9月のセキュリティ更新プログラムの公開において、対応する更新プログラムをリリース済み。
 最新のバージョンを速やかに適用してください。
・Android(Google)
 2017年9月のAndroidのセキュリティに関する公開情報で、自社ブランドのNexusとPixelが対処済み。
 それ以外の端末は、製造元にアップデートの対応状況を確認してください。
・iOS(Apple)
 2016年8月にリリースされた「iOS 9.3.5」およびそれ以前が影響を受けます。
 2016年12月にリリースされた「AppleTV バージョン7.2.2」およびそれ以前が影響を受けます。
 最新のバージョンを速やかに適用してください。