メディア
HRTech
Microsoft 365
クラウドERP
生成AI
ゼロトラスト
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

Bluetoothの脆弱性が危険な件、あなたのイヤフォンは大丈夫?:579th Lap

スマホやPCなどのデバイスと周辺機器を無線でつなぐ身近で便利な技術「Bluetooth」に新たな脆弱性が見つかった。対策を取らなけらばデバイスが乗っ取られてしまう可能性もあるという。

» 2020年09月18日 07時00分 公開
[キーマンズネット]

 スマートフォンなどのデバイスとワイヤレスで接続できる「ワイヤレスイヤフォン」。デバイスとの無線接続を可能とするのが「Bluetooth」だ。そんな身近で便利なBluetooth技術に恐ろしい脅威が発見されたという……。その詳細とは――?

 今回見つかったBluetoothの脆弱性は「BLURtooth」だ。Bluetoothの標準化やライセンス発行を担う団体Bluetooth Special Interest Group(Bluetooth SIG)が報告した

 「BLURtooth」とは、どういう脅威なのだろうか。

 明らかとなった発端は、スイス連邦工科大学ローザンヌ校の研究チームと米国のパデュー大学の研究チームがそれぞれ発見した脆弱性だ。いずれも「Cross-Transport Key Derivation(CTKD)」という、Bluetoothの機能に関連している事柄についてだ。

 ワイヤレスイヤフォンのようなBluetooth対応機器は、“親機”であるスマートフォンなどのデバイスとペアリングするときに「Bluetooth Basic Rate/Enhanced Data Rate(BR/EDR)」という規格、もしくはそれより効率のよい「Bluetooth Low Energy(LE)」といった規格で接続している。

 Bluetooth対応機器には、Bluetooth BR/EDRとBluetooth LEの両規格にも対応しているものもあり、親機と接続したときに一方の規格でペアリングが完了したら、その後はその規格のみでペアリングして以降の手間を省く。これは「デュアルモード」と呼ばれる機能で、CTKDは、そのデュアルモードをサポートする。

 CTKDは、ペアリングの際に必要な認証キー「Long Term Key(LTK)」や「Link Key(LK)」を生成して管理する。ペアリング時にはこの認証キーがデバイス間でやりとりされている。今回報告された脆弱性情報によると、このデバイス間の通信に第三者が割り込み、認証キーを上書きして「乗っ取りペアリング」が可能になってしまうという。これこそが「BLURtooth」の正体だ。対象はBluetooth 4.2〜5.0に対応した製品で、Bluetooth 5.1以降対応の製品ははCTKDの機能が制限されているので攻撃は回避できるという。

 乗っ取られたデバイスは第三者の思うがままとなる。イヤフォンなら別の音声が流されることもあるだろうし、キーボードなら勝手に文字入力されることもあるだろう。Bluetooth SIGによれば、デバイスのファームウェアをアップデートすることを推奨しているが、アップデート不可の製品も多い。その場合は「使わない」という選択肢しかなくなってしまう。Bluetooth対応製品を利用していれば、製品と販売元の対応を確認してほしい。

上司X

上司X: Bluetoothに脆弱性が発見されて大変、という話だよ。


ブラックピット

ブラックピット: へー。「BLURtooth」って語呂がいいですね。


上司X

上司X: BLUR(ブラー)って、英語だと「あんまり良くない」的な見合いで使われるコトが多いのかな?


ブラックピット

ブラックピット: あまり知りませんけど、会話で「blah」が出てくるとネガティブな意味合いですね。正確に訳すのは前後のやりとりから日本語を選ぶしかないでしょうが……。


上司X

上司X: まあブラーの意味はいいとしてだ。キミもBluetooth製品使っているだろう?


ブラックピット

ブラックピット: 使ってます。ヘッドフォンやらキーボードやらマウスやら……。ワイヤレスは快適です。一昔前の製品だとペアリングが面倒だったりしたんですけど、最近のはサクサクつながって便利になりましたよね。


上司X

上司X: そうそう。そんなペアリングの部分に脆弱性が潜んでいたとはな。


ブラックピット

ブラックピット: 具体的な攻撃方法が広まる前になんとかしなくちゃ、とは思いますけど、まさか自分がそんな被害に遭うわけないよね……という楽天的な思考も両立して存在します。


上司X

上司X: なんかそれっぽいこと言ってるけど結局「面倒」ってことだろう? 乗っ取られたときには手遅れなんだぞ。すぐに自分の使ってるBluetoothデバイスのバージョンチェックとファームウェアのアップデートが可能かどうか調べないとな。俺もこれからチェックするさ……。しかしまあどこにでも危険は潜んでいるものだ。油断ならないなあ。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。