全Bluetooth端末が狙われる？ 脆弱性「BlueBorne」対策：セキュリティ強化塾（3/3 ページ）

2017年9月に発見されたBluetoothの脆弱（ぜいじゃく）性は53億ものデバイスが対象になるという。どのように対応すべきか。

[キーマンズネット]

対策が取れるかどうか、BlueBorneで「訓練」してみよう

　今回のBlueBorneに関しては、名前があるなしにかかわらず、対策が必要な脆弱性だと筆者は考えている。その対応は「修正プログラムを適用する」ことが原則だ。

　JPCERT／CCの注意喚起にあるように、Androidは2017年9月のセキュリティパッチで、iOSは10以降で、Windowsは2017年9月12日にリリースされたセキュリティパッチで修正が行われている。Linuxも各ディストリビューションから修正プログラムが配布されているので確認しておきたい。

　次に考えるべきは、何らかの脆弱性が発表されたときに「管理下にあるどのデバイスが影響を受けて、それは今どこに存在していて、修正プログラムを適用できているかいなか」が把握できる環境にあるかということだ。これは企業における脆弱性管理である。

　これまでは企業内のPCはIT資産管理の文脈で、PCの型番やOSのバージョン、インストールされているソフトウェアの管理が行ってきた。しかし、今後はインストールされているプログラムのライブラリバージョンを含めた管理が求められる（既に可能な製品も存在する）。

　BlueBorneで問題になるのは、修正アップデートの配布が限定的なAndroidだ。Androidは最新のアップデートが配信されない端末も多く、今回のBlueBorneの影響を大きく受けるOSといえる。特に今回は、端末の乗っ取りも可能であることから、Androidでは「Bluetoothをオフにする」という単純かつ効果的な対策をとることを考えたい。この場合、モバイルデバイス管理（Mobile Device Management：MDM）の機能を用いて、企業内の端末を一斉にコントロールできる仕組みを検討したい。

　BlueBorneの発表から1カ月ほど経過したが、今のことろ、これを悪用した大規模な攻撃が行われたとは報道されていない。それは、多くのOSで既に修正プログラムが配布されていることもあるだろう。しかし、今後、あっと驚くような手法でサイバー攻撃が行われるかもしれない。

　報道はどうしても「煽りがち」になるが、根本を理解してセキュリティリスクをできる限り下げられるように落ち着いて対策し、平時からの準備を怠らないようにしておきたい。