Bluetoothの脆弱性が危険な件、あなたのイヤフォンは大丈夫?:579th Lap
スマホやPCなどのデバイスと周辺機器を無線でつなぐ身近で便利な技術「Bluetooth」に新たな脆弱性が見つかった。対策を取らなけらばデバイスが乗っ取られてしまう可能性もあるという。
スマートフォンなどのデバイスとワイヤレスで接続できる「ワイヤレスイヤフォン」。デバイスとの無線接続を可能とするのが「Bluetooth」だ。そんな身近で便利なBluetooth技術に恐ろしい脅威が発見されたという……。その詳細とは――?
今回見つかったBluetoothの脆弱性は「BLURtooth」だ。Bluetoothの標準化やライセンス発行を担う団体Bluetooth Special Interest Group(Bluetooth SIG)が報告した。
「BLURtooth」とは、どういう脅威なのだろうか。
明らかとなった発端は、スイス連邦工科大学ローザンヌ校の研究チームと米国のパデュー大学の研究チームがそれぞれ発見した脆弱性だ。いずれも「Cross-Transport Key Derivation(CTKD)」という、Bluetoothの機能に関連している事柄についてだ。
ワイヤレスイヤフォンのようなBluetooth対応機器は、“親機”であるスマートフォンなどのデバイスとペアリングするときに「Bluetooth Basic Rate/Enhanced Data Rate(BR/EDR)」という規格、もしくはそれより効率のよい「Bluetooth Low Energy(LE)」といった規格で接続している。
Bluetooth対応機器には、Bluetooth BR/EDRとBluetooth LEの両規格にも対応しているものもあり、親機と接続したときに一方の規格でペアリングが完了したら、その後はその規格のみでペアリングして以降の手間を省く。これは「デュアルモード」と呼ばれる機能で、CTKDは、そのデュアルモードをサポートする。
CTKDは、ペアリングの際に必要な認証キー「Long Term Key(LTK)」や「Link Key(LK)」を生成して管理する。ペアリング時にはこの認証キーがデバイス間でやりとりされている。今回報告された脆弱性情報によると、このデバイス間の通信に第三者が割り込み、認証キーを上書きして「乗っ取りペアリング」が可能になってしまうという。これこそが「BLURtooth」の正体だ。対象はBluetooth 4.2〜5.0に対応した製品で、Bluetooth 5.1以降対応の製品ははCTKDの機能が制限されているので攻撃は回避できるという。
乗っ取られたデバイスは第三者の思うがままとなる。イヤフォンなら別の音声が流されることもあるだろうし、キーボードなら勝手に文字入力されることもあるだろう。Bluetooth SIGによれば、デバイスのファームウェアをアップデートすることを推奨しているが、アップデート不可の製品も多い。その場合は「使わない」という選択肢しかなくなってしまう。Bluetooth対応製品を利用していれば、製品と販売元の対応を確認してほしい。
上司X: Bluetoothに脆弱性が発見されて大変、という話だよ。
ブラックピット: へー。「BLURtooth」って語呂がいいですね。
上司X: BLUR(ブラー)って、英語だと「あんまり良くない」的な見合いで使われるコトが多いのかな?
ブラックピット: あまり知りませんけど、会話で「blah」が出てくるとネガティブな意味合いですね。正確に訳すのは前後のやりとりから日本語を選ぶしかないでしょうが……。
上司X: まあブラーの意味はいいとしてだ。キミもBluetooth製品使っているだろう?
ブラックピット: 使ってます。ヘッドフォンやらキーボードやらマウスやら……。ワイヤレスは快適です。一昔前の製品だとペアリングが面倒だったりしたんですけど、最近のはサクサクつながって便利になりましたよね。
上司X: そうそう。そんなペアリングの部分に脆弱性が潜んでいたとはな。
ブラックピット: 具体的な攻撃方法が広まる前になんとかしなくちゃ、とは思いますけど、まさか自分がそんな被害に遭うわけないよね……という楽天的な思考も両立して存在します。
上司X: なんかそれっぽいこと言ってるけど結局「面倒」ってことだろう? 乗っ取られたときには手遅れなんだぞ。すぐに自分の使ってるBluetoothデバイスのバージョンチェックとファームウェアのアップデートが可能かどうか調べないとな。俺もこれからチェックするさ……。しかしまあどこにでも危険は潜んでいるものだ。油断ならないなあ。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.