Bluetoothといえば、すっかりおなじみになった無線通信規格。スマートフォン、オーディオプレーヤー、カーナビなどさまざまな機器で使われており、53億台以上のデバイスに実装されているという。
ところが9月、Bluetoothに複数の深刻な脆弱性があることが発見された。これらの脆弱性は「BlueBorne」と総称される。Android、iOS、Windows、Linuxを含むメジャーなモバイル、デスクトップの各OSや、これらを利用しているデバイスが危険にさらされたことになる。
具体的には、BlueBorneを悪用することで、遠隔操作でデバイスを乗っ取ることが可能。不正コードの実行、情報の傍受、さらには別のBluetoothに被害を拡大させることもできる。
ただ、デバイス側でBluetoothを有効にしていなければ、この脆弱性を突かれない。対策としては、Bluetooth接続を必要のない時はオフにする方法がある。
そして、OSや端末のファームウェアをアップデートし、最新の状態にしておくことが大切。たとえば、iOS 9.3.5以前のiPhone、iPad、iPod touch、またバージョン7.2.2以前のAppleTVデバイスが、BlueBorneの影響を受ける。iOS 10は、この問題に対するパッチを適用済みとしている。また、Microsoftも、7月にこの脆弱性へのパッチを適用済みだ。
Bluetoothのように、広く使われている技術にも、予期せず脆弱性が見つかることがある。スマートフォンやパソコンの周辺機器で日常的にBluetoothを利用するような今日においては、しっかりとしたリテラシーとセキュリティーへの知識を持つことが肝心だ。今回はMcAfee BlogからBlueBorneについて説明した記事を紹介する。
Bluetoothの脆弱性「BlueBorne」で50億台以上のデバイスにセキュリティリスクあり
ヘッドセットからスピーカーに至るまで、Bluetoothテクノロジーは私たちのデバイスや日常生活に欠かせない存在となりました。データをワイヤレスでやり取りできるBluetoothテクノロジーは広く普及し、数多くのデバイスに実装されています。こうした中で、一部のBluetoothテクノロジーに、サイバー犯罪者が人気デバイスを感染させるために悪用できる脆弱性「BlueBorne」が発見されたことは、非常に重大なこととして受け止めなくてはなりません。
実際、53億台以上のデバイスに実装されているBluetoothに、「BlueBorne」に関連する4個のゼロデイ脆弱性が見つかりました。これらの脆弱性は、Android、iOS、Windows、Linuxを含むメジャーなモバイル、デスクトップおよびIoT向けの各OSや、これらを利用しているデバイスを危険にさらします。「BlueBorne」という名前は、Bluetoothを経由して空中に拡散し(エアボーン)、デバイスを攻撃するという、この脆弱性を利用した攻撃の仕組みに由来しています。
では、サイバー犯罪者は、これらの脆弱性を悪用することで、実際には何をすることができるのでしょうか?具体的に言えば、デバイスを乗っ取り、不正コードを実行したり、中間者攻撃を行います。Bluetoothを介して共有されたデータを傍受することも可能です。さらには、この脆弱性を自己拡散型のBluetoothワームにすることもできます。ですから、どのデバイスのユーザーも、防御について考え始めることが重要です。まず最も重要なこととして、ご利用のデバイスがこれらの脆弱性の影響を受けていないか確認してください。該当するデバイスを使用している場合は、必ず、以下のセキュリティのヒントをもとに対策を講じてください。
・必要のない時はBluetooth機能をオフにする。影響を受けているソフトウェア プロバイダーには、すでにこれらの脆弱性が通知されているので、現在修正作業が行われています。ですが、修正が完了するまでは、絶対に必要でない限りBluetoothを必ずオフにしておいてください。iOSデバイスをご利用の方は、単純に「設定」に移動し、「Bluetooth」を選択して、これをオフにします。Androidデバイスの場合は、「設定」アプリを開くと、「無線とネットワーク」下に「Bluetooth」トグル ボタンが表示されるので、これをオフに設定します。
・今すぐソフトウェアをアップデートする。セキュリティで必ず行うべき重要なルールです。アップデートがリリースされたら、必ずソフトウェアを更新してください。セキュリティ パッチには、通常、新しいバージョンが含まれています。「BlueBorne」脆弱性に関して言えば、iOS 9.3.5以前のiPhone、iPad、iPod touch、またバージョン7.2.2以前のAppleTVデバイスが影響を受けます。iOS 10は、この問題に対するパッチを適用済みです。Microsoftも、7月にこの脆弱性へのパッチを適用済みとしています。iOSやWindows以外のユーザーでも心配することはありません。他のプロバイダー向けのセキュリティ パッチも間もなくリリースされます。
・総合的なセキュリティ製品をインストールする。デバイスのソフトウェアを最新版にアップデートしたら、必ず総合的なセキュリティ製品をインストールしてください。McAfee LiveSafeのようなソリューションを使えば、「BlueBorne」脆弱性を利用して個人情報を盗もうと企んでいるサイバー犯罪者から、確実にデバイスを保護することができます。 もちろん、Twitterで私や@McAfee_Homeをフォローしたり、Facebookで「いいね」をして、最新のユーザーやモバイル セキュリティ脅威情報を取得することもお忘れなく。