Bluetoothの脆弱性とは?
Bluetoothには、どのような脆弱性があるのでしょうか。
CVE-2019-9506:KNOB攻撃を受ける可能性
CVE-2019-9506は、攻撃者側が暗号鍵の長さを自由に設定できるという脆弱性です。悪用されると暗号鍵の長さを最短にし、なおかつ送信者と受信者の間に割り込み、通信内容を傍受されます。ステルス性が高く、被害にあったことも分かりづらいため、事前の対策が必要です。
現在、iPhoneやMac、Windows10などで被害が報告されています。
BlueBorne:デバイスを乗っ取られる可能性
BlueBorneは、Bluetoothの実装における脆弱性です。悪用されると、Bluetoothの通信範囲内から不正なコードが実行され、ペアリングなしでデバイスを乗っ取られます。BluetoothをONにしているだけで危険であり、勝手にカメラを起動されると、機密データの漏洩に繋がりかねません。
Bluetoothのバージョンは関係なしに、Android・iOS・Windows・Linux などで被害が報告されています。
BlueFrag:任意コードが実行される可能性
BlueFragは、Android OSにおける脆弱性です。悪用されると、知らないうちに不正なコードを実行され、情報を搾取されます。特に公共のWi-Fiスペースは、MACアドレスを推測しやすいので注意が必要です。BluetoothのMACアドレスを知られ、かつ通信範囲内に入られると、一気にリスクが増大します。
Android 8.0系・8.1系・9.0系は、何らかの対策を施しましょう。
Apple bleee:電話番号が盗み取られる可能性
Apple bleeeは、iPhoneのパケット通信に関する脆弱性です。悪用されると、自分のiPhoneの稼働状況やiOSのバージョン、電話番号などを搾取されます。その解析精度は高く、3バイトのハッシュ解析で、電話番号を10件前後まで把握することが可能です。
iPhone 5S以降、またはiOS 11以上のiPhoneをお使いの場合は、特に注意しましょう。
Bluetoothの脆弱性への対策は?
Bluetoothの脆弱性には、どのような対策を行えばよいのでしょうか。
デバイスのアップデートをする
Bluetoothの脆弱性が発見されると、メーカー側は必ずセキュリティパッチの配布やOSのアップデートを行います。このアップデートは既存の脆弱性を修正したものなので、必ず実施しましょう。最新のセキュリティプログラムをインストールすると、既知の脅威にも柔軟に対応できます。
不要な時はBluetoothをオフにする
Bluetoothの脆弱性リスクが増大するのは、BluetoothをONにしているときだけです。そのため、デザリング機能やヘッドホンなどを使い終わったら、Bluetoothの電源をOFFにしましょう。不要なBluetooth通信をなくすことが、有効なセキュリティ対策となります。
Bluetoothデバイス名に個人情報を含めない
Bluetoothのデバイス名に、iPhone・Androidなどの機種情報や名前などの個人情報を入れると、内部環境を推測されやすくなります。そのためBluetoothデバイス名は、機種や個人名を特定できないように、独自ルールのもと設定しましょう。iPhoneの場合は設定画面から「一般」、「情報」、「名前」の順番にタップすることで変更が可能です。
Bluetooth機能を適切に使う
Bluetooth機能は適切に使うことで、脆弱性のリスクを軽減できます。間違った使い方をすると攻撃の対象になるため、使用する際はルールを設定し、社員全員の行動を統制することが大切です。
たとえばBluetooth搭載のデバイスは、外部のデバイスから検索可能になることがあります。したがって、公共の場では、この検索対象となる時間をできるだけ短くしなくてはいけません。特にペアリング済みのヘッドセットは、電源入力から接続完了まで、セキュリティが低くなるため注意が必要です。
Bluetoothの脆弱性には、万全の対策を!
Bluetoothは、数々の脆弱性リスクが報告されています。対策なしに利用すると、デバイスの乗っ取りや、情報の搾取が発生するため注意しましょう。脆弱性の軽減には、以下の対策が有効です。
- ■デバイスのアップデートをする
- ■不要な時はBluetoothをオフにする
- ■Bluetoothデバイス名に個人情報を含めない
- ■Bluetooth機能を適切に使う
Bluetoothの脆弱性には、万全の対策を施しましょう。