Bluetoothの脆弱性とは？被害を受けないセキュリティ対策もご紹介！

Bluetoothの脆弱性とは？

Bluetoothには、どのような脆弱性があるのでしょうか。

CVE-2019-9506：KNOB攻撃を受ける可能性

CVE-2019-9506は、攻撃者側が暗号鍵の長さを自由に設定できるという脆弱性です。悪用されると暗号鍵の長さを最短にし、なおかつ送信者と受信者の間に割り込み、通信内容を傍受されます。ステルス性が高く、被害にあったことも分かりづらいため、事前の対策が必要です。

現在、iPhoneやMac、Windows10などで被害が報告されています。

BlueBorne：デバイスを乗っ取られる可能性

BlueBorneは、Bluetoothの実装における脆弱性です。悪用されると、Bluetoothの通信範囲内から不正なコードが実行され、ペアリングなしでデバイスを乗っ取られます。BluetoothをONにしているだけで危険であり、勝手にカメラを起動されると、機密データの漏洩に繋がりかねません。

Bluetoothのバージョンは関係なしに、Android・iOS・Windows・Linux などで被害が報告されています。

BlueFrag：任意コードが実行される可能性

BlueFragは、Android OSにおける脆弱性です。悪用されると、知らないうちに不正なコードを実行され、情報を搾取されます。特に公共のWi-Fiスペースは、MACアドレスを推測しやすいので注意が必要です。BluetoothのMACアドレスを知られ、かつ通信範囲内に入られると、一気にリスクが増大します。

Android 8.0系・8.1系・9.0系は、何らかの対策を施しましょう。

Apple bleee：電話番号が盗み取られる可能性

Apple bleeeは、iPhoneのパケット通信に関する脆弱性です。悪用されると、自分のiPhoneの稼働状況やiOSのバージョン、電話番号などを搾取されます。その解析精度は高く、３バイトのハッシュ解析で、電話番号を10件前後まで把握することが可能です。

iPhone ５S以降、またはiOS 11以上のiPhoneをお使いの場合は、特に注意しましょう。

Bluetoothの脆弱性への対策は？

Bluetoothの脆弱性には、どのような対策を行えばよいのでしょうか。

デバイスのアップデートをする

Bluetoothの脆弱性が発見されると、メーカー側は必ずセキュリティパッチの配布やOSのアップデートを行います。このアップデートは既存の脆弱性を修正したものなので、必ず実施しましょう。最新のセキュリティプログラムをインストールすると、既知の脅威にも柔軟に対応できます。

不要な時はBluetoothをオフにする

Bluetoothの脆弱性リスクが増大するのは、BluetoothをONにしているときだけです。そのため、デザリング機能やヘッドホンなどを使い終わったら、Bluetoothの電源をOFFにしましょう。不要なBluetooth通信をなくすことが、有効なセキュリティ対策となります。

Bluetoothデバイス名に個人情報を含めない

Bluetoothのデバイス名に、iPhone・Androidなどの機種情報や名前などの個人情報を入れると、内部環境を推測されやすくなります。そのためBluetoothデバイス名は、機種や個人名を特定できないように、独自ルールのもと設定しましょう。iPhoneの場合は設定画面から「一般」、「情報」、「名前」の順番にタップすることで変更が可能です。

Bluetooth機能を適切に使う

Bluetooth機能は適切に使うことで、脆弱性のリスクを軽減できます。間違った使い方をすると攻撃の対象になるため、使用する際はルールを設定し、社員全員の行動を統制することが大切です。

たとえばBluetooth搭載のデバイスは、外部のデバイスから検索可能になることがあります。したがって、公共の場では、この検索対象となる時間をできるだけ短くしなくてはいけません。特にペアリング済みのヘッドセットは、電源入力から接続完了まで、セキュリティが低くなるため注意が必要です。

Bluetoothの脆弱性には、万全の対策を！

Bluetoothは、数々の脆弱性リスクが報告されています。対策なしに利用すると、デバイスの乗っ取りや、情報の搾取が発生するため注意しましょう。脆弱性の軽減には、以下の対策が有効です。

• ■デバイスのアップデートをする
• ■不要な時はBluetoothをオフにする
• ■Bluetoothデバイス名に個人情報を含めない
• ■Bluetooth機能を適切に使う

Bluetoothの脆弱性には、万全の対策を施しましょう。