早速、このアプリをダウンロードして、手元にあった古いAndroid端末をチェックしてみました。3年前に購入したこの端末は、「Vulnerable」と表示され、“脆弱な状態にある”ことが分かります。
また、このアプリでは「近接するデバイスをスキャンし、問題が無いかどうかを確認する」機能もあります。これがなかなか衝撃的で、自宅の中でスキャンすると想像を超える数のデバイスが表示されます。
ただし、そのほとんどはBluetoothが使える端末に固有のID、MACアドレスだけしか表示されていない上、各機器でそのMACアドレスを確認する機能がほとんどないため、スマートフォン(Android/iOS)、Windows端末以外は何のデバイスなのかがさっぱり分からないという課題があります(これはarmisのアプリの問題ではなく、Bluetoothを搭載する各機器側の課題だと思っています)。
最近のIoT機器はAndroidベースであることが多く、わが家でも「Amazon Fire TV」(AndroidをベースとしたFire OS)、ひかりTVチューナー(Android 4.0)がリモコンとしてBluetoothを利用しているようです。今回の影響があるのではないかと思うのですが、MACアドレスが不明で調査できませんでした。
利用者としてはいまのところ、「最新のOSアップデートを適用すること」と「ベンダーがアップデートを提供することを信じること」しかできません。もし、アップデートが配信されていない場合、Bluetoothはしばらくオフにしておくことをお勧めします(9月19日時点では、残念ながらほとんどのAndroid端末はまだアップデートがなく、この脆弱性の影響があると思っています)。
以前、自宅に「ウイルスバスター for Home Network」を導入し、そのスキャン機能を試したときに、自分でも忘れていた機器がネットワークにつながっていることに驚きました。
しかし、Bluetoothでつながっている機器はさらに多く、見えにくいはずです。今回は「親機」になり得る端末が対象のようですが、スマートフォンだけでなくテレビのセットトップボックスもAndroidで動き、最近はリモコンがBluetooth化されていることも多いので、BlueBorneの影響範囲は昔に比べて広くなっています。
そして今回の大きな問題は、「アップデートが適切に提供されるかどうか」ということです。Androidに関しては、Android 8.0(Oreo)以降の「Project Treble」対応ベンダーならばある程度安心できそうですが、それ以外の機器はベンダーを信頼するしかありません。さらに問題なのは、家庭内にある「PC、スマホ以外のIT機器」なのかもしれません。
今回、攻撃手法として「Bluetooth」が狙われましたが、今後も驚くような攻撃手法が、予想もしないところから狙ってくる可能性があります。特にIoT機器を提供するベンダーは、PCやスマホのように「セキュリティ的な洗礼」を受けていないことで、仕組みが脆弱だったり、アップデートを想定していないこともあるかもしれません。
BlueBorneについては、現時点の影響とともに、ベンダー各社がどのように対応しているかにも注目したいと思っています。
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
Copyright © ITmedia, Inc. All Rights Reserved.