Bluetooth Low Energyでウェアラブルデバイスから情報がダダ漏れの恐れ：Computer Weekly

現在、多くのウェアラブルデバイスに採用されているBluetooth Low Energyには、プライバシー保護の面で問題があるという。多くの製品は認証も暗号化も行っておらず、通信内容を簡単に取得できてしまう。

[Warwick Ashford，Computer Weekly]

　英Context Information Security（以下Context）の研究者は、Bluetooth Low Energy（BLE）を使用するデバイスの増加について、プライバシーの面で懸念を示している。

Computer Weekly日本語版　7月1日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　7月1日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　7月1日号：情報をまき散らすウェアラブルデバイス

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　BLEは、Bluetooth Special Interest Group（SIG）が策定した低消費電力版Bluetoothで、非常に少ない消費電力で信号を絶えず送信することを目的としている。従来のBluetoothとの互換性はなく、デバイスを素早く検出するパーソナルワイヤレステクノロジーとして開発された。

　BLEが組み込まれた代表的なパーソナルデバイスには携帯電話、米Appleの「iBeacon」、ウェアラブルデバイスなどがある。ウェアラブルデバイスは日増しにその数を増やし、主にBLEを使用してモバイルアプリと通信し、人々の行動や運動、心拍数を監視している。

　Contextの研究者は独自のアプリを開発して、BLE信号を捕捉、監視、記録することがいかに簡単かを示してみせた。

　同社が調査報告書を公開する1週間前、中国は人民解放軍に対してインターネットに接続されるウェアラブルテクノロジーの着用を禁止した。英BBCの報道によると、中国軍の機関紙は、データの処理および転送が可能な全てのウェアラブルテクノロジーによって、兵士個人が追跡され、軍事機密が漏えいする可能性を指摘しているという。

　Contextの上級研究員スコット・レスター氏は、ロンドンで開催された米セキュリティ企業Oasisのシンポジウムで次のように話した。「フィットネスデバイスは絶えず情報を発信しており、この情報発信こそがそのデバイスの個性を特徴付けているのに、フィットネスデバイスを身に着けている多くの人々はそのことを意識していない」

　「安価なハードウェアやスマートフォンでも、屋外の100メートル以内にいる著名人、政治家、企業経営幹部が持つ固有のデバイスを特定し、その位置を把握できる可能性がある」

　「こうした情報が計画的なサイバー攻撃の一環としてソーシャルエンジニアリングに利用されたり、人々の行動を把握することで現実の犯罪が行われるかもしれない」

　レスター氏によれば、BLEは他のネットワークプロトコルと同様、MACアドレスを利用する。ほぼ全てのBLEデバイスはランダムMACアドレスが割り当てられるというが、Contextの調査ではほとんどの場合、そのMACアドレスは変わらないことが分かったという。

　「私が使っているフィットネス記録アプリは、調査を始めてから同じMACアドレスのまま変わらなかった。一度完全にバッテリーを使い切ったが、結果は同じだった」と同氏は話す。

　また、送信されるパケットにデバイス名（“Garmin Vivosmart #12345678”など）が含まれたり、ユーザー名（“Scott's Watch”など）が分かることもあるという。

　BLEに対応する携帯電話も増えている。「iOS 5」以降、「Windows Phone 8.1」「Windows 8」「Android 4.3」以降、「BlackBerry 10」がBLEをサポートする。

　Bluetooth SIGは、2018年までにBluetooth対応スマートフォンの90％以上がBLEをサポートすると予測している。一方、Bluetooth対応の自動車も5000万台に達すると予想している。

　レスター氏によると、Apple Storeで既に導入されているiBeaconは、位置を特定するためにBLEパケットを送信し、来店する顧客に合わせて通知を調整しているという。また、英British Airwaysと米Virginは自社の搭乗券アプリでiBeaconを活用し、ラウンジを訪れる乗客にWi-Fiのパスワードを伝えている。

　英House of FraserはiBeaconをマネキンで試験的に使い、顧客が各自のスマートフォンで衣服を着た様子やその価格を確認できるようにしている。

　iBeaconの現在のモデルは、能動的にならないようにしている。つまり、iBeaconに対応するアプリ側がビーコンの検出や応答を実行する必要がある。

　「だが、携帯電話のメーカーがiBeacon対応アプリを事前に組み込んだ製品を提供するようになることは簡単に想像できる。そうなれば、特定の店舗の前を通るだけで、携帯電話にその店のセールについての情報が表示されるようになる」とレスター氏は話す。

　Bluetoothコア仕様の現バージョンである4.2は、BLEが公開鍵暗号を実装し、パケットサイズを小さく抑えたまま、さまざまな認証手法に対応できるように定めている。

　「多くのBLEデバイスは認証をサポートしていない上、われわれが目にする製品の多くは暗号化を実装していない。そんなことをすればバッテリーの寿命は大幅に短くなり、アプリケーションがより複雑になるからだ」とレスター氏は話す。

　同氏によれば、BLEは強力なテクノロジーで、ますます幅広い使い方をされるようになるのは明らかだという。

　「デバイスを検出・追跡する機能自体には深刻なリスクはないかもしれない。だが、その機能がプライバシーを脅かし、より広範なソーシャルエンジニアリングの脅威の一端となる可能性は確実に存在している。これは、新しいテクノロジーを搭載した製品の投入を急ぐ企業が、セキュリティ面を十分に考慮していないことを示している」

IoTの成長とBLE

　BLEを使用するデバイスも、IoT（モノのインターネット）急成長の一端を担ったと考えられる。

　研究者たちは2015年5月、IoTのデバイスやサービスをサポートする業界が適切なセキュリティを提供しなければならない重要な領域があると注意喚起した。

　英Beecham ResearchのIoTセキュリティ脅威マップは、内外からの攻撃が起きる可能性があり、急成長するIoT業界による対処が必要な主な領域を示している。

　「IoTに深刻な侵害がまだ見当たらないのは、攻撃者にとって魅力的となるほど大量にはIoTがコンシューマーアプリケーションやエンタープライズアプリケーションに導入されていないからにすぎない」とBeecham Researchの技術部長、ジョン・ハウズ氏は述べる。

　「これまでは、限定的なエッジデバイス、シングルネットワーク、カスタムプラットフォームを使用するマシンツーマシン（M2M）アプリケーションが大きな注目を集めていた。これなら、セキュリティの専門家が比較的簡単に許容可能なレベルまでアプリケーションを保護できる」

　だが、ハウズ氏によればIoTはさまざまな分野に進出し、衛星から携帯電話まで複数のデバイスやネットワークを利用するようになってきたことと、IoTプラットフォーム数の増加やビッグデータシステムにより、多種多様なレベルや側面にセキュリティの脅威が出始めているという。

　業界が今から歩調を合わせなければ、IoTをサポートする多様なデバイス、ネットワーク、プラットフォーム、アプリケーションが増殖していく。それにつれて脆弱性が広がり、悪意のある攻撃が増加することを同氏は懸念している。

Computer Weekly日本語版　F1特集号（転載・再配布フリー）も公開中！

あまり報じられることのない、F1の世界で活用されているIT事情を事例やインタビューを通して紹介。ロータス、マクラーレン、メルセデス、ケータハムのクラウド、ビッグデータ、ファイル共有戦略とは？

• 別冊Computer Weekly　F1チームを支えるIT

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。