Bluetooth実装の脆弱性「BlueBorne」、82億台に影響 無線経由で攻撃の恐れ

AndroidやiOS、Windows、Linuxなど主要OSのBluetooth実装に起因する脆弱性が発見された。近隣の端末を無線経由で攻撃し、相手の端末を制御したりマルウェアに感染させたりすることが可能とされる。

[鈴木聖子，ITmedia]

　AndroidやiOS、Windowsなどの主要OSに広範な影響を及ぼすBluetooth実装の脆弱（ぜいじゃく）性に関する情報が9月12日に公開された。この問題を悪用すれば、近隣の端末を無線経由で攻撃することが可能とされ、コンピュータやスマートフォン、IoT機器などを含む推定82億台に影響が及ぶ可能性が指摘されている。

BlueBorneの詳細を報じるArmisのブログ

　この問題はセキュリティ企業のArmisが発見し、「BlueBorne」と命名した。同社はAndroidやiOS、Windows、Linuxなど主要OSのBluetooth実装に関する8件の脆弱性を特定し、うち4件を「重大」と評価している。ただしこれは氷山の一角にすぎず、他のプラットフォームにもBluetoothの実装に起因する脆弱性が存在している可能性があるという。

　Armisによると、BlueBorneの脆弱性を悪用すれば、相手の端末とペアリングしていなくても、無線経由で近隣の端末を攻撃できる。被害者側で何も操作しなくても、端末を制御されたり、マルウェアに感染させられたり、会社のデータやネットワークに不正アクセスされたりする恐れがある。

　また、他のネットワークから切り離されたセキュアな内部ネットワークにさえも、Bluetooth経由で侵入できることから、産業システムや政府機関、重要インフラが危険にさらされる恐れもあるとしている。

　Armisは各社と連携して対応に当たっているといい、Googleは9月4日に公開したAndroidのセキュリティアップデートでBlueBorneの問題に対処。Microsoftは7月11日に更新を行い、9月12日の月例セキュリティ情報でこの脆弱性に関する情報を公表した。

　AppleのiOSは9.3.5までのバージョンに脆弱性が存在していて、iOS 10に更新すれば問題は回避できるという。LinuxカーネルのセキュリティチームやLinuxディストリビューション各社とは連絡を取り合っているところで、9月12日以降にアップデートが配信される見通しだとしている。

CERT/CCにもBlueBorneの詳細情報が公開されている