無線通信の圏内にいる攻撃者が中間者攻撃を仕掛けて暗号鍵を入手し、デバイスメッセージの傍受や復号、改ざんなどを行うことができてしまう恐れがある。
近距離無線通信規格Bluetoothの実装に関する脆弱(ぜいじゃく)性が発覚し、米セキュリティ機関CERT/CCが2018年7月23日に脆弱性情報を発表した。
CERT/CCによると、Bluetoothでデバイスをペアリングする際の通信暗号化に使われている「楕円曲線ディフィー・ヘルマン(ECDH)鍵交換」という仕組みの実装に関連して、一部のBluetoothファームウェアやOSソフトウェアドライバによる検証が不十分な問題が存在するという。
これを悪用されれば、無線通信の圏内にいる攻撃者が通信に割り込む中間者攻撃を仕掛けて暗号鍵を入手し、デバイスメッセージの傍受や復号、改ざんなどを行うことができてしまう恐れがある。
危険度は共通脆弱性評価システム(CVSS)のベーススコアで7.3(最高値は10.0)と評価している。
Bluetooth仕様を管理するBluetooth Special Interest Group(SIG)は、今回の脆弱性の発覚を受けて仕様を更新したとし、メーカー各社から数週間以内にソフトウェアやファームウェアのアップデートがリリースされる見通し。
CERT/CCによれば、AppleやBroadcom、Intel、Qualcommの製品については、この脆弱性の影響が確認されているという。Appleは2018年7月9日にリリースした「macOS High Sierra 10.13.6」でこの問題に対処済み。一方、Android Open Source ProjectやGoogle、Linuxカーネルへの影響は不明とされ、MicrosoftはWindowsへの影響はないと説明している。
※記事初出時、US-CERTによる情報と記載していましたが、正しくは米カーネギーメロン大学のCERT/CCとなります。お詫びして訂正いたします(7/27 10:00)。
Copyright © ITmedia, Inc. All Rights Reserved.