Bluetoothの実装に脆弱性、AppleやIntelの製品に影響
無線通信の圏内にいる攻撃者が中間者攻撃を仕掛けて暗号鍵を入手し、デバイスメッセージの傍受や復号、改ざんなどを行うことができてしまう恐れがある。
近距離無線通信規格Bluetoothの実装に関する脆弱(ぜいじゃく)性が発覚し、米セキュリティ機関CERT/CCが2018年7月23日に脆弱性情報を発表した。
CERT/CCによると、Bluetoothでデバイスをペアリングする際の通信暗号化に使われている「楕円曲線ディフィー・ヘルマン(ECDH)鍵交換」という仕組みの実装に関連して、一部のBluetoothファームウェアやOSソフトウェアドライバによる検証が不十分な問題が存在するという。
これを悪用されれば、無線通信の圏内にいる攻撃者が通信に割り込む中間者攻撃を仕掛けて暗号鍵を入手し、デバイスメッセージの傍受や復号、改ざんなどを行うことができてしまう恐れがある。
危険度は共通脆弱性評価システム(CVSS)のベーススコアで7.3(最高値は10.0)と評価している。
Bluetooth仕様を管理するBluetooth Special Interest Group(SIG)は、今回の脆弱性の発覚を受けて仕様を更新したとし、メーカー各社から数週間以内にソフトウェアやファームウェアのアップデートがリリースされる見通し。
CERT/CCによれば、AppleやBroadcom、Intel、Qualcommの製品については、この脆弱性の影響が確認されているという。Appleは2018年7月9日にリリースした「macOS High Sierra 10.13.6」でこの問題に対処済み。一方、Android Open Source ProjectやGoogle、Linuxカーネルへの影響は不明とされ、MicrosoftはWindowsへの影響はないと説明している。
※記事初出時、US-CERTによる情報と記載していましたが、正しくは米カーネギーメロン大学のCERT/CCとなります。お詫びして訂正いたします(7/27 10:00)。
関連記事
- Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ
Bluetoothを通じてスマホやPCなどの機器を乗っ取る「BlueBorne」の脅威が世間を騒がせていますが、BlueBorneの本当の怖さはスマホやPCの感染にとどまらない点にあります。 - Bluetooth実装の脆弱性「BlueBorne」、82億台に影響 無線経由で攻撃の恐れ
AndroidやiOS、Windows、Linuxなど主要OSのBluetooth実装に起因する脆弱性が発見された。近隣の端末を無線経由で攻撃し、相手の端末を制御したりマルウェアに感染させたりすることが可能とされる。 - 「WPA2」の脆弱性、メーカー各社が対応表明 MicrosoftとLinuxは対応済み
Microsoftは10月10日に公開した月例セキュリティ更新プログラムで対応済み。特に深刻な影響が指摘されるAndroidは数週間以内に対応予定だという。 - 「WPA2」の脆弱性情報、セキュリティ機関が公開 パッチ適用を呼び掛け
影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.