Bluetooth実装の脆弱性「BlueBorne」、82億台に影響 無線経由で攻撃の恐れ
AndroidやiOS、Windows、Linuxなど主要OSのBluetooth実装に起因する脆弱性が発見された。近隣の端末を無線経由で攻撃し、相手の端末を制御したりマルウェアに感染させたりすることが可能とされる。
AndroidやiOS、Windowsなどの主要OSに広範な影響を及ぼすBluetooth実装の脆弱(ぜいじゃく)性に関する情報が9月12日に公開された。この問題を悪用すれば、近隣の端末を無線経由で攻撃することが可能とされ、コンピュータやスマートフォン、IoT機器などを含む推定82億台に影響が及ぶ可能性が指摘されている。
この問題はセキュリティ企業のArmisが発見し、「BlueBorne」と命名した。同社はAndroidやiOS、Windows、Linuxなど主要OSのBluetooth実装に関する8件の脆弱性を特定し、うち4件を「重大」と評価している。ただしこれは氷山の一角にすぎず、他のプラットフォームにもBluetoothの実装に起因する脆弱性が存在している可能性があるという。
Armisによると、BlueBorneの脆弱性を悪用すれば、相手の端末とペアリングしていなくても、無線経由で近隣の端末を攻撃できる。被害者側で何も操作しなくても、端末を制御されたり、マルウェアに感染させられたり、会社のデータやネットワークに不正アクセスされたりする恐れがある。
また、他のネットワークから切り離されたセキュアな内部ネットワークにさえも、Bluetooth経由で侵入できることから、産業システムや政府機関、重要インフラが危険にさらされる恐れもあるとしている。
Armisは各社と連携して対応に当たっているといい、Googleは9月4日に公開したAndroidのセキュリティアップデートでBlueBorneの問題に対処。Microsoftは7月11日に更新を行い、9月12日の月例セキュリティ情報でこの脆弱性に関する情報を公表した。
AppleのiOSは9.3.5までのバージョンに脆弱性が存在していて、iOS 10に更新すれば問題は回避できるという。LinuxカーネルのセキュリティチームやLinuxディストリビューション各社とは連絡を取り合っているところで、9月12日以降にアップデートが配信される見通しだとしている。
関連記事
- Microsoft、9月の月例更新プログラム公開 IEやEdgeに深刻な脆弱性
今回は合計81件の脆弱性が修正された。このうち26件は最大深刻度が4段階で最も高い「緊急」に分類されている。 - 脆弱性の大多数、正式公表前に情報露呈 闇サイトや中国サイトで先に公開されるケースも
脆弱(ぜいじゃく)性の75%は、脆弱性情報データベースで公表される前から情報が出回っていたことが判明。5%は公表前に、ディープWebやダークWebに詳しい情報が掲載されていた。 - 史上最大級のDDoS攻撃に使われたマルウェア「Mirai」公開、作者がIoTを悪用
ルータや防犯カメラといったIoTデバイスに感染してボットネットを形成し、DDoS攻撃を仕掛けるマルウェアのソースコードが公開された。 - F-Secure、CeBIT会場で「Bluetoothハニーポット」をテスト
セキュリティ企業のF-SecureはCeBIT 2006開催中、同社のブースにハニーポットを設置し、1万台以上のBluetoothデバイスをスキャンした。 - Bluetoothのセキュリティ回避理論公開で業界団体が注意呼び掛け
Bluetoothの業界団体がNew Scientist誌にセキュリティ上の脅威に関する記事が掲載されたことを受け、ユーザーに8桁暗証番号の使用など、注意を呼び掛けた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.