• TOP
  • ニュース一覧
  • Bluetooth機器を乗っ取る脆弱性「BlueBorne」、IoT機器にも深刻な影響
2017/09/19

Bluetooth機器を乗っ取る脆弱性「BlueBorne」、IoT機器にも深刻な影響

トレンドマイクロは9月14日、公式ブログで「脆弱性『BlueBorne』、Bluetooth機器の乗っ取りを可能に」と題する記事を公開しました。

「BlueBorne」は、Android、Linux、iOS、Windows等のBluetoothに存在する脆弱性の総称です。具体的には、以下の複数の脆弱性を指しています。IoTセキュリティ企業「Armis」が、これらの脆弱性の総称として「BlueBorne」と命名し、米国時間9月12日に詳細を報告しました。

●「BlueBorne」に含まれる脆弱性
CVE-2017-1000251:Linuxカーネルにおける、リモートコード実行の脆弱性
CVE-2017-1000250:LinuxのBluetoothスタック「BlueZ」の情報漏えいの脆弱性
CVE-2017-0785:Androidの情報開示の脆弱性
CVE-2017-0781:Androidのリモートコード実行の脆弱性
CVE-2017-0782:Androidのリモートコード実行の脆弱性
CVE-2017-0783:Androidの中間者攻撃の脆弱性「Bluetooth Pineapple」
CVE-2017-8628:Windowsの中間者攻撃の脆弱性「Bluetooth Pineapple」
CVE-2017-14315:AppleのBluetooth Low-Energy Audio Protocol(LEAP)実装における、リモートコード実行の脆弱性

「BlueBorne」を攻撃者が悪用した場合、遠隔操作でBluetooth搭載機器を乗っ取ることが可能となります。これにより、不正コードの実行、情報収集、Man-In-The-Middle(MitM、中間者)攻撃、他機器への拡散等が発生する見込みです。またユーザがとくに操作を行っていない状態でも、Bluetoothが有効になっていれば、機器を乗っ取られる恐れがあります。

「BlueBorne」を使った攻撃は現時点では未確認ですが、Bluetooth機能は、スマートフォン、デジタルオーディオ、PC周辺機器、そしてIoT機器等に採用されており、広範な影響が懸念されています。現在Bluetoothは、82億以上の機器に搭載されており、BlueBorneを確認したセキュリティリサーチャは、53億台のBluetooth搭載機器が影響を受けると推算しています。また今後、攻撃対象や範囲が広がる可能性も残っています。なお、独立行政法人情報処理推進機構(IPA)、JPCERT/CC等も注意喚起を行っています。

Bluetoothを利用しない場合は設定を無効にすることで、本脆弱性の影響を回避できるとのことです。また、OSベンダーや端末メーカーが対応を進めていますので、セキュリティ担当者は各社の情報に注意し、OSやファームウェアのアップデート等を行ってください。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop