Bluetoothの脆弱性『BlueBorne』で「乗っ取られ」の可能性

2017年9月12日(米国時間)、IoT のセキュリティ企業Armisは、Bluetoothの実装に関する複数の脆弱性をまとめて「BlueBorne」と名づけ、注意喚起を行っている。[7]SecurityNextによると、「端末においてBluetoothを有効にしている場合、ペアリングなど必要なく、電波が届く範囲から直接接続が可能。脆弱性を悪用することで、コードの実行やマンインザミドル(Man-In-The-Middle:MitM、中間者)攻撃が行えるという。これによる脆弱性の影響を受けるデバイスは約53億台にのぼる」として注意喚起している。

対策は、該当の脆弱性を無くすための「アップデート」。アップデートができない場合は、「Bluetooth機能を無効にする」ということになる。スマホでのBluetooth機能を無効にする、ということは、Wi-Fiルータのペアリングができなかったり、Bluetoothイヤフォン/ヘッドフォンが利用できなかったり致命的に陥る。iPhoneはiOS10以降にしておけば問題がない(日本時間2017年9月20日2時には、iOS11がダウンロードできるようだが)。

[8]Juggly.cnによるとAndroidユーザ向けにチェックツールが公開されたので、早速ダウンロードしてチェックしてみよう!
アプリ名:BlueBorne Vulnerability Scanner by Armis(Google Play)

[5]Trendmicroによると「BlueBorne は、インターネットやケーブル接続を経由しないサイバー攻撃が可能であること」「Bluetooth機器間のトラフィックを盗聴、傍受または転送してデータにアクセスすることできる」等のリスクがあることを報告しています。[9]Gigazineでは、乗っ取られイメージを掲載されています。

アップデートすればいい!と記載はしているものの、キャリア(ドコモ、au、ソフトバンク、ワイモバ等)から販売しているAndroidスマホは、基本的にアップデートができない。言い換えれば、アップデートすると、サポート対象外になったり、動作不安定になるというリスクがある。今回の脆弱性は、非常に「深刻」であって、キャリアスマホに準じたアップデートファイルが公開されることを期待したい。

なお、9月19日現在、キャリアからのアップデート情報は開示されていない。
docomoausoftbankY!mobile

●参考資料
[1]幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(ScanNetSecurity、2017.09.14)
[2]The Attack Vector “BlueBorne” Exposes Almost Every Connected Device(Armis、2017.09.12)
[3]Bluetooth の実装における脆弱性 “BlueBorne” に関する注意喚起(JPCERT、2017.09.13)
[4]Bluetooth の実装における複数の脆弱性について(IPA情報処理推進機構、2017.09.14)
[5]脆弱性「BlueBorne」、Bluetooth機器の乗っ取りを可能に(Trendmicro、2017.09.14)
[6][緊急] Bluetooth 実装に関する複数の脆弱性 “BlueBorne” が 公開されました(JVN、2017.09.13)
[7]ペアリング不要、近隣端末をBluetooth乗っ取れるBlueBorne-53億台に影響か(SecurityNext、2017.09.13)
[8]深刻なBluetoothの脆弱性“BlueBorne”の影響を調査できるチェックツールが公開(Juggly.cn、2017.09.14)
[9]相手に気付かれることなくBluetooth経由でスマホを乗っ取ってしまえる脆弱性「BlueBorne」とは?(Gigazine、2017.09.13)
[10]Bluetoothの脆弱性「BlueBorne」で50億台以上のデバイスにセキュリティリスクあり(McAfee、2017.09.14)
more (google)

対策情報

・Android
セキュリティ パッチ レベル2017年9月を適用していないAndroid
(CVE-2017-0781、CVE-2017-0782、CVE-2017-0783、CVE-2017-0785)
https://source.android.com/security/bulletin/2017-09-01

・Windows
2017年 9月マイクロソフトセキュリティ更新プログラムを適用していない
Windows Vista 以降の Windows(CVE-2017-8628)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628

・Linux
Kernel 3.3-rc1 以降のバージョン(CVE-2017-1000251)
https://access.redhat.com/security/vulnerabilities/blueborne
BlueZ すべてのバージョン(CVE-2017-1000250
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne

・iOS, tvOS
iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前(CVE-2017-14315)
*iOS 10以降は影響を受けない