多数のBluetooth接続機器に影響する脆弱性--セキュリティ企業が警告

Zack Whittaker (CNET News) 翻訳校正: 緒方亮 高森郁哉 (ガリレオ) 2017年09月13日 13時17分

  • このエントリーをはてなブックマークに追加

 市販のPC、モバイル機器、スマートデバイスのうち、Bluetooth接続を利用している「ほぼすべて」の製品に影響する可能性のある一連の脆弱性が明らかになった。

 セキュリティ企業Armisの研究者らが「BlueBorne」と総称した8件の脆弱性は、Bluetoothの短距離無線プロトコルに対応するデバイスに影響を及ぼす。

 脆弱性のうち深刻度が高いものでは、攻撃者は、感染したデバイスのコントロールとデータを獲得し、企業のネットワークからビジネスの機密データを盗み出せるようになる。攻撃ベクターを利用するマルウェアは特に有害で、Bluetoothが有効になっている近くのデバイスにピアツーピアで感染する可能性があると、Armisの研究者らは述べている。

 スマートフォンを持った人々が多数いるオフィスに、感染した1台のデバイスを持った人が入るだけで、Bluetoothが有効になっているスマートフォン、タブレット、コンピュータなどに飛び火し、感染がたちまちネットワーク中に広がる可能性がある。さらに、ネットワーク侵入、ランサムウェア攻撃、データ窃盗につながるおそれがある。

 IoTセキュリティ分野で事業を展開するArmisは、攻撃ベクターが知らない間に利用される可能性があると警告した。また、Armisの研究者らによると、攻撃を仕掛けるには、脆弱性のあるデバイスのごく近くにいる必要があるものの、攻撃されるユーザーとのインタラクションは必要ないという。

 この脆弱性を悪用するには、さまざまな認証手段を回避してデバイスを乗っ取る必要がある。別のケースでは、この脆弱性が、感染デバイス間のトラフィックを傍受することに利用されるかもしれない。攻撃を始めるにあたっては、マルウェアが標的のデバイスに接続し、そのスマートフォン、タブレット、コンピュータでコードを遠隔実行する可能性がある。これにより、マルウェアがさらにほかのデバイスに拡散する。

 Armisの最高経営責任者(CEO)を務めるYevgeny Dibrov氏は、次のように述べた。「こうした静かな攻撃は、従来のセキュリティの制御や手続きでは検出できない。企業は自社環境でこの種のデバイス間接続を監視しておらず、そのため、攻撃の発見も阻止もできない」

 Armisの研究者らは、この「検知不可能」な脆弱性が世界中の大多数のデバイスを危険にさらしていると述べた。「Windows」「Android」「Linux」、および古い「iOS」を搭載するデバイスが影響を受け、その台数は少なくともおよそ53億台になるという。

 これらの脆弱性は、対象デバイスの数という点で、かつてないほど影響の大きなものだと考えられている。

 また、これらの脆弱性は深刻度や対象プラットフォームによって異なるものの、Android搭載機器と、旧型(「iOS 9.5.3」以前)の「iPhone」や「iPad」に最も大きな影響を及ぼすとされている。

 Androidを搭載したスマートフォンやタブレット、ウェアラブル機器の大半(Bluetooth LEのみを搭載している機器は除く)は、メモリ破壊を悪用した遠隔地からのコード実行を許す2種類の欠陥(CVE-2017-0781およびCVE-2017-0782)と、情報漏えいのバグ(CVE-2017-0785)、データ通信に介入する中間者攻撃(MITM)に対する脆弱性(CVE-2017-0783)という問題を抱えている。

 Googleの「Pixel」やサムスンの「Galaxy」といった製品を含む、複数機種の人気スマートフォンがその影響を受けるという。米ZDNetがArmisのアプリを用いてローカルおよび、近傍のAndroid機器の脆弱性をテストしたところ、上記以外のAndroid機器とともに、「BlackBerry」の携帯電話複数にリスクがあることが判明した。


提供:ZDNet/CBS Interactive

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算