「BlueBorne」は数十億台のBluetoothデバイスに影響か

Bluetoothは、世界で最も普及し、使用されている接続プロトコルの1つです。電子機器やスマートフォンに広く採用され、Bluetooth対応IoT機器は増え続けています。最近、BlueBorneと呼ばれる新しいBluetoothエクスプロイトが見つかりましたが、Bluetoothの多数の脆弱性を標的することから、10億台のデバイスが影響を受ける可能性があります。

BlueBorneは、Bluetooth経由で拡散する、ハイブリッドのトロイの木馬型ワームマルウェアです。ワームに似た特性を持つことから、感染したシステムからさらに感染が広がる可能性があり、脆弱性が存在するホストを次々と検索しようとします。脆弱性が存在するホストは残念ながら多く、Android、iOS、Mac OSX、Windowsのシステムを始めとする、Bluetooth対応の全デバイスが対象になると考えられます。また、スマートウォッチ、フィットネストラッカー、エレクトロニクスシステム、その他のBluetooth対応デバイスなどの多数のIoTデバイスにも脆弱性が存在する可能性があります。

これらの脆弱性は、Bluetooth標準規格そのものではなく、Wi-Fi/Bluetoothハードウェアコントローラチップに存在する脆弱性であり、次のような多数のCVEと勧告が含まれます。

  • LinuxカーネルRCEの脆弱性 - CVE-2017-1000251
  • Linux Bluetoothスタック(BlueZ)情報漏洩の脆弱性 - CVE-2017-1000250
  • Android情報漏洩の脆弱性 - CVE-2017-0785
  • Android RCEの脆弱性1 - CVE-2017-0781
  • Android RCEの脆弱性2 - CVE-2017-0782
  • AndroidのBluetooth Pineapple - 論理的な脆弱性 - CVE-2017-0783
  • WindowsのBluetooth Pineapple - 論理的な脆弱性 - CVE-2017-8628
  • AppleのLow Energy Audio Protocol RCEの脆弱性 - CVE-2017-14315

これらの脆弱性のエクスプロイトの証拠が現段階で見つかっているわけではありませんが、明らかになっていない概念実証(POC)攻撃がすでに存在する可能性があります。現状ではセキュリティ研究者によるこのテクノロジーの調査が十分とは言えないため、Bluetooth実装を標的とする攻撃が見つかるのは、少し先になるのかもしれません。

この脅威ベクトルの影響は極めて大きく、あらゆるBluetooth対応デバイスに、BlueBorneや類似するBluetoothを標的とする攻撃に悪用される恐れのある、多数の脆弱性が存在する可能性があります。さらに深刻な問題は、Bluetoothは、ほとんどのネットワークセキュリティツールの監視・検査対象の通信プロトコルではないため、侵入検知システムなどの従来のセキュリティデバイスでBlueBorne攻撃が検知されない可能性が高い点にあります。

スマートフォンやPCだけでなく、スマートテレビやエンターテインメントシステム、スピーカー、ヘッドホン、スマートカーデバイス、さらには家庭用セキュリティシステムなどの世界中のBluetooth搭載IoTデバイスが感染する恐れがあります。また、このエクスプロイトは、Bluetooth通信を使用する一般ユーザー向け製品だけでなく、Bluetoothテクノロジーを使ってネットワーク接続する多くの商用IoTデバイスにも影響する可能性があります。残念ながら、この脆弱性の正確な規模と深刻さは、現段階ではほとんど分かっていません。

BlueBorneマルウェアは、Bluetooth対応デバイスをスキャンして、関連する脆弱性が存在するかどうかを調べます。そして、標的が特定されれば、10秒もかからずハッキングが完了し、侵入にあたっての、標的デバイスによる接続要求の承認も必要ありません。デバイスが感染すると、攻撃者によってデバイスで任意のコマンドが実行され、データにアクセスして不正取得されてしまう恐れがあります。この攻撃はさらに、脆弱性が存在する他のBluetooth対応デバイスを探す行動を直ちに開始し、拡散し続けます。

FortiGuard Labsでは、Bluetoothデバイスがネットワークセキュリティデバイスのキルチェーンに含まれることは少ないものの、BlueBorneの潜在的に強力である配信メカニズムを考慮すれば、多段階型攻撃の第一段階でBluetoothのいずれかの脆弱性が悪用され、その後に、標的デバイスがランサムウェア、リモートエクスプロイトキット、あるいはその他の危険なファイルなどの追加マルウェアを感染させる段階へと移ると予想しています。幸いにも、これらの潜在的な第2段階の攻撃のほとんどの行動(特に、C&Cサーバーのアクティブ化やその後の通信)については、ネットワークやエンドポイントのセキュリティデバイスで検知できる可能性が高いと考えられます。このような攻撃ベクトルの存在を示す実際の証拠は見つかっていないものの、何人ものセキュリティ研究者が、概念実証(POC)のエクスプロイトが実験環境にすでに存在するか、存在しないとしても簡単に開発できるはずだと主張しています。

どのような対策が可能か

自分自身、そして、自分のBluetooth対応デバイスを保護するには、次の3つの対策をすぐに実施する必要があります。

  1. 絶対に必要である場合を除き、デバイスのBluetoothを無効にする。使うときだけオンにし、使い終わったらすぐにオフする。
  2. 自分のBluetoothデバイスや自分のネットワークに接続しているBluetoothデバイスを特定する。Bluetoothデバイスの製造元からのアップデートの公開に常に注意する。
  3. アップデートが公開されたらすぐにシステムにパッチを適用する。Apple iOSについては、2016年にiOS 10リリースで修正されており、Microsoftは、7月にWindowsのパッチを公開しており、Googleは現在、パッチの配布に取り組んでいるとされている。

ただし、BlueBorneのパッチがまだ公開されていないLinuxが採用されているIoTデバイスが数多く存在します。そして、たとえパッチが公開されたとしても、多くのIoTデバイスには、アップデートを配布したり受け取ったりする仕組みがありません。また、そういった仕組みがあったとしても、ユーザーがそれに気付いたり、デバイスをアップデートしたりすることがほとんどないことも、大きな問題です。