スピーカーからペースメーカーまで、Bluetoothを搭載する製品はたくさんある。つまり、ここで問題が見つかると、頭を抱えたくなるほどさまざまな分野に影響が及ぶ可能性が高い。

このほどシンガポール工科デザイン大学（SUTD）の研究チームは、Bluetooth関連で12個の脆弱性を発見した。これによって活動量計からスマートロック、医療機器やインプラントまで、480以上ものデヴァイスが危険にさらされる恐れがあることが明らかになっている。

SUTDのチームは2019年1月、Wi-Fiのセキュリティを分析するシステムの開発を始めた。研究者たちはしばらくしてから、同じテクノロジーをBluetoothの安全性の確認にも応用できると気づいた。そして9月には、Bluetoothの省エネ版である「Bluetooth Low Energy（BLE）」の実装例で最初の問題が見つかり、それから数週間でさらに11個の脆弱性があることが明らかになっている。

これら12個のバグは、まとめて「SweynTooth」と名付けられた。いずれもBLEそのもののプロトコルではなく、大手ヴェンダー7社のSoC（System-On-a-Chip、ひとつの半導体にシステムを動かすために必要な機能を多く載せたチップ）のソフトウェア開発キットに含まれるものだ。

IoT機器メーカーは開発時間を短縮するために、既製のSoCを利用することがよくある。ところが、このためにSoCに欠陥があるとさまざまなデヴァイスに問題が生じる。今回の12個のバグはネットを通じて悪用されることはないが、Bluetoothの電波が届く範囲内であればどこからでも攻撃が可能だ。デヴァイスを強制再起動させたり、場合によってはセキュリティ機能を迂回して遠隔操作することもできるという。

攻撃の恐れのある製品のリストには、家庭用や業務用のスマート機器に加え、ペースメーカーや血糖値の測定器などもある。一般の製品はもちろんだが、医療機器がハッキングされるようなことになれば大問題だろう。

メーカーは基本的なセキュリティ対策を怠っていた

SUTDの研究チームは、一連の医療関連デヴァイスについての概念実証はしていない。しかし、SweynToothには通信システムやデヴァイス全体を機能不全にできる脆弱性も含まれる。

メーカーは問題のあるSoCを搭載した製品をすべて個別にチェックして、可能な攻撃に対する修正プログラムを用意しなければならない。研究者たちはまた、今回見つかったバグと別の脆弱性を組み合わせた攻撃についても、実行が可能かどうか確認するよう注意を呼びかけている。

Bluetoothを搭載した機器は、いずれも互換性を保証するBluetooth認証を取得している。だが、SoCを提供するメーカーは、基本的なセキュリティ対策を怠っていた。

SUTDの准教授で研究チームを率いたスディプタ・チャトパディヤイは、「大手ヴェンダーのチップで今回のような非常に深刻な問題が見つかったことに驚いています」と言う。「わたしたちのチームは過去に、こうした脆弱性を自動検出するシステムを開発したことがあります。こうしたツールを利用してセキュリティをきちんとチェックしていれば、事前にバグを検出できたはずです」

多くのメーカ−が修正プログラムを配布

『WIRED』US版は、Bluetoothシステムの監督機関であるBluetooth Special Interest Groupにコメントを求めたが、回答は得られていない。Bluetoothでは頻繁にセキュリティ関連の問題が見つかるが、これはシステムが非常に複雑であることが原因のひとつだ。

チャトパディヤイは「SoCメーカーに今回の脆弱性について伝えたとき、エンジニアに『通常の仕様の範囲を超えた値で試しているからだ』と言われました」と話す。「ただ、わたしたちは普通の使い方だけを想定して調査しているわけではありません。相手は悪意のある攻撃者で、通常ではあり得ないことを仕掛けてくるのです」

SUTDの研究チームは、問題が発見されたSoCの製造元に連絡をとっている。テキサス・インスツルメンツ、NXPセミコンダクターズ、サイプレス・セミコンダクター、テリンク・セミコンダクター（泰凌微電子）は、すでに修正プログラムを配布済みだ。ダイアログ・セミコンダクターはひとつのSoCに関してはパッチを公開したが、それ以外の製品については向こう数週間内に対応するとしている。

一方、STマイクロエレクトロニクスはバグの存在は認めたが、修正プログラムは配布していない。マイクロチップ・テクノロジーも現時点ではプログラムの開発には取り組んでいる様子はない。いずれにしても、パッチだけでは問題は解決しない。デヴァイスメーカーがそれぞれの修正プログラムを自社製品に合うように書き換えて顧客に配布し、インストールしてもらう必要があるからだ。

過小評価されている問題

組込製品のセキュリティを専門にする調査会社Armisの副社長ベン・セリは、「アップデートのプロセス全体を考えてみてください。ペースメーカーひとつにしても簡単にはいきませんし、対応にも時間がかかります」と言う。セリは過去にBLEのSoCレヴェルでの問題を扱ったことがあるが、「影響を受けるデヴァイスはすべてが、パッチがまったく適用されないか、されるとしてもソフトウェアの更新には膨大な労力が必要になります」と懸念を表明する。

さらに、脆弱性のあるSoCがどの製品に使われているかを完全に把握するのは難しいため、実際にわかっているよりもはるかに多くのデヴァイスが危険に晒されている可能性が高い。また、SweynToothの詳細が公表されたことで世界中の研究者が関連する調査を始めており、別のSoCでも同じようなバグが見つかるかもしれない。

米食品医薬品局（FDA）の広報担当者は『WIRED』US版の取材に対し、「SweynToothの脆弱性を調査しているところです。FDAはサイバーセキュリティの新たな問題の評価を続けており、重要な情報が見つかった場合は一般に公開しています」と答えている。

こうしたバグを利用した攻撃を実際に仕掛けるのは容易ではなく、たいていのデヴァイスは多かれ少なかれある程度は危険に晒されている。ただ、製品の根幹をなす半導体チップに既製品が用いられることが多い現状で、チップのセキュリティの重要性や、問題が発生したときに解決にどれだけの時間がかかるかは過小評価されていると言わざるを得ない。