IoTセキュリティ企業の米Armisは、Bluetooth(以下BT)の脆弱性を突いた攻撃「BlueBorne」について情報を公開した。

BlueBorne攻撃では、BTを経由してデバイスの完全な制御が可能で、PCやスマートフォン、IoTデバイスなどに大きな影響を与えるとしている。具体的には、リモートコードの実行や中間者攻撃などによるサイバースパイ、データの盗難、ランサムウェアの感染、WireXやMiraiボットネットのように、モバイルデバイスやIoTデバイスで巨大なボットネットを作成するといったことが可能となるとしている。

ArmisではBlueBorneに関連した8つのゼロデイ脆弱性を発見しており、すでに攻撃が行なわれている可能性もあると指摘。発見された脆弱性は理論上のものではなく、実際に攻撃が可能なものであるほか、BTを使用するさまざまなプラットフォームで、さらなる脆弱性が発見されるとの見解を示している。

「Airborne」と「Bluetooth」をかけ合わせ命名されたこの攻撃は、BTを経由して空気中を伝播し、デバイスを攻撃する。

BlueBorneの大きな特徴として、これまで問題になってきた多くの攻撃と異なり、「インターネットに依存しない」、「物理的接続が不要」という点が挙げられる。既知の攻撃への対策として、インターネットやUSBなど物理的接続に対するものは多くあるが、これはそれらを回避できる。

同社では安全とされている“エアギャップ”なネットワークであっても、BT機器があれば侵入し、マルウェアを拡散させるこが可能であるとしている。

Wi-Fiチップの脆弱性であれば、デバイスの周辺機器だけに影響し、デバイスを制御するためには別の手段が必要とされるが、BTの場合はプロセスがOS内で高い特権を持っているため、デバイスを事実上完全に制御できるという。

BlueBorneの脅威な点は、リンクをクリックしたり、ファイルをダウンロードしたりといったユーザーの操作を必要とせず、すべてのソフトウェアバージョンと互換性があるほか、Bluetoothがアクティブであることを前提とした前提条件や構成を必要しないため、対象デバイスが広範であるという点が挙げられる。

BT搭載デバイスは、ペアリング済みのデバイスだけでなく、つねにあらゆるデバイスからの着信接続を探知しているため、デバイスをまったくペアリングせずにBT接続を確立できる。このため、BlueBorneは攻撃を検知されない潜在的攻撃となっている。

BlueBorne攻撃では、まず周囲のアクティブなBT接続を探知する。このさい、ペアリングのための「発見可能」モードでなくても、BTがオンになっていれば識別が可能となる。

次に、デバイスのMACアドレスを取得し、デバイスをプロービングすることで対象デバイスのOSを特定し、それに合わせて攻撃を準備。そしてそのプラットフォームでのBTプロトコル実装における脆弱性を突き、アクセス権を取得する。この段階で、中間者攻撃によるデバイスの通信制御、デバイスの完全制御によるサイバー犯罪が可能となる。

Armisは、BTは実装が難しいプロトコルのため、2つの大きな危険性があると指摘している。

1つは、ベンダーはプロトコルの実装ガイドラインに従っているため、あるプラットフォームで脆弱性が見つかった場合、ほかのプラットフォームも同様に影響を受ける可能性がある問題で、実際、そういった“ミラー化”された脆弱性が、WindowsとAndroidに対する中間者攻撃(CVE-2017-8628とCVE-2017-0783)で発生しているという。

2つ目は、一部のBTの仕様について多くの解釈が生まれ、さまざまなプラットフォームで断片化された実装方法が取られている点で、それによってそれぞれが独自の脆弱性を含む可能性が高いという。

なお、同社が発見した脆弱性に関しては、すでにGoogle、Microsoft、Apple、Samsung、Linuxカーネルセキュリティチームに連絡し、対策を行なうよう勧告している。

Armisは、BTは短距離通信のためのもっとも普及したプロトコルであり、BlueBorne攻撃は、現在世界に存在する一般的なPC、スマートフォン、TV、時計、車、医療機器など、82億を超えるBT対応の全デバイスに影響を与える可能性があるとしている。

現在世界にはAndroid端末が20億台、Windows端末が20億台、Apple端末が10億台存在するという最新調査もあり、Armisの発見した8つの脆弱性だけでも、50億台以上が影響を受ける計算となる。

具体的には、Androidであれば、Google Pixel、Samsung Galaxy/Galaxy Tab、LG Watch Sportなど、OSバージョンによらない全デバイス(ウェアラブルデバイスなどBT Low Energyのみを使っているものは除く)が、リモートコードの実行(CVE-2017-0781/CVE-2017-0782)、情報漏洩(CVE-2017-0785)、中間者攻撃(CVE-2017-0783)の4つの脆弱性の影響を受ける。

GoogleはすでにAndroid 6.0(Marshmallow)および7.0(Nougat)向けにセキュリティ更新プログラムを提供し、パートナー企業に通知しており、Androidデバイスは9月9日付けのセキュリティパッチが適用されていれば前述の脆弱性に対策された状態になる。

Armisでは「Armis BlueBorneスキャナ」アプリをGoogle Playで提供しており、インストールすることでデバイスが危険にさらされているかを確認できるとしている。

Windowsでは、Windows Vista以降の全Windows搭載PCが、中間者攻撃(CVE-2017-8628)を実行できる「Bluetooth Pineapple」脆弱性の影響を受ける。Microsoftは9月12日付けでサポート対象のWindowsにセキュリティパッチを提供している。

Linuxでは、BlueZを実行している全Linuxデバイスが情報漏洩の脆弱性(CVE-2017-1000250)の影響を、2011年10月のバージョン3.3-rc1で動作するデバイスがリモートコード実行脆弱性(CVE-2017-1000251)の影響を受ける。対象デバイスの例としては、Samsung Gear S3、Samsung製スマートTVなどが挙げられている。

iOSでは、バージョン9.3.5以下の全iPhone/iPad/iPod touch、およびバージョン7.2.2以下のAppleTVで、リモートコード実行の脆弱性の影響を受ける。脆弱性はiOS 10ですでに対策されているため、新たなパッチのインストールを行なう必要はないことから、Armisでは最新版OSに更新することを推奨している。

Armisは、デバイスに該当のセキュリティパッチが適用されていない場合は、BTを無効にし、パッチがインストールされるまで使用を最小限に控えることを推奨している。