Bluetoothの脆弱性「BlueBorne」はIoT機器を狙う!?IoTセキュリティ

Bluetoothの脆弱性「BlueBorne」は、PCやスマートフォンだけでなく、IoT機器にも大きな影響を与える可能性がある。製造業の技術者は、生産ラインで用いているPCだけでなく、開発したIoT機器についてもBlueBorneへの対処を行う必要がある。

» 2017年09月15日 14時00分 公開
[朴尚洙MONOist]

 2017年9月12日(米国時間)、「BlueBorne」と呼ばれるBluetoothの実装における複数の脆弱性情報が公開された。米国のIoT(モノのインターネット)セキュリティ企業であるArmisが発表したもので、Android、Linux、iOS、WindowsなどさまざまなOS上のBluetoothに影響を及ぼす可能性がある。

  • Android:セキュリティパッチレベル2017年9月を適用していないAndroid(CVE-2017-0781、CVE-2017-0782、CVE-2017-0783、CVE-2017-0785)
  • Windows:2017年9月マイクロソフトセキュリティ更新プログラムを適用していないWindows Vista以降のWindows(CVE-2017-8628)
  • Linux:Kernel 3.3-rc1以降のバージョン(CVE-2017-1000251)、BlueZ全てのバージョン(CVE-2017-1000250)
  • iOS、tvOS:iOS 9.3.5およびそれ以前、AppleTV tvOS 7.2.2およびそれ以前(CVE-2017-14315)

 BlueBorneの脆弱性を利用されると、攻撃者は遠隔操作で機器を乗っ取ることが可能になる。また、感染機器から別のBluetooth機器へと感染させることもできる。攻撃者 BlueBorneを利用することによって、不正コードの実行、情報収集、「Man-In-The-Middle(MitM、中間者)攻撃」も可能になるという。

 既に、Android、Linux、iOS、Windowsといった主要OSの開発者からBlueBorneの脆弱性に関する情報が以下のように提供されている。これらの情報を基にOSをアップデートする、もしくはBluetooth機能そのものを無効にすることで脆弱性に対処できる。

製造業が「BlueBorne」で対処すべき2つのこと

 BlueBorneはBluetoothが搭載されている全ての機器に影響を与える可能性がある。Armisによれば、現時点で世界に約82億台のBluetooth搭載機器があるという。このうち、Android機器が約20億台、Windows機器が約20億台、iOSなどを搭載するAppleの機器が約10億台としている。残りの約32億台は、Linux搭載機器や、さまざまな組み込みOSを用いるIoT機器と考えられる。

 BlueBorneについて、製造業の技術者が気を付けるべき点は大まかに分けて2つある。1つは、工場などの生産ラインで使用している産業PCなどのコンピュータ機器のOSを最新版にアップデートすることだ。BlueBorneに対処するためのアップデートが用意されていない場合は、Bluetooth機能を無効にすればひとまずの対策になる。

 もう1つは、Bluetoothが広く活用されているであろう出荷済みのIoT機器への対処だ。比較的高機能なIoT機器の場合はWindows EmbeddedやAndroid、組み込みLinuxを使用しているが、低消費電力が求められるIoT機器の場合はリアルタイムOSを使用していることも多い。OSベンダーやディストリビューターに問い合わせてBlueBorneの脆弱性による影響を確認し、OSのアップデートやBluetooth機能の無効化といった対処をユーザーに伝える必要があるだろう。

 また、IoT関連のPoC(概念実証)プロジェクトでは、通信ネットワークにBluetoothを利用していることも多い。プロジェクトで利用しているOSに合わせて、早急な対処が必要だ。

Copyright © ITmedia, Inc. All Rights Reserved.