Bluetoothの脆弱性「BlueBorne」はIoT機器を狙う!?:IoTセキュリティ
Bluetoothの脆弱性「BlueBorne」は、PCやスマートフォンだけでなく、IoT機器にも大きな影響を与える可能性がある。製造業の技術者は、生産ラインで用いているPCだけでなく、開発したIoT機器についてもBlueBorneへの対処を行う必要がある。
2017年9月12日(米国時間)、「BlueBorne」と呼ばれるBluetoothの実装における複数の脆弱性情報が公開された。米国のIoT(モノのインターネット)セキュリティ企業であるArmisが発表したもので、Android、Linux、iOS、WindowsなどさまざまなOS上のBluetoothに影響を及ぼす可能性がある。
- Android:セキュリティパッチレベル2017年9月を適用していないAndroid(CVE-2017-0781、CVE-2017-0782、CVE-2017-0783、CVE-2017-0785)
- Windows:2017年9月マイクロソフトセキュリティ更新プログラムを適用していないWindows Vista以降のWindows(CVE-2017-8628)
- Linux:Kernel 3.3-rc1以降のバージョン(CVE-2017-1000251)、BlueZ全てのバージョン(CVE-2017-1000250)
- iOS、tvOS:iOS 9.3.5およびそれ以前、AppleTV tvOS 7.2.2およびそれ以前(CVE-2017-14315)
BlueBorneの脆弱性を利用されると、攻撃者は遠隔操作で機器を乗っ取ることが可能になる。また、感染機器から別のBluetooth機器へと感染させることもできる。攻撃者 BlueBorneを利用することによって、不正コードの実行、情報収集、「Man-In-The-Middle(MitM、中間者)攻撃」も可能になるという。
既に、Android、Linux、iOS、Windowsといった主要OSの開発者からBlueBorneの脆弱性に関する情報が以下のように提供されている。これらの情報を基にOSをアップデートする、もしくはBluetooth機能そのものを無効にすることで脆弱性に対処できる。
- Android
- Linux
- Windows
- iOS
- iOS 10以降は影響を受けないとの情報がある
製造業が「BlueBorne」で対処すべき2つのこと
BlueBorneはBluetoothが搭載されている全ての機器に影響を与える可能性がある。Armisによれば、現時点で世界に約82億台のBluetooth搭載機器があるという。このうち、Android機器が約20億台、Windows機器が約20億台、iOSなどを搭載するAppleの機器が約10億台としている。残りの約32億台は、Linux搭載機器や、さまざまな組み込みOSを用いるIoT機器と考えられる。
BlueBorneについて、製造業の技術者が気を付けるべき点は大まかに分けて2つある。1つは、工場などの生産ラインで使用している産業PCなどのコンピュータ機器のOSを最新版にアップデートすることだ。BlueBorneに対処するためのアップデートが用意されていない場合は、Bluetooth機能を無効にすればひとまずの対策になる。
もう1つは、Bluetoothが広く活用されているであろう出荷済みのIoT機器への対処だ。比較的高機能なIoT機器の場合はWindows EmbeddedやAndroid、組み込みLinuxを使用しているが、低消費電力が求められるIoT機器の場合はリアルタイムOSを使用していることも多い。OSベンダーやディストリビューターに問い合わせてBlueBorneの脆弱性による影響を確認し、OSのアップデートやBluetooth機能の無効化といった対処をユーザーに伝える必要があるだろう。
また、IoT関連のPoC(概念実証)プロジェクトでは、通信ネットワークにBluetoothを利用していることも多い。プロジェクトで利用しているOSに合わせて、早急な対処が必要だ。
関連記事
- WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。 - ホンダの工場がランサムウェアの被害に、狙われたのは生産ライン制御のPC
ホンダの国内外の生産拠点が2017年6月18日、ランサムウェアによる攻撃を受けた。生産ラインを制御するシステムを扱うPCが被害に遭い、狭山工場(埼玉県狭山市)は6月19日に稼働を停止した。 - サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。 - 「Bluetooth Mesh」が家電のIoT化を加速する
メッシュ接続が可能なBluetoothである「Bluetooth mesh」の仕様が策定された。既に利用されているZigBeeやZ-Waveなどのメッシュネットワークと異なるのは、Bluetoothを搭載するスマートフォンやタブレット端末をコントローラーとして利用できる点だ。 - 産業向けIoT通信技術として生まれ変わるBluetooth
Bluetooth SIGは新たにリリースした「Bluetooth mesh」について国内でアピール。新たにIoT向けの産業用ネットワークとして訴求を強化する方針を示した。 - いまさら聞けないBluetoothとその認証プロセス
マウスやスマホ、ハンズフリーセットなどで身近な「Bluetooth」のことをどれだけ知っているだろうか。技術の基礎とBluetooth製品を世に出すために必要な認証プロセスについて解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.