2017年9月12日、Windows、Linux、iOS、tvOS、Androidなど複数のOSやデバイスに対して、Bluetooth実装の脆弱性情報が公開されました。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
今日は、非常に多くのデバイスで使用されているBluetoothの実装における脆弱性に関する情報です。
Bluetooth実装における脆弱性の概要
Armisというセキュリティ企業がBluetooth実装における脆弱性を発見しました。
それによると、Windows、Linux、iOSやAndroidなどの主要OSのBluetooth実装の脆弱性8件が特定され、その内の4件は重大であるとされています。
また、コンピュータ、スマートフォン、IoT機器など、82億台ものデバイスへの影響が指摘されています。
この脆弱性が悪用された場合、相手の端末とペアリングしていなくても無線経由で近くの端末を攻撃できてしまい、端末の制御、マルウェア感染、重要データなどへの不正アクセスの危険性があります。
さらに、他のネットワークから切り離された内部のセキュアネットワークにもBluetooth経由で侵入できてしまうという、非常に危険な脆弱性でもあります。
影響を受ける対象OSと対策
現状で報告されている、影響を受ける対象のOSは以下のものが挙げられています。
〇 Windows:2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないWindows Vista以降のWindows
〇 Linux:Kernel 3.3-rc1 以降のバージョン、BlueZ すべてのバージョン
〇 iOS・tvOS:iOS9.3.5及びそれ以前、AppleTV tvOS7.2.2及びそれ以前
〇 Android:セキュリティパッチレベル2017年9月を適用していないAndroid
対策は、以下のリンクから各OSの情報を参考にしてください。
〇 Windows:Microsoft Bluetooth ドライバーのなりすましの脆弱性
〇 Linux/RedHat:Blueborne – Linux Kernel Remote Denial of Service in Bluetooth subsystem
〇 Linux/ubuntu:Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel
〇 iOS:iOS10は既に対策が実施されている
〇 Android:Android Security Bulletin―September 2017
今直ぐこれらの対策を実施されることをお勧めします。
追伸:OSのサポートが終了しているデバイスの場合、Bluetoothをオフにすることで回避するしかありません。