2017年9月に、Bluetoothに関する脆弱性であるBlueBorneが米セキュリティ会社Armisにより公開されています。すでにiOS、Android、Linux、Windowsでは、この脆弱性に対応する更新プログラムが公開されています。
かなり深刻なレベルの脆弱性のため、BlueBorneに対応したセキュリティアップデートを実施した端末以外はBluetoothを無効(OFF)にしておくのが推奨されます。
先に書いておきますが、この記事はいちユーザー目線でBlueBornについて調べたことをまとめているだけなので、技術的な内容は含まれていません。
私個人の話では、所有しているスマートフォンは未対策端末なのでBluetoothをOFFにしたままです。Bluetoothイヤホンが使えなくなってしまいとても不便です。Windows PCは対策済みのため、Bluetoothマウスを使っています。
セキュリティ会社Armisが公開したBlueborne情報はコチラです。(英語サイト)
https://www.armis.com/blueborne/
深刻な脆弱性あり
脆弱性なんてしょっちゅう見つかってると思うかもしれませんが、今回のBlueborneは知らない内に端末を完全に乗っ取られる可能性がある深刻なレベルの脆弱性です。
しかもBluetoothを有効にしているだけで、半径10-20mのbluetoothが届く範囲から侵入されてしまいます。乗っ取られた端末を中継器にすればさらに広範囲に危険が及びます。インターネットを経由しないで侵入されてしまうというのが、今までの一般的な防御対策が通用しないところも怖いです。
現在はこの脆弱性を利用した実害の報告例はまだ無いようですが、すでに公開されている脆弱性のため、それを突いた攻撃が広まるのも時間の問題と考えられます。
対策はBluetoothをOFFにする
唯一確実なBlueborn対策は、Bluetooth機能を無効(OFF)にすることです。幸いなのは、ほとんどの端末でBluetooth機能は購入時デフォルトでOFFになっています。はじめてBluetoothで接続する周辺機器を利用開始するときにONにするので、全体的にはOFFのままになっている割合の方が高そうです。
そして2017年9月以降、Blueborne対策のセキュリティアップデートが済んでいることが確認できた端末だけ、Bluetooth周辺機器を利用するときに有効(ON)にするのが良いでしょう。
現在、各OSでBlueborne対策セキュリティアップデートが公開されている状況を調べてみました。
Windows
Windowsは、2017年9月の月例Windows更新プログラムでBlueborn対策がされています。毎月のWindows Updateを実施していれば、すでに対策済みです。
この更新プログラムに関するマイクロソフト情報はコチラです。(初回に同意画面が出る場合は同意するをクリック後、再度リンクを開き直す必要があります。)
CVE-2017-8628 | Microsoft Bluetooth ドライバーのなりすましの脆弱性
当然ですが、この更新プログラムの対象バージョンは、マイクロソフトのサポート期限が有効なWindowsに限ります。Vista以前のWindowsはBluetoothを無効にするしかないでしょう。
Android
Googleは2017年9月に Android Security Bulletin—September 2017 で対策情報を公開しているようです。
ただし、Androidに関してはGoogleが直接販売しているNexusやPixelシリーズを除けば、各端末製造メーカーがアップデートを提供するので、メーカーがその機種用のセキュリティアップデートを提供しているかどうかを調べる必要があります。
Android端末の 設定アイコン→端末情報→セキュリティパッチレベルの日付が2017/09/07以降になっていれば、一般的にはBlueborne対策済みと推定できるようです。
Android用アプリ BlueBorne Vulnerability Scanner by Armis で調べるのが、Blueborne対策済み端末かそうでないか判別するのが簡単です。さきほど紹介した米セキュリティ会社Armisが提供しているアプリなので安心して利用できそうです。
Apple
Apple製品に関しては、Appleが公式にBlueborneに対応したかどうかの情報はネット検索しても確認できませんでした。
CVE-2017-14315 AppleのiOSとtvOSのBlueborneの脆弱性情報を見ると、iOS7から9のバージョンが対象になっています。iOS10以降のバージョンでは対策済みというのが一般的な情報です。
さらに、よくわからないのがMac BookやiMacなどのノートやデスクトップのMacOS製品です。MacOSに関してはBlueborneの脆弱性の対象リストに出ていません。かといって、MacOSがBlueborneの影響を受けないという公式情報もありません。
海外の質問掲示板などを見ると、Appleサポートに問い合わせたらBluetoothをOFFにするようにしか言われなかったとか、最近のMacOSなら理論上安全ですよとか、Appleの公式見解が無いのでどれを信じればいいのか不明です。これでは、確実な情報が出るまではBluetoothをOFFにするしかないですね。
Linux
Linuxの脆弱性は下記の2つが公開されています。RedHat/CentOS、Debian、Ubuntuなど主要Linuxディストリビューションはセキュリティ アップデートで対応しているようですが、詳しくは各ディストリビューションの情報を調べるしかないようです。
その他のBluetooth搭載機器は?
脆弱性が公開されているAndroid、iOS、Windows、Linux以外のBluetooth搭載端末はどうなのかという疑問が残ります。最初に紹介したArmisの情報にも、今回公開した脆弱性は氷山の一角であるとしています。
例えば日本では、従来型の携帯電話(フューチャーフォン、ガラケー)にもBluetooth搭載のものが多いです。これに関してはメーカーも製造を終了しているし、キャリアも販売終了しています。これらのサポート情報が公式に公開されることはおそらく無いでしょう。それでいて万が一の事があれば、スマートフォンと同じくらい個人情報の宝庫です。
他にも、ネットワークカメラやWEBカメラにもBluetooth搭載している製品もあります。NASやネットワークプレイヤーなどもBluetoothを搭載しているものがあります。
これらも公式情報を確認するまでは、Bluetooth機能を無効(OFF)にしておく以外に絶対に大丈夫とは言えないという困った状況になりました。心配性と言われてしまうかもしれませんが、私はいままでガラケーとスマホの2台持とも外出時には常時Bluetoothイヤホンで着信待ちにしていましたが、現在はBluetoothをOFFにして使うのを辞めています。