Bluetoothがオンになっているだけで端末が乗っ取られる「BlueBorne」攻撃
IoTセキュリティ企業の米Armisは、Bluetoothのセキュリティー上の脆弱性8件が見つかったと公表、これらの脆弱性を総称して「BlueBorne」と呼んでいます。BlueBorne攻撃では、BTを経由してデバイスの完全な制御が可能で、PCやスマートフォン、IoTデバイスなどに大きな影響を与えます。
BT搭載デバイスは、ペアリング済みのデバイスだけでなく、つねにあらゆるデバイスからの着信接続を探知しているため、デバイスをまったくペアリングせずにBT接続を確立できます。このため、BlueBorneでは相手に全く気づかれずに端末を乗っ取ることが可能となっています。
連鎖的に攻撃を拡大できるという点も従来にはない問題点であるとArmis Labsは指摘しています。BT経由で端末同士を結んだ巨大なボットネットを作成するといったことが可能となります。身近な例を挙げると、外出先でBlueBorne攻撃によって乗っ取られたスマホを自宅に持ち込むと、BT経由で自宅内のPCに入り込んでネットワークカメラを起動、自宅の様子をのぞき見するといったことが全く気づかれないうち行われると言うことです。
Bluetoothを搭載したすべてのデバイスが攻撃対象となりますが、スマートフォンの場合だと、iOS 9.3.5以前のバージョンと、Android 6.x Marshmallowより古いバージョンのOSが問題の対象になります。iOSの場合は最新OSへのアップデート率が高いのですが、Androidは最新OSへの移行が遅れる傾向にあり、この問題が発覚した時点で対象になる端末は全世界で11億台にものぼるそうです。もし自分の端末が該当した場合は、すぐにBluetooth機能をオフにしておいたほうが良いとのことです。なお、Microsoftは9月12日付けでサポート対象のWindowsにセキュリティパッチを提供しています。
