Bluetooth接続が脅かすセキュリティ

Bluetooth接続の便利さを享受する人は多い一方、Bluetooth接続が抱えるセキュリティ上のぜい弱性を意識する人は少ないのでは。安全な利用のヒントをご紹介します。

Bluetoothとセキュリティ - featured

Bluetoothがもたらすハンズフリーの便利さは、皆が歓迎するところです。一部にいたっては、移動のときはアクションスターよろしくBluetoothイヤホンを身に着けているくらいです。

Bluetoothとセキュリティ - title

しかしBluetoothは、そもそものはじまりからセキュリティ上のぜい弱性を抱えています。その初期には、無線を利用するワームとしては最初のものと考えられるCabirワームがありました。このワームには、電源がオンになっていて検出可能な状態になっているSymbianデバイスに感染する能力がありました。caribe.ssというファイルが添付されたメッセージを送信し、ダウンロードされるとデバイスの画面に「Caribe」という言葉を表示するこのワームは、有害の度合いは低かったものの、業界に警鐘を鳴らすものとなりました。

Bluetoothへの脅威は、それ以降進化をとげました。非常に危険とはいかないまでも、深刻にとらえる必要があります。

Bluejacking(ブルージャッキング)とは、Bluetooth経由のスパムのことです。Bluetoothユーザーは、半径約10mの範囲内にいる別のBluetoothユーザーへ電子名刺を送ることができます。この電子名刺がダウンロードされると、連絡先情報はダウンロードしたデバイスのアドレス帳に追加されます。これで、この連絡先からそのユーザーのデバイスへとメッセージを送信可能となります。一部の送信者は、もっと単純な方法を使います。つまり、自分のデバイス名そのものをスパムメッセージとするのです。新たなデバイスが接続を求めていることを知らせるメッセージを受け取ったとき、たとえば「『有名ブランド商品が30%オフ』があなたのデバイスに接続しようとしています」といった内容が表示されるという具合です。攻撃者側が指向性アンテナと増幅器を持っていれば、攻撃範囲は半径約1kmに広がります。

Car Whisperer(カーウィスパラー)は、Bluetoothが有効になったカーステレオを相手にオーディオファイルを送受信できるようにするソフトウェアです。つまり攻撃者は、やろうと思えばあなたの受発信を聞くことができるのです。

Bluebugging(ブルーバギング)は、先に紹介した2つよりも危険です。これは、攻撃者がユーザーのスマートフォンにリモートアクセスし、通話の盗聴や着信の転送、発信、テキストメッセージの送信などの操作を可能とする攻撃です。ユーザーは、何が起こっているのか気づきません。そのため、プレミアム通話や国際通話が勝手に行われてしまうと、とんでもない額の請求書が送られてくる羽目になります。

Bluetoothを通じた攻撃は、Bluetoothの屋台骨である認証要求または認証付与のプロセスを悪用することから始まります。認証要求/付与プロセスの悪用から攻撃者を完全に締め出すには、デバイス上のセキュリティ設定にかかわらず、デバイスのBluetooth機能を使っていないときにはオフにするしかありません。検出不可能にするのではなく、完全に機能をオフにしてください。ただし、中には勝手にオンにする悪質なアプリがあるため、全体的なセキュリティ設定は欠かせません。

世の中には、機能のオン/オフを自動的に切り替えてくれるバッテリー管理アプリが数多くあります。Android対応アプリではTasker、Juice Defender、ソニーのNFC搭載スマートタグ、iOS対応アプリではBattery Doctor、Battery Life Pro、Batteryなどがあります。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?