Bluetoothは手軽に接続できる無線規格です。

無線接続で音楽を聞くことや、マウスを遠隔操作することが可能です。

本来有線(ケーブル)で接続しなければ機能しないものを、電波を飛ばしてケーブルレスに出来る。

そんなBluetoothですが、今回脆弱性が見つかってしまいました。

BluetoothをONにしておくと、パソコンやスマホが乗っ取られる可能性があります。

そもそも脆弱性とは

パソコンやスマホのOSは完璧なものではありません。

どんなプログラムにも、設計ミスやバグ(欠陥)などがあります。

そのバグの中には、本来動作してはいけない動作(例えば遠隔操作や相手の画面を覗き見る)

を行うための踏み台に出来るバグが、出てしまうことがあります。

これらバグを脆弱性(セキュリティホール)と呼ばれています。

Bluetoothの脆弱「BlueBorne」とは

今回Bluetoothに見つかった脆弱性は、BlueBorneと呼ばれています。

BlueBorneは、Bluetoothの脆弱性を利用した乗っ取りを行います。

乗っ取られた場合、リモート操作や、表示された画面を遠隔確認、入力した文字を記録(キーロガー)等。

ほぼ全ての手段にアクセスすることが可能になってしまいます。

 

Bluetoothは基本的に初回ペアリングをする場合、パスワードが必要です。

ですが、BlueBorneの怖いところは、ペアリングが一切必要ありません。

ターゲットが

  • 近くに居て
  • Bluetoothがオンになっており
  • BlueBorneに対する対策がされていない パソコンとスマホ

があれば、乗っ取ることが可能なのです。

被害に合う可能性のあるもの

Google 認証システムなどの2段階認証

パスワードだけなら心配だ

しかしセキュリティ対策として、2段階認証があれば大丈夫。

Google 認証システムアプリなどを使って、2段階認証を利用している方も多いと思います。

ですが、BlueBorneを利用してスマホを乗っ取られた場合、どうなるでしょう。

2段階認証アプリをクラッカーは難なくと起動し、認証キーを取得することが可能です。

乗っ取られた対象がパソコンの場合、スマホの2段階認証にはアクセス出来ません。

そのため、BlueBorneを利用されパスワードが漏れたとしても、2段階認証を利用しているサイトは守られます。

メールの2段階認証

乗っ取られた時点で、クラッカーは全てのメールにアクセスすることが可能です。

メールの2段階認証は、多くがsnsのため、難なくと2段階認証のメールを見ることが可能です。

キャリアメールでも、メールソフトにパスワードをかけたところで関係ありません。

メールソフトのパスワードは、キーロガー(文字入力を記録するソフト)で全て記録されるためです。

ビットコイン

スマホでビットコインをやり取りしている場合、全てのビットコインを奪われる可能性があります。

ビットコイン取引所や販売所のアクセスには、一般的にIDとパスワード、そして2段階認証が使われています。

ですが、IDとパスワードはキーロガー、2段階認証は乗っ取りによるリモート操作で全て無力化されてしまいます。

あとはビットコイン取引所にアクセスし、ビットコインを移されて終了です。

BlueBorneの対策は

まずは、簡単な対策としてスマホの場合、必ずロックにパスワードをかけることです。

仮に乗っ取られても、ロック画面のパスワードは解読することが出来ません。

また、ロックをかける時間を短くすることです。

長い間、画面が表示されている場合、スマホを見ていない間に情報等を盗まれるからです。

根本的な対策は、やはりセキュリティパッチをあてることです。

iPhoneの対策

iOS10とiOS11は、Bluetoothの脆弱性対策パッチが導入されています。

それ以前のバージョンを利用している場合は、早急iOSのバージョンをバージョンアップしてください。

古いiPhoneでも、iPhone5までならiOS10までバージョンアップ可能なはずです。

iPhone4S以前のiPhoneは、対策は不可能となりますので、Bluetoothオフでの運用をオススメします。

Androidの対策

Android 6.0及びAndroid 7.0には、Googleが対策パッチを配布しているようです。

対策パッチ対象の脆弱性は、下記の4つです。

  • 実行(CVE-2017-0781/CVE-2017-0782)
  • 情報漏洩(CVE-2017-0785)
  • 中間者攻撃(CVE-2017-0783)

ですが、殆どの方は対策パッチが当たっているのかわからないと思います。

その場合は、下記のアプリにて対策パッチが当たっているかどうか確認することが可能です。

BlueBorne Vulnerability Scanner by Armis(Google Play)

Androidの場合、メーカーがソフトウェアアップデートを打ち切っていることが多々あります。

上記アプリで確認し、残念ながらパッチが当たっていない端末の場合、Bluetoothをオフにすることをオススメします。

Windowsの対策

2017年9月のWindowsUpdate CVE-2017-8628にて対策済みです。

WindowsUpdateを欠かさず行っていれば、特に対策は必要ありません。

個別で対策パッチをダウンロードする場合は、下記から修正パッチをダウンロードすることが可能です。

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628

NURO光利用時の危険性は?

基本的に影響は受けません。

NURO光は有線LANやWi-Fiで接続を行って、インターネットに接続します。

しかし、インターネットを介して乗っ取りを行うことは出来ません。

BlueBorneは近距離通信を行うBluetoothを利用して乗っ取りを行うものだからです。

つまりターゲットが近くにいなければ、乗っ取ることは基本的に無理だからです。

危険性が高いのは、こんな場所です。

  • 電車内
  • カフェなどの飲食店

不特性多数の人が留まっていて、パソコンを取り出しても怪しまれない場所です。

そのため、NURO光利用時である自宅内では、Bluetoothに接続して乗っ取るのは現実的に難しいものと思われます。

ただし、Bluetoothはclass1のアダプタを利用して最大通信距離100mではあります。

障害物があると一気に減衰しますが、窓を開けた状態であった場合、危険性0とはいい切れません。

近所に悪意ある人物がいた場合。

そして、脆弱性対策が出来ないOSを利用している場合は、自宅内でもBluetoothをオフにすべきかもしれません。

NURO光に申し込む前に確認 各申込み先キャンペーンを詳しく比較解説

ニューロ光 実測結果 2017年10月 測定結果
ニューロ光 実測結果 2017年10月 測定結果

実測ダウンロード速度:914.9Mbps

実測アップロード速度 :881.5Mbps

 

スペック上の速度ではなく、実測速度でしっかり速度が出るNURO光

そんなNURO光をお得な方法で申し込みたい

ですが、申し込む前にこんなことを疑問に思いませんか

  • どこがお得な申し込み方法かわからない。
  • 高額なオプションに釣られて、実は損をしていた。

NURO光の申し込みが失敗しないように、詳しく各申し込み方法を解説します。

NURO光 申し込みキャンペーンを徹底比較

そもそもNURO光がどんな回線かわからない方

NURO光の全てを当サイトのトップページにて詳しく解説していますNURO光の実測や評判は?トップページ