Bluetoothは手軽に接続できる無線規格です。
無線接続で音楽を聞くことや、マウスを遠隔操作することが可能です。
本来有線(ケーブル)で接続しなければ機能しないものを、電波を飛ばしてケーブルレスに出来る。
そんなBluetoothですが、今回脆弱性が見つかってしまいました。
BluetoothをONにしておくと、パソコンやスマホが乗っ取られる可能性があります。
目次
そもそも脆弱性とは
パソコンやスマホのOSは完璧なものではありません。
どんなプログラムにも、設計ミスやバグ(欠陥)などがあります。
そのバグの中には、本来動作してはいけない動作(例えば遠隔操作や相手の画面を覗き見る)
を行うための踏み台に出来るバグが、出てしまうことがあります。
これらバグを脆弱性(セキュリティホール)と呼ばれています。
Bluetoothの脆弱「BlueBorne」とは
今回Bluetoothに見つかった脆弱性は、BlueBorneと呼ばれています。
BlueBorneは、Bluetoothの脆弱性を利用した乗っ取りを行います。
乗っ取られた場合、リモート操作や、表示された画面を遠隔確認、入力した文字を記録(キーロガー)等。
ほぼ全ての手段にアクセスすることが可能になってしまいます。
Bluetoothは基本的に初回ペアリングをする場合、パスワードが必要です。
ですが、BlueBorneの怖いところは、ペアリングが一切必要ありません。
ターゲットが
- 近くに居て
- Bluetoothがオンになっており
- BlueBorneに対する対策がされていない パソコンとスマホ
があれば、乗っ取ることが可能なのです。
被害に合う可能性のあるもの
Google 認証システムなどの2段階認証
パスワードだけなら心配だ
しかしセキュリティ対策として、2段階認証があれば大丈夫。
Google 認証システムアプリなどを使って、2段階認証を利用している方も多いと思います。
ですが、BlueBorneを利用してスマホを乗っ取られた場合、どうなるでしょう。
2段階認証アプリをクラッカーは難なくと起動し、認証キーを取得することが可能です。
乗っ取られた対象がパソコンの場合、スマホの2段階認証にはアクセス出来ません。
そのため、BlueBorneを利用されパスワードが漏れたとしても、2段階認証を利用しているサイトは守られます。
メールの2段階認証
乗っ取られた時点で、クラッカーは全てのメールにアクセスすることが可能です。
メールの2段階認証は、多くがsnsのため、難なくと2段階認証のメールを見ることが可能です。
キャリアメールでも、メールソフトにパスワードをかけたところで関係ありません。
メールソフトのパスワードは、キーロガー(文字入力を記録するソフト)で全て記録されるためです。
ビットコイン
スマホでビットコインをやり取りしている場合、全てのビットコインを奪われる可能性があります。
ビットコイン取引所や販売所のアクセスには、一般的にIDとパスワード、そして2段階認証が使われています。
ですが、IDとパスワードはキーロガー、2段階認証は乗っ取りによるリモート操作で全て無力化されてしまいます。
あとはビットコイン取引所にアクセスし、ビットコインを移されて終了です。
BlueBorneの対策は
まずは、簡単な対策としてスマホの場合、必ずロックにパスワードをかけることです。
仮に乗っ取られても、ロック画面のパスワードは解読することが出来ません。
また、ロックをかける時間を短くすることです。
長い間、画面が表示されている場合、スマホを見ていない間に情報等を盗まれるからです。
根本的な対策は、やはりセキュリティパッチをあてることです。
iPhoneの対策
iOS10とiOS11は、Bluetoothの脆弱性対策パッチが導入されています。
それ以前のバージョンを利用している場合は、早急iOSのバージョンをバージョンアップしてください。
古いiPhoneでも、iPhone5までならiOS10までバージョンアップ可能なはずです。
iPhone4S以前のiPhoneは、対策は不可能となりますので、Bluetoothオフでの運用をオススメします。
Androidの対策
Android 6.0及びAndroid 7.0には、Googleが対策パッチを配布しているようです。
対策パッチ対象の脆弱性は、下記の4つです。
- 実行(CVE-2017-0781/CVE-2017-0782)
- 情報漏洩(CVE-2017-0785)
- 中間者攻撃(CVE-2017-0783)
ですが、殆どの方は対策パッチが当たっているのかわからないと思います。
その場合は、下記のアプリにて対策パッチが当たっているかどうか確認することが可能です。
BlueBorne Vulnerability Scanner by Armis(Google Play)
Androidの場合、メーカーがソフトウェアアップデートを打ち切っていることが多々あります。
上記アプリで確認し、残念ながらパッチが当たっていない端末の場合、Bluetoothをオフにすることをオススメします。
Windowsの対策
2017年9月のWindowsUpdate CVE-2017-8628にて対策済みです。
WindowsUpdateを欠かさず行っていれば、特に対策は必要ありません。
個別で対策パッチをダウンロードする場合は、下記から修正パッチをダウンロードすることが可能です。
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628
NURO光利用時の危険性は?
基本的に影響は受けません。
NURO光は有線LANやWi-Fiで接続を行って、インターネットに接続します。
しかし、インターネットを介して乗っ取りを行うことは出来ません。
BlueBorneは近距離通信を行うBluetoothを利用して乗っ取りを行うものだからです。
つまりターゲットが近くにいなければ、乗っ取ることは基本的に無理だからです。
危険性が高いのは、こんな場所です。
- 電車内
- カフェなどの飲食店
不特性多数の人が留まっていて、パソコンを取り出しても怪しまれない場所です。
そのため、NURO光利用時である自宅内では、Bluetoothに接続して乗っ取るのは現実的に難しいものと思われます。
ただし、Bluetoothはclass1のアダプタを利用して最大通信距離100mではあります。
障害物があると一気に減衰しますが、窓を開けた状態であった場合、危険性0とはいい切れません。
近所に悪意ある人物がいた場合。
そして、脆弱性対策が出来ないOSを利用している場合は、自宅内でもBluetoothをオフにすべきかもしれません。
超高速回線のNURO光を使ってみませんか
NURO光回線は、これだけの速度が出るポテンシャルを持っています。
ニューロ光 実測・Ping値結果 2023年3月 SPEEDTESTで測定インターネット混雑時間である21:30頃に計測しても、これだけ速度が出ます。
実際にゲーム(Sekiro)をダウンロードしたところ、1分41秒で完了しました。
下記記事では、速度測定中の動画やパケットロスがないかも掲載しています。
■NURO光の特徴
NURO光は、SONYグループであるSo-netが提供する独自光回線です
■さまざまなランキングで1位受賞のネット回線
■PS5実機での実測速度とNATタイプ
NURO光は、PS5でも高速回線で快適です。
NATタイプは、NURO光、PS5共にIPv6対応のためタイプ2で接続出来ています。
(NATタイプがタイプ2で接続出来る場合、対戦ゲームで快適にマッチング出来ます)
現在NURO光新規加入者限定
NURO光なら、PlayStation5を確実に入手出来ます
■ウイルス対策ソフト「マカフィー」がNURO光では無料で使える
- マカフィーは、カリフォルニア州に本社を置くアメリカのセキュリティメーカー
- 第三者評価機関「AV-TEST」の評価によると、保護機能、パフォーマンス、ユーザリビティ全てALL6満点のセキュリティソフト
- 他社では月々500円オプションが、NURO光では5台分無料で利用可能
セキュリティソフトの第三者評価機関「AV-TEST」マカフィーの評価■高速回線がWi-FI、セキュリティオプション込みでこの月額料金
利用料金は月額5,200円(税込み) 1日分で換算すると167円で利用できます。
■NURO光をもっともお得に契約するコツは?
光回線は申し込み窓口によって、キャッシュバック等全く異なります。
お得な申し込み窓口を下記にて解説しています
(現在の特典は予告なく終了・変更させていただく場合があります。予めご了承ください)
