2017年末、世界で50億台を超えるデバイスに実装されているBluetoothに、4個のゼロデイ脆弱性が発見されて注目を集めた。攻撃者はこれらの脆弱性を悪用することで、デバイスを乗っ取り、不正コードを実行したり、中間者攻撃を行ったりといったことが可能になる。

そして今年7月、US-CERTが複数のBluetoothファームウェアおよびオペレーティングシステムソフトウェアドライバに脆弱性が存在すると伝えた。

発見されたのはBluetoothのペアリング機能に関する脆弱性で、Bluetoothのコネクションを使ってデバイス間でデータが送られる時、暗号化されていないため安全ではないというものだ。よって、この脆弱性が悪用されると、遠隔から攻撃者によって機密情報を窃取されるおそれがある。

マカフィーの公式ブログによると、このバグを発見した研究者のLior Neumann氏は、「われわれが知る限り、6月に発売された以外のすべてのAndroidデバイス、インテルのワイヤレスチップを搭載しているすべてのデバイス、クアルコムあるいはブロードコムのデバイスが攻撃を受ける可能性がある」と述べているという。

なお、Appleはこの脆弱性への対処を今年5月にリリースしたiOS11.4から導入しているほか、HuaweiとLGもこの問題を解決したことを発表しているという。各ベンダーによるこの脆弱性への対処の状況については、CERTのWebサイトで確認することができる。

  • Vulnerability Note VU#304725 - CERT

マカフィーでは、この脆弱性への対策として、必要でない限りBluetoothをオフにすることを勧めている。

iPhoneなどのiOSデバイスでBluetoothをオフにするには、「設定」で「Bluetooth」を選び、ONからOFFに切り替えるだけでよい。Androidでは「設定」アプリを開くと「ワイヤレスとネットワーク」の項目下に「Bluetooth」の切り替えボタンが表示されるので、有効・無効を選択する。

また、デバイスに関するソフトウェアがリリースされたら、すぐに更新することも重要とアドバイスしている。