Bleeping Computerは3月8日(米国時間)、「Undocumented "backdoor" found in Bluetooth chip used by a billion devices」において、中国のEspressif Systemsが製造、販売しているESP32チップから文書化されていないバックドアが発見されたと報じた。

これはスペインのセキュリティ企業「Tarlogic Security」に所属するセキュリティ研究者のMiguel Tarascó Acuña氏およびAntonio Vázquez Blanco氏によって発見された。両氏は先日マドリードで開催された「RootedCON」において、その研究結果を発表している(参考:「2025 RootedCon BluetoothTools | DocumentCloud」)。

  • Undocumented "backdoor" found in Bluetooth chip used by a billion devices

    Undocumented "backdoor" found in Bluetooth chip used by a billion devices

バックドアの概要

ESP32はWi-FiおよびBluetooth機能を内蔵した廉価なマイクロコントローラで、無線機能を使用するIoT(Internet of Things)デバイスなどに利用されている。2023年までの合計販売数は10億台以上とされ、日本国内にも広く流通している。

研究者の発表によると、ESP32には文書化されていない29種類のBluetoothのHCI(Host Controller Interface)コマンドが存在するという。その中で研究者が注目したコマンドは次のとおり。

  • 命令コード 0xFC01 - メモリの読み取り
  • 命令コード 0xFC02 - メモリーの書き込み
  • 命令コード 0xFC07 - フラッシュの書き込み
  • 命令コード 0xFC08 - フラッシュの読み取り
  • 命令コード 0xFC0E - LMPパケットの送信
  • 命令コード 0xFC30 - レジスタの読み取り
  • 命令コード 0xFC31 - レジスタの書き込み
  • 命令コード 0xFC32 - MACアドレスの設定
  • 命令コード 0xFC42 - LLCPパススルーの有効化
  • 命令コード 0xFC43 - LLCPパケットの送信

これらコマンドを悪用すると、デバイスのなりすまし、Bluetooth下位層とのトラフィック操作、チップ上で任意のコード実行などが可能とされる。

脆弱性の情報

発見されたバックドアは脆弱性(CVE)として次のとおり追跡されている。

  • CVE-2025-27840 - Espressif ESP32チップに隠し機能の脆弱性。メモリアクセスを可能にするHCIコマンドなどが存在する(CVSSスコア: 6.8)

この脆弱性は悪用に物理的なアクセスを必要とする。そのため深刻度は警告(Warning)との評価にとどまる。しかしながら、研究者は次のように述べ、無視できないリスクがあると訴えた。

ESP32などのIoTデバイスを侵害できる状況では、ESPメモリ内にAPTを隠し、Wi-Fi/Bluetooth経由でデバイスを制御しながら、他のデバイスに対してBluetooth(またはWi-Fi)攻撃を実行できます。われわれが発見したRAMとフラッシュの変更を可能にするコマンドを使用すると、ESP32チップの完全な制御と永続性の獲得が可能になるでしょう。

ESP32はプログラムの書き込みにUSBやUART接続などを使用する。製品に特別な対策を施していない場合、これらポートにアクセスできる攻撃者は、この脆弱性を悪用しなくてもプログラムの書き換えが可能とされる。Bleeping Computerも現実的な悪用ケースとして、OEMメーカーによる悪意のある実装、サプライチェーン攻撃などを挙げている。

そのため、過度に恐れる必要はなく、第3者の物理的なアクセスを防止することで侵害を回避できるとみられている。ESP32デバイスの出荷数は多いが、ユーザーには冷静な対応が望まれている。