ニュース 2019.09.03 Bluetoothに脆弱性が発覚
スマホやパソコンなど多くのデジタル機器に内蔵され、ワイヤレスイヤホンなどを使用する際に用いられる無線通信規格の「Bluetooth(ブルートゥース)」において脆弱性が存在することが明らかになった。
Bluetoothの業界団体で、技術標準の策定や対応製品の認証を行うBluetooth SIGでは、すでに問題となったBluetoothのサービス使用を修正しており、更新された製品情報を発表している。
攻撃者が暗号鍵を最短にすることが可能
今回発見された脆弱性は、デバイス間の接続を行う際に用いる暗号鍵の長さを攻撃者側で短く設定することができるというものだ。
攻撃者によってこの脆弱性が利用されると、鍵の長さを最短となる約1バイト(1オクテット)にされた上で総当たり攻撃を受けることで通信の内容を傍受されてしまう可能性がある。
こういったBluetoothのキーネゴシエーション(Key Negotiation of Bluetooth)の仕組みを悪用する攻撃はその頭文字をとってKNOB Attackと呼ばれている。
利用しているデバイスのアップデートを
今回の脆弱性の対象となるのはiPhone、Mac、Windows 10などでのBluetooth接続で、Androidは対象外となっている。
Appleは7月公開のiOS 12.4やmacOS Mojave 10.14.6などで脆弱性を修正しており、Microsoftも8月の定期アップデートでサポートされるWindowsのバージョンを更新している。
その他の製品については各ベンダーから公開されるアップデート情報を確認するとともに、必要に応じて製品のアップデートを行うことが望ましい。
なお、Bluetoothで接続を行う2台のデバイスのうち、一方で脆弱性が修正されていれば攻撃は成功しないことが発表されている。
【関連リンク】
・Bluetooth BR/EDR での暗号鍵エントロピーのネゴシエーションにおける問題(JPCERT/CC)
https://jvn.jp/vu/JVNVU90240762/
・Key Negotiation of Bluetooth(Bluetooth SIG)
https://www.bluetooth.com/security/statement-key-negotiation-of-bluetooth/
TEXT:セキュリティ通信 編集部
PHOTO:iStock