Bluetoothのペアリング設定が不要で近隣端末を乗っ取れる「BlueBorne」という攻撃手法が2017年9月に Armis から公表されました。
Bluetooth 機能を搭載した端末は53億台にも及ぶといわれ、その影響力の大きさが伺えます。
Armisによると、WindowsやAndroid、Linux、iOSをはじめ主要なOS等でBluetoothの実装に脆弱性が存在し、端末でBluetooth機能を有効にしている場合にBluetooth電波が届く範囲から攻撃が可能であることが判明しています。
2.4GHzワイヤレス接続のキーボードやマウスに脆弱性があるとして、IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は2016年2月25日、脆弱性対策情報ポータルサイト「JVN」において注意を呼びかけています。
この脆弱性は、通称「MouseJack」と呼ばれるもので、Bastille社により発見されました。
Bastille社によると、2.4GHzワイヤレス接続のキーボードやマウスは、独自の無線通信プロトコルを実装していますが、このプロトコルの暗号化に不備があるとのこと。
そのため、攻撃者が、100mの距離からユーザーの端末にキー入力を送りつけたり、キーボードに打ち込まれた内容を傍受したりすることが可能となります。
実際にこの脆弱性が悪用されると、ネットショッピングやネットバンキングなどを利用する場合に、2.4GHzワイヤレス接続キーボードから入力された個人情報や金融関連の情報が漏れてしまうということになります。
MouseJack攻撃と同じく対策の基本はファームウェアを最新版にアップデートすることですが、アップデート出来ない製品は使わないことを推奨します。
無線接続にはご注意を
(50)
