Bluetooth通信は、ペアリング機能の活用などにより省電力や省コストが可能で、メリットが大きい機能です。しかし、便利な機能である反面、正しいセキュリティ対策が求められる機能でもあります。では、Bluetoothの利用時には具体的にどのようなセキュリティ対策を講じればよいのでしょうか。
この記事では、Bluetoothの利用時に必要なセキュリティ対策について主に解説します。Bluetoothをすでに利用している、または今後の利用を検討している方は、ぜひ参考にしてください。
目次
[ 開く ]
[ 閉じる ]
Bluetoothとは
Bluetoothとは、簡単に説明すると無線通信技術の一つであり、スマートフォンと周辺機器を無線で繋ぐ技術のことを意味します。BluetoothはIEEEが定める国際標準規格です。
スマートフォンには、同じくWi-Fiと呼ばれる無線通信技術が使用されています。BluetoothとWi-Fiの違いは、対応できる距離と通信する速度といえるでしょう。Bluetoothの通信は短い距離で使用する無線通信規格が近いですが、一見似ているWi-fiは複数の機器と高速通信することを得意としているイメージだと言えます。
このBluetoothには、脆弱性(利用しているハードウェアに対して安全性を脅かす可能性のある情報セキュリティに関わる欠陥)があるため、利用の際には正しいセキュリティ対策が必須になります。
Bluetoothのセキュリティリスク・脆弱性
ここでは、Bluetoothを利用する際に想定されるセキュリティに対するリスクや、気を付ける必要がある脆弱性について説明します。
- 脆弱性1:BlueBorneが原因のデバイス乗っ取り・盗聴
- 脆弱性2:CVE-2019-9506によるKNOB攻撃
- 脆弱性3:BlueFragによる不正コードの実行
- 脆弱性4:Apple bleeeによる電話番号の搾取
それぞれの脆弱性に対して有効なセキュリティ対策についてもあわせて解説します。いずれも個人で対策できる内容ばかりなので、参考にしてみてください。
BlueBorneによるデバイスの乗っ取り・盗聴
Bluetoothの利用に伴う脆弱性の一種として、BlueBorneが挙げられます。BlueBorneとは「セキュリティの壁に穴が開いている状態」を意味しており、セキュリティの穴からハッカーが侵入してくる危険性があるといわれています。
具体的に考えられるのは、Blue Borneを狙ってデバイスの乗っ取りや盗聴をされる可能性です。
個人で行える対策としては、新しい修復プログラムが開発されるとアップデートされるため、デバイスを常に最新の状態にするようにしましょう。また、Bluetoothの通信距離は約10メートル程度のため、特に周囲に人がいる際にはこまめにBluetoothをオフにすることも対策の一つとなります。
CVE-2019-9506によるKNOB攻撃
Bluetoothに見つかっている脆弱性の一種として、CVE-2019-9506が挙げられます。CVE-2019-9506とは、攻撃する側がBluetooth操作に必要となる暗号鍵の長さを不正に最短の長さへ書き換え、暗号鍵突破を容易にする脆弱性のことです。
CVE-2019-9506を狙ったKNOB攻撃では、暗号鍵の長さを操作して送信している側と受信している側の間に入り込み、通信し内容を傍受することや、デバイス内の個人情報の抜き取りなどの被害が考えられます。ステルス性が高く、被害にあったこと自体に気づけないことが特徴です。
具体的な対策としては、Bluetooth機能を利用して個人情報を共有しないことや、脆弱性が対策されているデバイスを使用するように心掛けましょう。
BlueFragによる不正コードの実行
Bluetooth利用時の脆弱性として、BlueFragも挙げられます。BlueFragは、Android OSの脆弱性の一つです。主にAndroid 8.0 、9.0などに見られる脆弱性であり、Androidを製作した際、一定のバージョンのみに発生した設計ミスが原因で不具合が発生しているものとされています。BlueFragを狙うと、不正コードを実行して端末内の情報を抜き取ることが可能です。
具体的なセキュリティ対策として、直接効果があるものは報告されていません。とはいえ、現段階で個人ができる対策としては、特にセキュリティのリスクが高いとされる公共Wi-Fiの利用を避けることが最も効果的と考えられます。
Apple bleeeによる電話番号の搾取
Bluetoothに発見されている脆弱性の一種として、Apple bleeeも挙げられます。Apple bleeeとは、2019年7月に発覚し、報告が行われたApple製品独自のBluetoothを利用する際に発生する脆弱性のことです。
iPhoneなどに実装されるBLE(Bluetooth Low Energy の略でBluetooth規格の一部)が持つ、常時データ送受信ができる仕様を悪用したものになります。Apple bleeeを狙うことで、攻撃する側は電話番号やiOSの状況に関する情報を搾取可能です。
Apple bleeeは、最新バージョンのiPhoneにも検出される標準的な特徴とされています。そのため、具体的な対策方法としては、Bluetooth機能を極力使用しないようにするのみというのが現状です。
Bluetoothのセキュリティ強化のための対策
Bluetoothを利用する際のセキュリティ対策について説明します。
セキュリティ強化のための主な対策は、以下の4つです。
- Bluetoothの機能をオンのままにしない
- ペアリングなどの標準機能も過度に使用しない
- Bluetoothのデバイス設定時に個人情報を入れない
- デバイスをアップデートして最新の状態に保つ
上記、いずれも日頃から意識することで行える方法ばかりです。すぐに実行できるものについては、ぜひ今から始めてみてください。
Bluetoothの機能をオンのままにしない
Bluetoothの機能をオフにすることで、脆弱性リスクが増大する可能性を防ぐことができます。
特に脆弱性が増加しやすいのが「Bluetooth機能ON時」であるため、意識的に機能をオフにすることだけでも有効なセキュリティ対策の一つになるでしょう。余計な費用や手間をかけることなく、手軽に対策可能です。
ただし、Bluetooth機能をオフにする場合、「オフにするタイミング」に気を付けなければ不便さを感じる可能性があります。普段からオンにしたままの状態で放置しないことを念頭に入れ、適切なタイミングでオン・オフを切り替えるようにしましょう。
ペアリングなどの標準機能も過度に使用しない
Bluetoothの脆弱性は、電波のある場所で増長する傾向です。周囲に人がいる状況ではセキュリティリスクはさらに高まります。
ペアリング機能は、一度実行することで自動設定される便利なものですが、公共の場にいる時にも自動でオンになってしまう可能性があるのが特徴です。そのため、ペアリングをはじめとして、Bluetoothを使用する標準的な機能も過度に使用しないように日頃から意識しておきましょう。
特に公共のフリー回線を安易に利用してしまうとセキュリティ攻撃者にとってはこれほど狙いやすいターゲットはありません。使用回数を少なくすることで、脆弱性に対するリスクを最小限に抑えられます。ペアリング機能に頼らず、有線での接続ができないかなども視野に入れ、どのようにすれば標準機能を使用せずに利用できるかも検討しておきましょう。
Bluetoothのデバイス名に個人情報を入れない
Bluetoothを設定する際、デバイス名に個人情報を入力してしまうと乗っ取りされた際に内部環境を推測されやすくなる傾向があります。そのため、Bluetoothを利用する際のセキュリティ強化のためにも個人情報をデバイスに入れないように意識しましょう。
Bluetoothのデバイス名は設定後も変更可能です。現在設定していると思い当たる場合には、即変更をすることでセキュリティ強化ができます。また、機種や個人名を特定されないためにも、第三者には分からない独自のルールをもとに設定することをおすすめします。
デバイスをアップデートして最新の状態に保つ
Bluetoothをオンにする際、使用しているデバイスを守るためにはデバイスをアップデートして常に最新の状態に保つことも重要です。お使いのデバイスのアップデートを定期的に行うことで、最新のセキュリティ対策が可能になります。
ここ数年間の中でも、多くのバッジプログラムによるセキュリティ強化が施されています。とはいえ、サポート期間が終了している場合にはアップデートした場合にも最新の問題に対応していない可能性があります。新規購入する際には、サポート期間なども視野に入れて購入することが大切です。
まとめ
今回は、Bluetoothに必要なセキュリティ対策について主に解説してきました。セキュリティ対策は、個人情報を守るうえでとても重要です。また、もし会社用のスマートフォンをBluetoothに繋いで作業している場合、企業情報の漏洩などに繋がるリスクも考えられます。
有効な対策として、デバイスのアップデートや、Bluetooth機能をオフにすることなどが挙げられます。この記事で紹介した内容を参考にして、Bluetooth活用時のセキュリティ強化に取り組んでみましょう。
文責:GMOインターネットグループ株式会社