Bluetooth セキュリティ…「グローバルインテリジェンス」コミュニティや「オフショアサポート」などといった一種の撞着語法のように捉える人もいれば、Bluetooth の欠陥に気づいて原因を把握しようとする人もいるでしょう。いずれにしても、Bluetooth には問題があり、セキュリティ上の脆弱性がアクセスできるデータを探しているハッカーによって悪用されていることは確かです。
モノにとどまらない、すべてのインターネット、Internet of Everything(IoE)の台頭で、Bluetooth 対応デバイスは現在数十億台に達すると見られており、問題は広範に及びます。フィットネスバンドからヘッドセット、キーボード、センサー、そしてその他の接続機器としてストレートヘアアイロンまで出現しました。Bluetooth ストレートヘアアイロンの有用性に関する議論はさておいて、重要なのはそれが簡単にハッキングされてしまうという TechCrunch の報告です。アプリケーションの更新は1年以上前で、このブログを書いている時点では製造会社による修正は加えられていません。こういった装置はもちろん重要な機密データへのアクセスにはつながりませんが、例えば温度設定の上限を書き換えたり持続時間を最高限度に設定することで火災を引き起こすことができます。潜在的なリスク(データ侵害またはその他のリスク)をもたらす製品には、組み込みセキュリティが必要です。
Bluetooth ベースの多様なデバイスが出回っている現在、どのようにすれば最適なセキュリティを確保することができるでしょうか?デバイス製造業者は、Bluetooth プロトコルで利用可能なセキュリティ機能をどうして組み込まないのでしょうか?セキュリティ意識を高めるためにどのような措置を取ればいいですか?
Bluetooth の基本
Bluetooth は本質的に近接した2つの装置を接続する無線プロトコルであり、公式の5.0規格は Bluetooth 4.2の約4倍の最大800フィートの距離まで規定しています。ただし、高周波アンテナを使用するとこの範囲は拡大できます。Bluetooth は、すべてのスマートフォン、タブレット、ラップトップに共通です。新しい規格は常に下位との互換性があります。
データの転送、音声通信、メッセージング、暗号化などの機能があります。Bluetooth Low Energy(BLE)は消費電力を低く抑えられます。PCマザーボードには内蔵されていないことが多いので、PCは通常USBドングルを通して Bluetooth を使用することができます。例としては、キーボード、ヘッドセット、グラフィックタブレットなどがあり、ほとんどが2.4GHzの周波数で動作します。スマートビル、都市、自動車(車のインフォテインメントシステムとして)なども、ある程度 Bluetooth を使います。Bluetooth はあらゆるところに遍在し、回避することはできませんが、デフォルトとしてもっとセキュリティレベルを上げるよう求めていく必要があります。
ハッキングは繰り返されます
著名な有識者の意見を見てみましょう。
まず、私が尊敬するセキュリティ提唱者の一人である Bruce Schneier 氏は、2017年9月(BlueBorne 攻撃が起きた頃)に、次のように指摘しています。「Bluetooth は、Wi-Fi よりも広い攻撃対象領域を提供し、リサーチ・コミュニティからはほとんどまったく手つかずで放置されているといってもよく、はるかに多くの脆弱性を含んでいます。」Schneier 氏はさらに、Bluetooth は「エアギャップ」ネットワークにも脆弱性を取り込んでしまい、産業システム、政府機関、そして重要なインフラストラクチャを危険にさらす可能性があると述べています。的を射た指摘だと思います。BlueBorne では、ユーザーの介入が不要であり、対処すべきペアリングやメッセージアラートがないため、単純にデバイスの既知の脆弱性を悪用できました。
もちろん、Bluetooth デバイスに近づく必要はありますが、ツールを持ったハッカーが十分近くまで行けば、Bluetooth デバイスをハッキングできます。検索エンジンで "Bluetooth hacking tools" を検索すると様々なツールが見つかるはずです。
2019年に、Security Dive は、BTLEjacking(BLE デバイスを混信させて乗っ取る)や Bleedingbit(Bluetooth チップの欠陥を悪用する)など、いくつかの新しい Bluetooth ハッキング技術について報告しました。この記事の中で、Armis のCEO、Yevgeny Dibrov 氏が、Bleedingbit を企業セキュリティへの警鐘だと言及したことが取り上げられています。
自動車産業もまたハッキングを逃れることはできませんでした。CarsBlues ハックが世界中の何百万台もの車に影響を与えました。
Bluetooth 攻撃は3つの基本的なカテゴリに分類されます。
- Bluejacking - 近くの発見可能なデバイスを使用するモバイル用のスパムのようなもの
- Bluesnarfing - デバイスから情報を引き出すソフトウェアを使うもの
- Bluebugging - 発見可能モードにある近くのデバイスの乗っ取り
これらの攻撃は、ユーザーが必ずファームウェアをアップデートし、OSアップデートをインストールし、かつ、使用中でない場合に Bluetooth 設定をオフにすれば防ぐことができます。それが難しいなら、少なくともデバイスの表示設定を[オフ]に設定して、自分のデバイスが他者に見えないようにすることが大切です。
セキュリティ研究者は次々に新しい脆弱性を発見していますが、脆弱性探しに熱心なハッカーなら、そのいくつかはすでに発見し悪用しているかもしれません。ユーザー自身は、これらの攻撃に対してしばしば無力です。最近発見された脆弱性は、Windows 10、iOS、macOS上に存在し、Fitbit や Apple Watch のユーザーにも脆弱性のリスクは及びます。今のところ、これに関連した攻撃は報告されていないようですが。
セキュリティを向上させるためにユーザーができること
多くの場合、デバイスのユーザーは、ペアリングが自動である場合や4桁のPINコードを使う場合など、デバイスのセキュリティレベルを制御できません。ペアリングが完了する前に多段階プロセスを必要とするデバイスもあるかもしれません。セキュリティ、暗号化、その他の設定は通常、関係するデバイスの種類と可能性があるセキュリティリスクに対する認識に基づいて、製造会社が決定し、組み込みます。
キッチン家電を専門とする会社と、無線周辺機器を製作する会社を比較するとしたら、IT関連のセキュリティ問題に関する専門知識があるのはどちらですか?脆弱性が発見されたとき、ユーザーにしっかりアップデートを提供するのはどちらですか?
なんでもかんでもスマート化しようというトレンドがありますが、スマートデバイスを製造する企業に設計レベルでセキュリティを組み込むスマートさが欠けている場合は、問題です。ハードウェアモジュール(Bluetooth チップセット製造元が提供)は完全に設定可能で、ソフトウェアスタックも同様に設定可能です。両方を使ってすべての Bluetooth デバイスを保護することは可能です。それでも、smart locks などのスマートなはずのデバイスは、スマートでない従来のデバイスより安全性が劣っています。受け入れ難い事実です。悪意ある誰でも、およそ200ドルあれば、その地域のスマートロックをハッキングできてしまいます。
ユーザーができることはあるでしょうか?一番簡単なのは、安全でないデバイスを使わないことですが、それは読者が期待する回答ではないでしょう。デバイスを望ましいセキュリティレベルに保つというコンプライアンスを徹底させるのに関与できるのは誰でしょうか?
問題を明確に指摘し、積極的に対処
IT担当者は Microsoft のアップデートには戦々恐々としていますが、6月のアップデートはセキュリティ強化を促す絶好の例です。要件を満たさない Bluetooth デバイスを、意図的に Windows 10 で動作しないようにします。個人的には、ブラックリストに載っているバージョンと比較するなどして、OSにデバイスのセキュリティ脆弱性を検証させることはいいアイデアだと思います。不適切であれば、機能しない。この方針にまったく異論はありません。他のプラットフォームも同じアプローチを取るでしょう。確かに、ハードウェアのアップグレードが必要になったり、パッチを当てる必要が出てきたりするでしょうが、セキュリティのためには担うべき当然の負担だと思います。
ただ、自分たちの専門領域で使うデバイスに Bluetooth を追加してみようと試しているだけのスタートアップ会社もあるかもしれず、セキュリティ上の欠陥をすべて製造業者の責任だと押し付けてしまっていいものでしょうか?コンプライアンスを徹底させるために、Bluetooth のライセンスと商標使用を監視する組織ができることはないでしょうか?その組織とは、2014年2月にライセンスモデルを変更した、非営利団体である Bluetooth Special Interest Group(SIG)です。それ以前は、SIG によって承認された Bluetooth モジュールの OEM ユーザーは、モジュールを使用して製品をライセンスするコストを一切負担していませんでした。そのため、モジュールの製造会社はプロセス全体を円滑に進めることができていました(製造会社はこの変更に賛同していません)。新しい規約の下では、製品を Bluetooth対応として宣伝しようとしている企業は、すべて SIG に参加する必要があります。参加は無料ですが、製品は認定される必要があり、認定料は8,000ドルです。新製品、変更された製品、中古製品、Bluetooth ブランドの製品かどうかにかかわらず、各製品ラインごとの価格です。最低7,500ドルの年会費を支払って Associate 会員になると、この8,000ドルの手数料は4,000ドルに下がります。年間収益が1億ドル以上の企業の年会費は3万5,000ドルですが、費用はリーズナブルでしょう。
このブログ執筆の時点で会員数は35,000以上です。それらの企業が開発プロセス全体を通して様々な料金を支払っているわけですから、SIG 組織またはそのテストセンターが、デバイスの目的と可能性があるリスクに応じて必要なセキュリティを検証し、サポートし、必要なセキュリティ強化を指導することを期待されるのは当然でしょう。とりあえず、製品が承認されていない場合は、使用するべきではありません。製品の製造業者に、規格を満たす別製品(考案中かどうかも含め)がないか、問い合わせてみてもいいでしょう。
まとめ
Bluetooth には問題がありますが、ユーザーがリスクを認識して使うデバイスを厳選し、使い方に気を付けることで、多くの攻撃ベクトルを防ぐことができます。デバイスの製造業者は、本当にセキュリティ欠陥の責任がありますが、特にワイヤレス通信に関する経験が不足している場合は、積極的にサポートを受けるようにするべきです。すべてのライセンス関連企業が支払う費用を考えると、SIG はすべての Bluetooth 製品のセキュリティを最大限にするためにもっと積極的に関与していく必要があります。あまりに普遍的になり過ぎているために現状で満足してしまっているようなところもあるかもしれません。
スマートデバイスや Bluetooth 製品を選択する際には、本当に必要かどうかをもう一度検討した上で、製造会社の経験と信頼性をよく考慮することが大切です。潜在的なセキュリティ問題を念頭において、信頼性の確立された会社の製品を選択し、安価な代替手段を避けるべきでしょう。スマート計量ボウルのメーカーが、Bluetooth セキュリティ設定の微調整に精通しているとは考えにくいです。