【注意】Bluetoothに端末が乗っ取られる危険な脆弱性「BlueBorne」

 
iPhoneなどスマートフォンをはじめ、パソコンやヘッドホン、キーボードなど、多くの身近な機器で使われているBluetoothの、「BlueBorne」と呼ばれる脆弱性を突いて端末を乗っ取られる危険性が指摘されています。

Bluetooth対応の世界53億台が攻撃を受ける可能性

「BlueBorne」は、Bluetooth搭載機器であれば、iOS、Android、Windows、LinuxといったOSに関係なく、さまざまな機器に影響が及び、世界の53億台が危険にさらされています。
 

 
従来のマルウェアの常套手段だったURLのクリックも、ソフトウェアのインストールも、インターネットへの接続、そしてBluetooth機器間のペアリングも不要で、Bluetoothによるデバイス間通信だけで、端末を乗っ取られる可能性があります。
 

 
ある端末が乗っ取られると、その機器を踏み台にして、近くのBluetooth対応機器を攻撃し、マルウェアを拡散させる危険性が指摘されています。
 

ユーザーに気付かれずにスマホを乗っ取られ、写真を撮って盗まれる

「BlueBorne」を発見したセキュリティ企業のArmisが、ユーザーが気づかないうちにAndroidスマートフォンのPixelを乗っ取るデモの動画を公開しています。
 

 
パソコンを操作している被害者が気づかないうちに、Bluetoothを使ってスマートフォンに侵入、スリープを解除、カメラを起動、フロントカメラに切り替えてユーザーの写真を撮るだけでなく、端末に保存された写真を盗み出しています。
 
スマートフォンを乗っ取るデモの動画はこちらです。
 

最新のOSにアップデートを

内閣サイバーセキュリティセンターは対策として、最新のOSにアップデートすることを推奨しています。
 
iPhoneやiPadのユーザーなら、現在最新版のiOS10.3.3にアップデートしましょう。
 
また、Android機器はセキュリティパッチが2017年9月9日以降になるよう更新すること、Windowsは最新の状態に更新し、最新のアップデートが提供されないサポート対象外機器は使わない、あるいはBluetoothをオフにする、などの対応を求めています。
 

【注意喚起 #BlueBorne 1/4】Bluetoothを使ってiOS,Android,Windowsなどの機器を乗っ取れる「BlueBorne」という脆弱性情報が展開されています。当面の推奨できる対応を記します。

① iOS機器はiOS10に更新。

[続く]

— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2017年9月13日

【注意喚起 #BlueBorne 2/4】
②Android機器は、設定→端末情報→「Android セキュリティパッチレベル」が2017年9月9日になるよう更新。必要に応じPlayストアでArmis社が提供する「BlueBorne Scanner」で脆弱性チェック

[続く]

— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2017年9月13日

【注意喚起 #BlueBorne 3/4】
③サポート期限内のWindows機器は最新の状態に更新。

サポート期間終了機器は使用停止。期間内だが上記の対応をとれない機器は、とりあえずBluetoothをOFFにし使用しない。

必要に応じ随時更新します。

[続く]

— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2017年9月13日

iOS11は9月20日公開予定！アップデート前のバックアップも忘れずに

先日のスペシャルイベントで正式版が発表されたiOS11は、日本時間9月20日に公開される予定ですが、公開直後はサーバーが混雑する可能性が高いので、十分時間に余裕を持ってアップデートしましょう。
 
また、iOS11へのアップデートの際には、MacかWindows用の最新版のiTunesを使い、iPhoneのデータをバックアップすることを強くお勧めします。現時点での最新版は、9月13日に公開された、iOS11対応のiTunes 12.7です。
 
以下は、Armisによる解説動画です。音声は英語ですが、BlueBorneの危険性をイラストで分かりやすく紹介しています。
 

 
 
Source:Armis, 日本経済新聞
(hato)