Bluetoothの脆弱性「BlueBorne」はIoT機器を狙う!?：IoTセキュリティ

　2017年9月12日（米国時間）、「BlueBorne」と呼ばれるBluetoothの実装における複数の脆弱性情報が公開された。米国のIoT（モノのインターネット）セキュリティ企業であるArmisが発表したもので、Android、Linux、iOS、WindowsなどさまざまなOS上のBluetoothに影響を及ぼす可能性がある。

• Android：セキュリティパッチレベル2017年9月を適用していないAndroid（CVE-2017-0781、CVE-2017-0782、CVE-2017-0783、CVE-2017-0785）
• Windows：2017年9月マイクロソフトセキュリティ更新プログラムを適用していないWindows Vista以降のWindows（CVE-2017-8628）
• Linux：Kernel 3.3-rc1以降のバージョン（CVE-2017-1000251）、BlueZ全てのバージョン（CVE-2017-1000250）
• iOS、tvOS：iOS 9.3.5およびそれ以前、AppleTV tvOS 7.2.2およびそれ以前（CVE-2017-14315）

　BlueBorneの脆弱性を利用されると、攻撃者は遠隔操作で機器を乗っ取ることが可能になる。また、感染機器から別のBluetooth機器へと感染させることもできる。攻撃者 BlueBorneを利用することによって、不正コードの実行、情報収集、「Man-In-The-Middle（MitM、中間者）攻撃」も可能になるという。

　既に、Android、Linux、iOS、Windowsといった主要OSの開発者からBlueBorneの脆弱性に関する情報が以下のように提供されている。これらの情報を基にOSをアップデートする、もしくはBluetooth機能そのものを無効にすることで脆弱性に対処できる。

製造業が「BlueBorne」で対処すべき2つのこと

　BlueBorneはBluetoothが搭載されている全ての機器に影響を与える可能性がある。Armisによれば、現時点で世界に約82億台のBluetooth搭載機器があるという。このうち、Android機器が約20億台、Windows機器が約20億台、iOSなどを搭載するAppleの機器が約10億台としている。残りの約32億台は、Linux搭載機器や、さまざまな組み込みOSを用いるIoT機器と考えられる。

　BlueBorneについて、製造業の技術者が気を付けるべき点は大まかに分けて2つある。1つは、工場などの生産ラインで使用している産業PCなどのコンピュータ機器のOSを最新版にアップデートすることだ。BlueBorneに対処するためのアップデートが用意されていない場合は、Bluetooth機能を無効にすればひとまずの対策になる。

　もう1つは、Bluetoothが広く活用されているであろう出荷済みのIoT機器への対処だ。比較的高機能なIoT機器の場合はWindows EmbeddedやAndroid、組み込みLinuxを使用しているが、低消費電力が求められるIoT機器の場合はリアルタイムOSを使用していることも多い。OSベンダーやディストリビューターに問い合わせてBlueBorneの脆弱性による影響を確認し、OSのアップデートやBluetooth機能の無効化といった対処をユーザーに伝える必要があるだろう。

　また、IoT関連のPoC（概念実証）プロジェクトでは、通信ネットワークにBluetoothを利用していることも多い。プロジェクトで利用しているOSに合わせて、早急な対処が必要だ。