Bluetooth機器を乗っ取る脆弱性「BlueBorne」、スマートスピーカーも対象?

スマートスピーカー(AIスピーカー)のセキュリティに関するニュースをお伝えする。

以前、人間の聞こえない音声でスマートスピーカーを操作するハッキング手法「ドルフィンアタック」を紹介したが、今回はBluetoothを使ったものだ。




Blueborneとは?

「BlueBorne」(ブルーボーン)は、Android、Linux、iOS、Windows等のBluetoothに存在する脆弱性の総称だ。IoTセキュリティ企業Armisが、これらの脆弱性の総称として「BlueBorne」と命名し、2017年9月に発表したものだ。これが何故話題かと言えば、約53億台のBluetooth搭載機器がBlueBorneの影響を受けると推測されるためである。

「BlueBorne」を攻撃者が悪用した場合、遠隔操作でBluetooth搭載機器を乗っ取ることが可能となる。これにより、不正コードの実行、情報収集、中間者攻撃、他機器への拡散等が起こりうるという。


外部リンク
Wikipedia / Blueborne




スマートスピーカーもBlueborneの脆弱性対象?

Photo: armis

IoTセキュリティ企業ArmisはスマートスピーカーのAmazon Echo、Google HomeについてもBlueBorneの脆弱性の対象となるとブログで報告している。

Amazon Echoの場合

1. Linuxカーネルのリモートでコードが実行される脆弱性(CVE-2017-1000251)
2. SDPサーバの情報漏えいの脆弱性(CVE-2017-1000250)

Google Homeの場合

1. AndroidのBluetoothスタックの情報漏えいの脆弱性(CVE-2017-0785)


そもそもスマートスピーカーは他のデバイスと異なりBluetooth通信をオフにすることができず、さらにアンチウイルスソフトを使う方法もないため、ユーザーが対策できないという問題がある。


実際にAmazon Echoを乗っ取る動画も公開されている。




スマートスピーカーユーザーの対策は?

Armisはこの発表を行う前に、AmazonとGoogleの両方に調査結果を通知し、既にAmazon EchoとGoogle Homeとも自動アップデートで対策済みとなっているという。

なので今回のBlueBorneについてはユーザーは作業不要でパッチされた状態となっている。


僕はこう思った:

スマートスピーカーが普及すればするほど、セキュリティ問題は大きな問題になっていきそうです。今後も注目分野としてウオッチしていきます。




関連Facebookコミュニティ
Amazon Echo fan club japan

Google Home fan club japan


ABOUT THE AUTHOR / 

中橋 義博
中橋 義博

1970年生まれ。中央大学法学部法律学科卒。大学時代、月刊ASCII編集部でテクニカルライターとして働く。大学卒業後、国内生命保険会社本社において約6年間、保険支払業務システムの企画を担当。その後、ヤフー株式会社で約3年間、PCの検索サービス、モバイルディレクトリ検索サービスの立ち上げに携わる。同社退社後、オーバーチュア株式会社にてサービス立ち上げ前から1年半、サーチリスティングのエディトリアル、コンテントマッチ業務を担当する。2004年に世界初のモバイルリスティングを開始したサーチテリア株式会社を創業、同社代表取締役社長に就任。2011年にサーチテリア株式会社をGMOアドパートナーズ株式会社へ売却。GMOサーチテリア株式会社代表取締役社長、GMOモバイル株式会社取締役を歴任。2014年ロボットスタート株式会社を設立し、現在同社代表取締役社長。著書にダイヤモンド社「モバイルSEM―ケータイ・ビジネスの最先端マーケティング手法」がある。