Bluetooth Low Energyに脆弱性。家や車のスマートキーなどに影響の恐れ

　サイバーセキュリティ企業のNCC Groupは16日(現地時間)、Bluetooth Low Energy(BLE)においてリレー攻撃につながる脆弱性が存在するとして情報を公開した。

　BLEは、自動車やスマートロック、スマートウォッチ、ノートPCなどさまざまな機器が搭載しており、近接認証の仕組みとしても活用している。同社では今回、リンク層でベースバンドからデータを転送することで、暗号化された通信を含む既存の保護を突破できることを発見。リンク層リレー攻撃によって、BLEによる近接認証を行なう既存のアプリケーションへの攻撃に成功したという。

　広く採用されている技術のため攻撃対象は多いとしており、キーレスエントリー搭載の自動車や、Bluetoothでの近接ロック解除ができるノートPC/携帯電話、住宅用のスマートロック、建物の入退館管理システム、資産や患者の追跡システムなどが例として挙げられている。

　同社によれば、本来BLEの近接認証はロック機構といった重要性の高い用途を想定したものではなく、Bluetoothの仕様上の誤りではないとしており、単純なソフトウェアパッチでの修正も難しいという。ユーザー向けには、明示的に認証を求めないロック解除機能を無効にする、不要な場合にBluetooth機能をオフにするといった対処法を紹介している。

　なお、公表に先立ってすでにテストを実施した製品の開発元や、Bluetooth Special Interest Group(Bluetooth SIG)に情報を開示しており、緩和策の協議などを進めているという。