ある研究者によると、Bluetoothを搭載した携帯電話から情報を盗むソフトウェアツールがウェブ上で広く出回っており、その利用法に関する知識が広まりつつあるという。
Bluetoothハッキング攻撃が可能なソフトウェアツールがインターネット上に流出しているという研究者の指摘を受けて、英国会議員は携帯電話メーカーに対し、自社端末におけるBluetoothのセキュリティ問題に取り組み、修正するよう命じた。
Bluetoothを搭載した携帯電話をハッキングし、カレンダーなど、その端末のメモリに格納されている全てのコンタクト情報をコピーする方法は「Bluesnarf」と呼ばれる。NokiaとSony Ericssonは、自社端末の中に、この脆弱性がある端末が存在することを認めている。Sony Ericssonは問題を修正する取り組みを開始したが、Nokiaは問題は修理を保証するほど深刻ではないと述べている。
Pentestというセキュリティ企業のコンサルタント、Mark RoweはZDNet UKに対し、どうすれば攻撃が実行できるかを知っている人の数は急速に増えつつあり、このような攻撃を可能にするツールはオンライン上に広く出回っていると語った。「我々のサポートなしに、自分たちだけでやる方法を見出したという何人ものセキュリティ研究者が我が社にコンタクトしてきている」とRowe。「その情報が以前発表された時には特別なツールが必要だと聞いていた。だが実際には、そのツールをある程度調べてみれば、どうやって攻撃できるか誰でも分かる」(Rowe)
Roweは、マスメディアに対して、どのツールが攻撃に利用されたかを公表しないように求めている。それを公表してしまうと、「そのツールをどう使えば攻撃できるのかが簡単にわかってしまう」からというのが理由だ。実際にウェブを検索してみると、そのようなツールを配信しているサイトが数百件はあった。
Roweによると、この問題は、端末内の、オブジェクトを交換するOBEXというプロトコルの実装方法にあるという。OBEXは、携帯端末が情報を交換するために使われる共通の方式。「他の端末に接続する際に、認証プロセスを含まないよう設計したのは、意図的なものだ。そうしておけば、ユーザーが(容易に)電子名刺をやりとりできるからだ」とRoweは語った。だが、このような実装のやり方は、ファイルが許可なく転送できてしまうことにもつながり、各社はその点を見過ごしていたという。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス