Bluetoothの最新仕様にまた欠陥--ユーザーのデータが丸裸に?

Robert Lemos(CNET News.com)2004年04月23日 20時08分
  • このエントリーをはてなブックマークに追加

 カナダ・バンクーバー発--近距離用の無線通信技術として普及しているBluetoothの最新の仕様には、セキュリティに関する深刻な問題が解決されずに残っていると、ある無線技術の研究者が指摘している。

 デジタルセキュリティの専門会社@Stakeの研究員Ollie Whitehouseは米国時間21日、当地で開催されたCanSecWestカンファレンスで、Bluetooth 1.2の仕様には、データを保護するために使用される個人認証番号(PIN)などの認証情報の扱い方に関する、セキュリティ上の欠陥があると述べた。

 Whitehouseは、Bluetoothの仕様を分析するなかで、同仕様には認証情報が盗まれる可能性があることが明らかになったと述べた。特殊な装置を用いて、Bluetooth対応機器の間で最初にやりとりされるデータを取り込むという方法で、認証情報を盗むことができるのだという。そして、いったん認証情報を盗めば、携帯電話の会話を盗聴できるほか、携帯電話とコンピュータの間でデータを同期させる際に個人情報を盗むことができ、さらには対応機器の間で交わされる情報を偽造することもできる。

 「Bluetoothのユーザーで、桁数の少ないPINを使用している人は、機器に保存されているデータを第三者にさらしているも同然だ。さらには、Bluetoothに対応する機器のスイッチを入れたまま、あちこち移動すると、技術に詳しい者に足取りを追跡される可能性もある」(Whitehouse)

 今回明らかになったのは、Bluetoothのセキュリティに関する問題の中で最新のものだ。これまでに明らかになった攻撃方法には、色の名称を含む呼び名がつけられている。たとえば、隠れた場所にあるBluetooth対応機器を特定する「Redfang」、セキュリティ対策が不十分な携帯電話から情報を盗む「Bluestumbling」または「Bluesnarfing」などがある。

 Nokiaは、自社の製造する携帯電話が「Bluestumbling」攻撃に遭う可能性があるとして、この問題を解決するためのアップデートを提供すると22日に発表した。

 Whitehouseは、Bluetoothのセキュリティに関する実績には失望していると述べた。

 さらに同氏は、「Bluetoothの仕様はすでに3回改訂されている」と語り、Bluetooth 1.2やそれ以前のバージョンに対応している機器の台数は推定で約4000万台に上ると指摘し、「この新たな攻撃方法は、今後3年ほど効力を持ち続ける可能性がある」と付け加えた。

 @Stakeは、証券会社のトレーダーに対し、証券取引所の立ち会いの場でBluetooth対応のヘッドセットを使用しないように勧告している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加