logo

シマンテック、Bluetooth対応モバイル機器のセキュリティ強化を呼びかけ

文:Lynn Tan(Special to CNET News.com) 翻訳校正:佐藤卓、小林理子2007年09月25日 20時22分
  • このエントリーをはてなブックマークに追加

 Bluetoothによるワイヤレス機能を持つモバイル機器が急速に普及するなか、ユーザーはこの技術が抱えるセキュリティ上の脆弱性について知る必要があると、Symantecの幹部が警告した。

 調査会社InsightExpressが実施した調査によると、モバイル機器ユーザーの73%が、携帯電話やBluetooth対応ノートPCなどのモバイル機器を危険にさらす可能性があるセキュリティ上の問題について、十分な知識を持っていないことがわかった。こうしたユーザーにとっては、「ブルージャッキング(bluejacking)」や「ブルースナーフィング(bluesnarfing)」、さらには「ブルーバギング(bluebugging)」といった用語など、おそらく聞き慣れないものだろう。

 「ほかにもさまざまなサービス拒否(DoS)攻撃(を仕掛けるため)の方法がたくさんあり、ユーザーの会話を盗み聞きすることさえ可能にするものもある」と、Symantec SingaporeのシニアセキュリティコンサルタントOoi Szu-Khiam氏は、電子メールによる取材に応えて語った。Ooi氏の指摘によれば、ここ1年の間に「モバイル機器にウイルスやワーム、トロイの木馬が感染したという数多くの事例」が報告されているという。

 「PCに感染する一部の強力なマルウェアほどダメージをもたらすものはまだないが、急速な拡大は明らかに懸念すべき問題だ」とOoi氏は述べた。

 ブルージャッキング、別名「ブルースパミング(bluespamming)」は、匿名のテキストメッセージをBluetooth経由でモバイルユーザーに送りつける手法だとOoi氏は説明する。「Bluetooth機能を持つ携帯電話は、少し手を加えれば、Bluetooth経由で送信されるメッセージを受け付けるほかの携帯電話を探し出せるようになる」(Ooi氏)

 「ブルージャッキングは、ハイジャックに由来するその名とは違い、電話を乗っ取ったり情報を盗んだりするわけではない。単にスパムメールのようにメッセージを送信するだけだ。このような迷惑メッセージは受け取っても無視できる。もちろん、読んだり、返信したり、削除したりすることも可能だ」とOoi氏は言う。「ブルージャッキングは、迷惑なメッセージを大量に送りつけて非常に不愉快な思いをさせることはできるが、セキュリティ上のリスクは小さいのが普通だ」とOoi氏。

 しかし、ブルースナーフィングはより高い危険をもたらす手法で、ユーザーに気づかれずに、モバイル機器に保存されている情報にアクセスできるようにする。

 「この手法は一部の古いBluetooth対応機器が(固有に)持つセキュリティ上の脆弱性を利用したもので、ユーザーに気づかれずに端末のデータにアクセスし、データをコピーすることが可能だ」とOoi氏は言う。同氏の指摘によれば、こうした機種では、ユーザーが自分の端末を「ノンディスカバリー」モードに設定していてもアクセスされる可能性があるという。ノンディスカバリーモードというのは本来、誰かが近くにあるBluetooth機器を探そうとしていても、こちらの端末の存在が確認されないようにするものだ。

 「携帯電話に保存されたアドレス帳、カレンダー、メール、テキストメッセージなどは、価値のある情報となりうるため、ブルースナーフィング攻撃による危険にさらされる」とOoi氏は述べた。

 3つの中で最も深刻なリスクをもたらす可能性のある3つ目の脅威が、ブルーバギングだ。この手法を利用すると、携帯電話の持ち主に気づかれることも警戒されることもなく、Bluetooth技術を使って携帯電話のコマンドにアクセスできるとOoi氏は言う。

 「この脆弱性を利用すれば、悪意あるハッカーが、通話の開始やテキストメッセージの送受信、アドレス帳の読み書きといったことをできるようになる。電話の会話を盗み聞きしたり、インターネットに接続したりすることも可能だ。ただし、どの攻撃でもそうだが、ハッカーは(攻撃対象の)携帯電話から10メートル以内の範囲にいなければならない」とOoi氏は説明した。

 Ooi氏によれば、携帯電話の個人情報にアクセスできるだけのブルースナーフィングとは異なり、ブルーバギングは攻撃者が携帯電話を制御できるようになるという。

 モバイル機器を十分かつ確実に保護するためには、モバイル機器用のセキュリティ製品が利用できるとOoi氏は指摘する。こうした製品ではアンチウイルス、ファイアウォール、アンチSMSスパム、データ暗号化などの技術が利用でき、組み込みや管理、メンテナンスも簡単にできるとOoi氏は語った。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

-PR-企画特集