Bluetoothの新しい脆弱性 その仕組みと対策方法とは暗号鍵を不正に取得される可能性

新しいBluetoothの脆弱性が2018年7月に発見された。この脆弱性には、中間者攻撃によるデータ改ざんやデータ漏えいの危険がある。脆弱性の内容と、暗号鍵の復元や攻撃の仕組み、対策について解説する。

2018年12月06日 05時00分 公開
[Judith MyersonTechTarget]

関連キーワード

Bluetooth | 情報漏えい対策 | 公開鍵 | 脆弱性


photo

 Bluetoothを実装するとき、特定の条件下でOSのソフトウェアドライバとファームウェアに影響を及ぼす脆弱(ぜいじゃく)性が見つかった。

 この脆弱性は、使用する楕円曲線パラメーターを十分に検証せずに、楕円曲線ディフィー・ヘルマン(ECDH)鍵交換で公開鍵を生成した場合に発生する。公開鍵は2台のBluetoothデバイス間で交換され、共有ペアリング鍵が生成される。パラメーターの検証が不十分な場合、デバイスの暗号鍵の取得が目的の攻撃を受ける危険がある。

 攻撃者は無線通信の範囲内で中間者攻撃を仕掛け、2台のBluetoothデバイス間の通信を傍受することが可能だ。ペアリングの際に不正な公開鍵を注入すれば、攻撃者はセッション鍵を盗み取ることができる。

 攻撃者は、送信者(被害者)と受信者(攻撃者)間で通信されるあらゆるメッセージをこのセッション鍵で暗号化することができる。被害者は、知らないうちに攻撃者の公開鍵を使ってメッセージを暗号化し、それを攻撃者に送信することになる。攻撃者は受信したメッセージを秘密鍵で復号できる。攻撃者は不正にメッセージを改ざんすることもでき、被害者がそれに気付かない限り、攻撃を受けていることは分からない。

エンドユーザーがとれる対策とは

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news114.jpg

XがAIチャットbot「Grok」に新機能を追加 OpenAIやGoogle、Metaとの競争の行方は?
Xが、AIチャットbot「Grok」に自分のプロフィール情報を伝えられる新たな機能追加を実施...

news092.png

AIがキーワードを提案 「Yahoo!広告 検索広告」に追加された新機能のメリットは?
LINEヤフーは「Yahoo!広告 検索広告」に、AIがリンク先URLからキーワードを提案する新機...

news019.jpg

アパレル大手TSIのマーケターが語る「ユーザーコミュニティー」でなければ学べなかったこと
トレジャーデータのユーザーコミュニティーである「Champ」のリーダーに、コミュニティー...