Bluetooth Low Energyでウェアラブルデバイスから情報がダダ漏れの恐れ:認証の暗号化もしていない
現在、多くのウェアラブルデバイスに採用されているBluetooth Low Energyには、プライバシー保護の面で問題があるという。多くの製品は認証も暗号化も行っておらず、通信内容を簡単に取得できてしまう。
英Context Information Security(以下Context)の研究者は、Bluetooth Low Energy(BLE)を使用するデバイスの増加について、プライバシーの面で懸念を示している。
Computer Weekly日本語版 7月1日号無料ダウンロード
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 7月1日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
BLEは、Bluetooth Special Interest Group(SIG)が策定した低消費電力版Bluetoothで、非常に少ない消費電力で信号を絶えず送信することを目的としている。従来のBluetoothとの互換性はなく、デバイスを素早く検出するパーソナルワイヤレステクノロジーとして開発された。
BLEが組み込まれた代表的なパーソナルデバイスには携帯電話、米Appleの「iBeacon」、ウェアラブルデバイスなどがある。ウェアラブルデバイスは日増しにその数を増やし、主にBLEを使用してモバイルアプリと通信し、人々の行動や運動、心拍数を監視している。
Contextの研究者は独自のアプリを開発して、BLE信号を捕捉、監視、記録することがいかに簡単かを示してみせた。
同社が調査報告書を公開する1週間前、中国は人民解放軍に対してインターネットに接続されるウェアラブルテクノロジーの着用を禁止した。英BBCの報道によると、中国軍の機関紙は、データの処理および転送が可能な全てのウェアラブルテクノロジーによって、兵士個人が追跡され、軍事機密が漏えいする可能性を指摘しているという。
Contextの上級研究員スコット・レスター氏は、ロンドンで開催された米セキュリティ企業Oasisのシンポジウムで次のように話した。「フィットネスデバイスは絶えず情報を発信しており、この情報発信こそがそのデバイスの個性を特徴付けているのに、フィットネスデバイスを身に着けている多くの人々はそのことを意識していない」
「安価なハードウェアやスマートフォンでも、屋外の100メートル以内にいる著名人、政治家、企業経営幹部が持つ固有のデバイスを特定し、その位置を把握できる可能性がある」
「こうした情報が計画的なサイバー攻撃の一環としてソーシャルエンジニアリングに利用されたり、人々の行動を把握することで現実の犯罪が行われるかもしれない」
レスター氏によれば、BLEは他のネットワークプロトコルと同様、MACアドレスを利用する。ほぼ全てのBLEデバイスはランダムMACアドレスが割り当てられるというが、Contextの調査ではほとんどの場合、そのMACアドレスは変わらないことが分かったという。
続きはComputer Weekly日本語版 7月1日号にて
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 6月17日号:もうRAIDでは守れない
Computer Weekly日本語版 6月3日号:Windows XPサポート終了後のPCに市場
Computer Weekly日本語版 5月20日号:Windowsから脱却するときが来た?
Copyright © ITmedia, Inc. All Rights Reserved.