Bluetooth は、機器間での暗号化された通信をするのに、楕円曲線ディフィー・ヘルマン(EDCH, elliptic-curve Diffie-Hellman )鍵共有に基づいたペアリング機構を利用しています。ECDH 鍵のペアは秘密鍵と公開鍵の2つより成り立っており、公開鍵が共有のペアリングの鍵として交換されます。
Bluetooth の仕様では相手から受け取った公開鍵が適切なものであるか検証することが推奨されていますが必須とはされていなかったこともあり、一部の実装において、楕円曲線のパラメータの暗号アルゴリズム実装による検証が全くなされておらず、ワイアレスの圏内にいるリモートの攻撃者が無効な公開鍵をインジェクトすることで高確率でセッションキーを割り出すことが出来る可能性があります。そうした攻撃者は、その後、受動的に暗号化を傍受・解読したり、悪意のあるメッセージをインジェクト・又は作り出すことができることとなります。
[対応]
アップデートをして下さい。
[詳細]
https://jvn.jp/vu/JVNVU92767028/
https://www.kb.cert.org/vuls/id/304725
この記事の執筆・監修者
岡山 大
三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
- 関連トピックス:
- VPN/通信セキュリティ
