先日,携帯電話で利用するBluetooth対応のヘッドセットを購入した。ご存じの方も多いだろうが,利用を開始する前には,ヘッドセットが出している電波を携帯電話で受信して,その機器を登録する「ペアリング」と呼ぶ作業が必要である。
このペアリング作業を自宅で開始すると,携帯電話の画面には2台のBluetooth機器を検出したと表示された。2台の機種名を表示させてみると,1台は買い求めたばかりのヘッドセット。もう1台はS社の携帯電話端末だった。我が家にはS社の携帯電話はない。つまり,近所の住人が利用中の機器を検出したということだ。
最近の携帯電話は,ほとんどがBluetooth機能をサポートしている。当然,ご近所さんがBluetooth対応携帯電話を利用している確率も高くなっているわけで,検出したこと自体には何の不思議もない。マウスくらいしか用途がなかった時代からBluetooth機器を利用していた身としては,「Bluetoothもここまでメジャーになったか」と感慨深かったりもする。
記者が楽観的だった理由の一つに,無線LANで同じような経験をしていたことがある。記者はかれこれ10年近く無線LANを利用しており,近所に設置した無線LANアクセス・ポイントの電波も受信できている。それでも,これといったトラブルは経験していない。無線LANでも大丈夫だったんだから,Bluetoothでも大丈夫だろうという単純な論法ではあるのだが。
攻撃相手の相手の年齢や性別が分かってしまう
そんなある日,外出中にBluetoothヘッドセットがうまく動作しなくなった。とりあえずペアリングを再試行してみるかと,あるビルのロビーにあるベンチに腰掛け,作業を行った。すると,意外にもというべきか,当然のようにというべきか,自分のヘッドセット以外にも携帯電話端末が検出された。
ふと顔を上げると,数メートル離れた席で携帯電話を操作中の人の姿が見えた。きっとこの人の携帯電話を検出したのだろう。相手の姿が見えれば,性別,おおよその年齢,そして身なりや所持品から,その人のプロフィールをある程度まで想定できる。
これは,無線LANではほとんどあり得ないことだ。自宅やモバイル環境などでも他人が設置した無線LANのアクセスポイントの電波をキャッチすることは何度もあった。しかし,そのユーザーの顔を見たことは一度もなかったのだ。
今回は相手の顔がはっきりと見えている。しかも,相手は一声かければ会話が可能な距離にいる。相手の顔が見えないことがネット攻撃の怖さとされているが,顔が見えることにも,また怖さを感じさせる。相手の顔が見えることを悪用した攻撃が可能になる可能性があるからだ。
たとえば,Bluetooth SIGのWebサイトには「Bluejacking」というぜい弱性が紹介されている。このぜい弱性を利用すると匿名で「おふざけのメッセージ」を送りつけられるとのこと。顔が見えない相手におふざけのメッセージを送ったところで,あまり深刻な被害につながるとは思えない。
だが,相手の顔が見えると事情は違ってくる。目の前に機械に弱そうなお年寄りがいたら,その携帯電話に「故障」などと表示されるようなメッセージを送りつけ,困っているところに親切を装って話しかけ,勝手に操作してしまう。相手が女性なら,セクハラ的なメッセージを送りつけ,不快な思いをさせる,などの悪用例が考えられる。
これからBluetoothの携帯電話にどのようなぜい弱性が発見されるかは分からない。Bluetooth SIGのサイトでは,攻撃者は10m以内の距離にいなければならないとして,攻撃を受ける可能性が極めて低いことを示唆している。だが逆に,近くにいるからこその危険性もあることを意識しておく必要がありそうだ。
