Appleの「探す」ネットワークに重大な脆弱性が発見され、ハッカーがAirTag以外のあらゆるBluetoothデバイスを追跡できる可能性があることが明らかになりました。ジョージ・メイソン大学の研究者によると、この手法を使えば、スマートフォンやラップトップ、ゲーム機などを所有者が気づかないまま遠隔追跡することが可能になります。
研究チームは、AirTagの暗号化機能を回避し、Bluetoothアドレスを解読することで、ターゲットのデバイスを「探す」ネットワーク上で追跡できるシステムを開発しました。その成功率は90%にも及び、専門的な知識がなくても悪用できる危険性が指摘されています。実験では、自転車で移動するユーザーの位置や、飛行ルートまで再現することに成功しました。
Appleの「探す」を悪用した新たな追跡手法とは
Appleの「探す」ネットワークは、AirTagや他のアクセサリーを見つけるために設計されましたが、研究者はこれを悪用し、Bluetoothデバイスを追跡する手法を発見しました。ジョージ・メイソン大学のチームによると、特定のキーを用いることで、スマートフォンやノートパソコンをAirTagのように機能させることが可能になるといいます。
通常、Appleのネットワークは、近くのAppleデバイスがBluetooth経由で送信された信号を受信し、それをサーバーへ匿名で送る仕組みになっています。しかし、研究者たちは、暗号化されているはずのBluetoothアドレスを解読し、対象のデバイスを継続的に追跡できるシステムを構築しました。この技術は「nRootTag」と呼ばれ、ハードウェアの特別な改造を必要とせず、高い成功率を誇ります。
実験では、自転車で移動するユーザーの位置を約3メートルの精度で特定することに成功し、さらにゲーム機を追跡し、その持ち主の移動ルートまで再現できたと報告されています。この脆弱性を悪用すれば、AirTagを使わずに個人の行動を監視することが可能となるため、プライバシーへの影響が懸念されています。
Appleの対応は?修正には数年かかる可能性も
研究者たちは2024年7月にAppleにこの脆弱性を報告し、「探す」ネットワークの認証プロセスを強化するよう提案しました。Appleも報告を受けたことを認めていますが、修正に関する具体的な発表はされていません。研究チームによると、この問題の抜本的な解決には数年かかる可能性があると指摘されています。
この脆弱性が解決に時間を要する理由のひとつは、Appleの「探す」ネットワークが何億台ものデバイスによって成り立っていることです。単純なソフトウェアアップデートだけでは根本的な対策にならない可能性があり、新たなセキュリティプロトコルの設計が必要になると考えられます。
また、仮にAppleが修正パッチを配布したとしても、すべてのユーザーが即座にアップデートを適用するとは限りません。特に古いデバイスではセキュリティ更新が受けられないケースもあり、一部のユーザーにとっては長期間リスクが残ることになります。今後、Appleがどのような対応を取るのか、注目が集まっています。
ユーザーが今すぐできる対策とは
この脆弱性に対し、すぐに実行できる対策として、研究者たちは不要なBluetoothアクセスを制限することを推奨しています。スマートフォンやパソコンの設定で、使用していないアプリに対してBluetoothの許可をオフにすることで、追跡リスクを低減できます。
また、定期的にソフトウェアアップデートを適用することも重要です。Appleはまだ修正を発表していませんが、将来的にアップデートが配信された場合、速やかに適用することでセキュリティリスクを軽減できます。特にiOSやmacOSは、セキュリティアップデートを通じて細かな脆弱性を修正することが多いため、常に最新バージョンにしておくことが推奨されます。
さらに、公共の場ではBluetoothをオフにするのも有効な手段です。特に不特定多数のデバイスが接続される環境では、意図せずに追跡の対象になる可能性があるため、使用しないときはBluetoothを切ることでリスクを減らせます。Appleの正式な対応が待たれる中、ユーザー自身ができる限りの対策を取ることが求められています。
Source:9to5Mac