Bluetooth機器のペアリングを簡略化する「Google Fast Pair」は、Androidユーザーにとって欠かせない機能です。しかし、この便利な仕組みを悪用し、第三者がデバイスを乗っ取る新たな脆弱性「WhisperPair」が発見されました。ベルギーのセキュリティ研究チームによって実証されたこの攻撃手法は、物理的な近距離にいるだけで実行可能とされており、プライバシー侵害のリスクが懸念されます。この記事では、この問題がどのようなものか、そして私たちが取るべき対策について分かりやすく解説します。
わずか10秒で完了する攻撃手法とプライバシー侵害のリスク
ベルギーの研究者グループが公表した「WhisperPair」という手口は、Google Fast Pairの仕様を逆手に取った攻撃手法です。
特筆すべきは攻撃に要する時間の短さと、物理的な距離の制約の緩さです。攻撃者は対象となるデバイスから半径14メートル以内にいれば、最短10秒という短時間で攻撃を開始できるとされています。
一度デバイスを乗っ取られてしまうと、深刻なプライバシー被害につながる恐れがあります。具体的には、接続されたイヤホンやヘッドセットのマイクを通じて音声を盗聴されたり、ユーザーの知らないところで位置情報を追跡されたりするリスクが指摘されています。カフェや公共交通機関など、不特定多数の人が集まる場所でBluetooth機器を使用する際、こうした攻撃を受ける可能性はゼロではありません。
手持ちのデバイスが対象か確認しファームウェア更新を待つ
現在使用しているワイヤレスイヤホンやヘッドホンが「WhisperPair」の影響を受けるかどうかは、研究チームが公開している「WhisperPair」のウェブサイト等で確認可能です。
主要なメーカー製デバイスであっても、Fast Pairに対応している以上、リストに含まれている可能性があります。
根本的な解決策は、メーカーから提供されるファームウェアのアップデートを適用することです。すでに一部のメーカーは対策に動いていると考えられますが、すべてのデバイスに修正パッチが提供される保証はありません。特に発売から時間が経過したモデルや、サポート体制が手薄な安価な製品の場合、アップデートが見送られるケースも想定されます。自分の持っている製品の情報を、こまめにチェックすることが大切です。
便利さの裏にあるリスクを知り、自分で身を守る
Google Fast Pairのような機能は、面倒な設定がいらず便利な一方で、今回のような弱点が見つかることもあります。
「WhisperPair」は、犯人が近くにいないとできない攻撃ですが、盗聴や追跡といった実際の被害につながる深刻な問題です。
もしメーカーから修正用のアップデートが出たら、すぐに適用することを強くおすすめします。愛用している製品が弱点の対象になっていて、アップデートも期待できない場合は、セキュリティのために使うのを控えるか、Bluetooth機能をオフにするなどの対策が必要です。便利さとリスクのバランスを考え、自分のプライバシーを守るために最適な選択をしてください。
