Bluetooth Smart は、低消費電力デバイス向けの新しい短距離無線技術です。Bluetooth 4.2 のコア仕様は、デバイス間の通信を保護し、信頼できる接続を確立するためのさまざまな方法を提供します。この論文では、Bluetooth Smart デバイスを保護するための設計上の考慮事項について説明します。

1. はじめに

Bluetooth Smart(Bluetooth Low Energy または BLE とも呼ばれる)は、Bluetooth Special Interest Group によって Bluetooth 4.0 仕様で導入されました。Bluetooth Smart は、主に計算能力が限られた低消費電力の組込みデバイス向けに設計されています。IoT 技術の急速な成長に伴い、Bluetooth Low Energy モジュールはスマートデバイスの標準となっています。

Bluetooth 仕様は、LE デバイスの非対称アーキテクチャをサポートしています。周辺デバイスのメモリと処理能力の要件は、中央デバイスよりもはるかに低くなります。これにより、単一モードの周辺デバイスが大きなメリットを得られます。常に周辺として機能するデバイスは、少ないメモリで長いバッテリー寿命と低消費電力を持つように設計できます。市場に出回っている低消費電力のスマートウェアラブルデバイス(Bluetooth 心拍計、血圧計、フィットネスキット、スマートウォッチなど)は、小さなコイン型電池で数年使用できます。

2. 低エネルギー、低セキュリティ

他の無線技術と同様に、BLE もセキュリティの脅威からは免れません。Bluetooth LE ビーコンは IoT デザインに大きな可能性をもたらしますが、デバイストラッキング、盗聴、中間者攻撃などのセキュリティ脅威が増加しています。BLE デバイスは、定期的に MAC アドレス、UUID、サービス情報を放送するように設計されています。継続的な広告により、ハッカーは簡単にデバイスを追跡し、スニファーやスマートフォンを使用して放送情報を解読できます。下の図 1 は、LE デバイスがどのようにハッカーによって追跡され、時間と地理的位置を超えて機密データが盗まれるかを示しています。

https://www.design-reuse.com/news_img16/20160509c_1.gif

図 1 – プライバシーがない LE デバイス

サイバー犯罪が世界中で報告されており、人々はプライバシーに対して非常に懸念しています。ユーザーの同意なしに機密データが誤って手に渡ると、大きな損害を引き起こす可能性があります。例えば、軍事用途に深刻なセキュリティ欠陥のあるデバイスが展開されると、ライバルに機密情報が漏れる可能性があります。

3. Bluetooth Smart に対する脅威

パッシブ盗聴:

パッシブ盗聴は、認証されていない第三者デバイス(盗聴装置)によって、2 つのデバイス間のプライベート通信をリアルタイムで密かに聞き取ることです。2.4GHz チャンネルスニファーを使用すると、通信デバイス間のすべての通信を、通信デバイスの同意なしに聞き取ることができます。通信に暗号化されていないメッセージや署名されていないメッセージが使用されている場合、ハッカーは機密データに直接アクセスできます。ペアリング手順は、盗聴問題を回避し、メッセージを交換する前に暗号化するための一般的な方法です。しかし、攻撃者がペアリングプロセス中にデバイスを傍受している場合、ペアリング方法では攻撃に対して安全を保証できません。

中間者攻撃 (MITM):

MITM では、攻撃者が送信者からメッセージを密かに読み取り、それを解釈して読者に届けることができます。攻撃者が通信に積極的に関与しているため、この攻撃はアクティブな盗聴とも呼ばれます。攻撃の過程で、攻撃者は自分自身のメッセージを挿入したり、データを破損させたりしてから、読者に届けることができます。通信に参加しているデバイスは、互いに直接通信していると仮定しますが、中間者の攻撃者はこれらのデバイスの通信を完全に制御できます。公開鍵暗号は MITM からの保護に必要ですが、この方法は、アクティブな MITM 攻撃者が初期のペアリングプロセス中に共有された公開鍵を傍受し、実際の公開鍵の代わりに自分の公開鍵を共有する場合に失敗します。攻撃者から公開鍵を受け取ったデバイスは、鍵のソースについての知識がないため、その公開鍵を使用して次のメッセージを暗号化して送信します。攻撃者はメッセージを解読し、元の公開鍵を使用してメッセージを暗号化して送信者に届けることができます。下の図 2 は、MITM によるデバイス間の通信攻撃の例を示しています。

https://www.design-reuse.com/news_img16/20160509c_2.gif

図 2 – MITM

アイデンティティトラッキング:

Bluetooth Low Energy 4.0 デバイスは、定期的にステータスや存在情報を広告するように設計されています。広告パケットには、ブロードキャスターの MAC アドレスとユニークなサービス形成が含まれています。また、デバイスの近接情報として信号強度も含まれています。公開されている広告データと特徴を使用して、攻撃者はこれらのユニークな情報に基づいてデバイスを追跡するのに役立つ大量の情報を抽出できます。

複製デバイス:

攻撃者が MAC アドレスの知識を持っていると、同じ MAC アドレスを持つダミーデバイスを作成し、ダミーサービスを実行することができます。この種の攻撃はビジネスで特に危険で、顧客が意図したサービスを受けられなくなる可能性があるため、大きな損失を招く可能性があります。

4. セキュリティアーキテクチャ

ホストでのセキュリティ:

クラシック Bluetooth とは異なり、Bluetooth Low Energy センサーとデバイスは、コントローラの代わりにホストでキー管理とセキュリティマネージャを実装しています。すべてのキー生成とキー配布は、ホスト上で動作する SMP によって処理されます。このアプローチは、Bluetooth 仕様によって導入され、ホストの柔軟性を高め、LE 専用コントローラのコストと複雑さを軽減します。セキュリティマネージャ:

https://www.design-reuse.com/news_img16/20160509c_3.gif

図 3 – セキュリティマネージャ

Bluetooth 仕様は、プロトコルスタック実装にセキュリティマネージャを義務付けています。セキュリティマネージャは、Bluetooth 仕様で定義されたすべてのセキュリティ機能を実装し、これらのセキュリティ機能の状態を管理します。セキュリティマネージャは、Bluetooth スタックとアプリケーション層間のセキュリティレベルの設定と維持を監視します。セキュリティマネージャの設計上の考慮事項には、次のものが含まれます。

  • セキュリティプロファイル: セキュリティマネージャの最初の機能は、通信に使用されるセキュリティプロファイルを決定することです。セキュリティプロファイルには、認証、暗号化、キーマネージャの機能が含まれます。

  • 認証: セキュリティプロファイルで定義された認証メカニズムに基づいて、ペアリング中にデバイスを認証します。

  • 暗号化: 暗号化メカニズムは、セキュリティプロファイルで定義されるセキュリティレベルに従ってデータを保護します。

  • 鍵管理: 鍵管理の機能には、鍵の生成、配布、保存、廃棄が含まれます。セキュリティマネージャは、Bluetooth スタックとアプリケーション間で適切な鍵を提供します。

5. 結論

Bluetooth Smart は、低消費電力で高効率の通信を提供しますが、セキュリティ上の脅威も伴います。BLE デバイスを設計する際には、これらの脅威に対処するための十分なセキュリティ対策を講じることが重要です。適切なセキュリティアーキテクチャとプロトコルを実装することで、デバイスの安全性とユーザーのプライバシーを確保できます。