攻撃と脅威
ブルージャッキング
別称: Bluetooth スパム
定義
近くの「検出可能」状態の Bluetooth 端末に未承諾のメッセージや連絡先を送り付ける、嫌がらせ寄りの Bluetooth 攻撃。
ブルージャッキングは、古い Bluetooth スタックの OBEX オブジェクトプッシュや連絡先交換機能を悪用します。射程内の攻撃者が、名前フィールドに本文を仕込んだ vCard やメッセージを作成し、検出可能な端末へ送りつけます。結果として表示されるのは多くの場合「不審な通知」だけで、いたずら、広告、嫌がらせ、あるいはソーシャルエンジニアリングの呼び水として使われます。ただし、Bluesnarfing や Bluebugging と異なり、端末の制御権やデータへのアクセスは得られません。対策はシンプルで、ペアリング時以外は Bluetooth を無効化または非検出に設定する、見知らぬ端末からの要求を拒否する、ファームウェアを最新に保つ、Secure Simple Pairing 対応の新しいバージョンを使う、などです。
例
- 電車内や商業施設で、検出可能な端末に挑発的な「名前」の vCard を送り付ける。
- カフェで「当選通知」を装った偽連絡先カードをプッシュし、フィッシングの足がかりにする。
関連用語
ブルースナーフィング
Bluetooth の脆弱性を悪用し、近くの端末から所有者の同意なく連絡先・メッセージ・予定・ファイルなどを読み取ったり複製したりする攻撃。
ブルーバギング
Bluetooth 経由で被害端末をコマンドレベルで隠密に制御する攻撃。データ窃取に留まらず、発信・メッセージ閲覧・音声中継などが可能になる。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
スミッシング
SMS など携帯端末向けメッセージを用いたフィッシング攻撃。悪意あるリンクのクリックや偽番号への発信、情報の入力を促す。
イービルツイン攻撃
正規 SSID を模した不正アクセスポイントを設置し、被害者を接続させて通信や認証情報を盗む Wi-Fi 攻撃。
不正アクセスポイント
ネットワークに無断で接続された Wi-Fi アクセスポイント。攻撃者が仕掛けたり従業員が善意で設置したりして、ネットワークセキュリティを迂回する。