ワイヤレスマウスやキーボードが乗っ取られ、遠隔から操作される――。こんな脆弱性が、マイクロソフトやロジテックなど大手7社が販売するワイヤレス製品で見つかった、と米セキュリティー企業が警告している。
この脆弱性を利用した攻撃を受けると、悪意のあるプログラムが無断でダウンロードされ、最悪の場合PC本体が乗っ取られてしまう。また、キーボードの入力内容が傍受され、パスワードなどの個人情報が抜き取られるケースも想定できるという。
100メートル離れた場所から「攻撃」可能
米ITセキュリティー企業のBastille Networksは2016年2月23日、複数メーカーのワイヤレスマウス・キーボードで、深刻な脆弱性が見つかったと発表した。第三者がマウスなどの入力操作を乗っ取る「マウスジャック」という攻撃を受ける可能性があるというのだ。
同社によると、攻撃は100メートルほど離れた場所から可能で、最悪の場合PC本体が乗っ取られる被害が想定される。専門的な知識を持つ人であれば、1600円程度で市販されている機器を使用するだけでサイバー攻撃が可能だという。
マウスジャックは、パソコン側のUSBに差し込む受信機に不正な情報を送りつけることで、第三者が無断でマウスやキーボードを操作する攻撃手段だ。今回、脆弱性の見つかった製品は、マウスと受信機の通信が全く暗号化されていない。そのため、マウスなどの入力情報になりすました通信を送りつけ、利用者の意図しない形で操作を行うことが可能になる。
同社の研究チームが行った検証によると、
「マイクロソフト」「Logitech(ロジテック)」「Dell(デル)」「HP」「Amazonベーシック」「Lenovo(レノボ)」「Gigabyte(ギガバイト)」
の7社23製品で脆弱性を確認したという。高価格モデルに多い「2.4GHz無線」を利用するマウスとキーボードが中心で、国内で販売されている製品も多い。一方、「Bluetooth」を利用して通信する製品は外付けの受信機を使用しないため、マウスジャックの攻撃対象にはならないという。
日本MS「脆弱性が大きければ、速やかにアップデートを配布」
こうした脆弱性への対策について、日本マイクロソフトは26日のJ-CASTニュースの取材に、
「お客様からご報告を頂いた場合、すぐに調査いたします。また、脆弱性の影響が大きいようであれば、速やかにファームウェアアップデートを配布するようにいたします」
と答えた。
マウスジャックの発見を受けて、マイクロソフト以外のメーカーも対応に追われている。米セキュリティー情報専門サイト「SecurityWeek」によると、レノボは該当する製品の無償交換を受け付ける。また、ロジテックはすでに脆弱性を修正する更新プログラムを配布済みで、デルの一部製品でも同じプログラムが適用可能だという。
ただ、16年2月23日公開の米経済誌「Forbes(フォーブス)」電子版によると、ロジテックは「今回脆弱性が発見された製品は2007年に発売したもので、何百万人もの消費者が利用しているはずだが、これまで被害を受けたという報告は聞いていない」として、攻撃を受ける可能性は低いと見ている。
情報セキュリティー対策を推進する独立行政法人の情報処理推進機構(IPA)も、J-CASTニュースの取材に、
「前提として、脆弱性のある無線機器を使用しているPCにかなり接近しなければ攻撃できないため、リスクはそこまで高いとはいえません」
と答えた。だが、仮にサイバー攻撃を受けた場合、利用者が意図しない形でマウスが操作されたり、キーボードに打ち込まれた内容を傍受される可能性があるという。
IPAは該当する製品の利用者に対して、各メーカーが修正プログラムを配布している場合はすみやかに導入してほしいと注意を呼びかけた。メーカーの対応が遅れている製品については、「利用をひかえるのが最善です」としている。