Bluetoothスピーカーを悪用する新エクスプロイト「Pwnd Blaster」が発見される：PCに触れずに攻撃可能

セキュリティ研究者のRasmus Moorats氏が、Creative社のサウンドシステム「Katana V2X」を対象とした新たな脆弱性（ぜいじゃくせい）を発見しました。このエクスプロイトは「Pwnd Blaster」と名付けられ、攻撃者がPCに物理的に触れることなく、Bluetooth経由でスピーカーを介してPCを攻撃できる可能性を示しています。

【発見の経緯と技術的詳細】

Moorats氏は、当初、Linux向けにスピーカーと通信するツールを開発する目的で、Creative独自の通信プロトコル「CTP」を調査しました。通常、CTPはスピーカー設定の変更やファームウェア更新に使用され、USB経由ではチャレンジ/レスポンス認証が必要とされていました。彼はUSB通信を傍受し、キャプチャしたデータからファームウェアイメージを抽出することに成功しました。

ファームウェア分析の結果、保護機構がSHA-256チェックサム（CHK2）に留まっている点に着目し、起動時の文字列を改変したファームウェアを作成。これを適用可能にしました。さらに重要な発見として、内部のCTP処理がUSBだけでなくBluetoothにも橋渡しされていることを突き止めました。これにより、ペアリング不要のGATT通信経由で認証なしにCTPコマンドを送信できることが判明しました。

【攻撃の実行と危険性】

Moorats氏はPythonスクリプトを用いてBluetooth経由で改変ファームウェアの書き込みに成功し、再起動後、スピーカーが「PATCHED」という表示を出すことを実証しました。この挙動から、マイク付きスピーカーが会話監視装置として悪用される危険性が指摘されています。

さらに、USB接続されたPCから見るとスピーカーは信頼性の高い機器であるため、HIDキーボードとして動作させる攻撃も検証しました。彼は、USBデバイス記述子にキーボード要素を追加し、既存のHID送信処理を利用して「echo pwned」という文字列を入力する概念実証（PoC）を成功させました。この攻撃は、スピーカーの起動後約20秒待機してから実行され、通常機能維持を伴うものでした。

【対応状況】

Moorats氏はシンガポールのセキュリティ当局SingCERTを介してCreative社に報告しましたが、Creative社からの回答は「サイバーセキュリティリスクを示すものではない」というものでした。記事作成時点では修正パッチは提供されておらず、Moorats氏自身がBluetooth経由のCTPを遮断する暫定パッチを作成していますが、これにはモバイルアプリの利用不可などの副作用が懸念されています。

---

背景

IoTデバイスの普及に伴い、ファームウェアのセキュリティ管理が大きな課題となっています。特に、BluetoothやUSBといった汎用インターフェースは、物理的なアクセスや近距離の無線通信を通じて不正なコマンドが送られるリスクを抱えています。本件は、このリスクを具体的なスピーカーデバイスで実証したものです。

重要用語解説

• CTP: Creative社独自の通信プロトコル。スピーカーの設定変更やファームウェア更新に使用される内部通信規約であり、本件の攻撃の鍵となる要素です。
• エクスプロイト: 特定のソフトウェアやハードウェアの脆弱性を突いて、本来の機能を超えた動作をさせるためのコードや手法のこと。本件では「Pwnd Blaster」という名称で呼ばれています。
• GATT通信: Bluetooth Low Energy (BLE)におけるサービス発見とデータ読み書きを行うための通信プロトコル。本件では、認証なしにCTPコマンドを送信できる経路として悪用されています。

今後の影響

本件は、BluetoothやUSB接続のあらゆるIoTデバイスに対するセキュリティ意識を再燃させました。メーカー側には、ファームウェア更新時の認証強化や、通信プロトコルの分離（例：BluetoothとUSBの分離）が強く求められます。ユーザー側は、デバイスのファームウェアアップデートを怠らないことが重要となります。