5月28日に配信されたSony WH-1000XM3向けソフトウェアアップデートですが、
メーカー公式情報で伝えられた本体ソフトウェアのセキュリティ強化について、どのような強化がなされたのか詳細が判明しましたので、お知らせいたします。
目次
第三者によりペアリングおよび操作ができてしまう脆弱性
JVN(Japan Vulnerability Notes)で伝えられた情報によると、
WH-1000XM3を含むSony製ワイヤレスヘッドホン・イヤホンにて、第三者が当該製品とペアリングを行うことが可能になる脆弱性が存在したことを国立東京工業高等専門学校が発見、独立行政法人情報処理推進機構に情報提供され、その対応をSonyにて行い、ソフトウェアアップデートがなされた結果となりました。
JVN は、”Japan Vulnerability Notes” の略。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営。
脆弱性の発見者が国立東京工業高等専門学校ということで、学校が発見者の場合もあるんだなぁと思いました。先生、学生どちらが見つけたのでしょうか?それとも共同かもしれませんね?
この脆弱性を悪用されるとどんなことが起きるのか?
Bluetooth通信範囲内にいる第3者によって、本体と第三者側のスマートホン?がペアリングでき、音量の上げ下げ、再生曲の変更、楽曲の再生や停止、などユーザーが意図しない操作ができてしまう可能性がある。
脆弱性を悪用されることを避けるためには?
5/28に配信されているソフトウェアアップデートを適用することで対策ができます。WH-1000XM3の場合、適用後のバージョン情報は、4.5.2となります。
今回のアップデートは全ユーザーに推奨されるものになるといって過言ではないですね。
メーカー公式提供情報の内容について感じたこと
Sonyからは、下記公式ページ上で伝えられているアップデート内容として、
ワイヤレスノイズキャンセリングステレオヘッドセット「WH-1000XM3/WH-1000XM2/WI-1000X」本体ソフトウェアアップデートのお知らせ
アップデート内容
[1] 本体ソフトウェアのセキュリティを強化しました。
[2] その他の機能を改善しました。
今回判明した脆弱性とそれを悪用されるとどんなことが起こりえるのかといった内容が掲載されておらず、1ユーザーとして不親切だなぁと感じていました。Sony側にはこのような重要な情報については、その詳細についても公開してもらえるよう対応をして欲しいところです。