Bluetoothのセキュリティ脆弱性に関する公式声明
Bluetoothのセキュリティリスクに関する重要な情報
COROSデバイスとCOROSアプリ間でのBluetooth接続(特にペアリング完了前)において、潜在的なリスクが確認されました。
問題の詳細について
デバイスとCOROSアプリのペアリング完了前の段階で、攻撃者がBluetooth通信範囲内(9m以内)にいる場合、偽装デバイスがスマートフォンとCOROSデバイス間の接続を受ける可能性があります。理論上、この「中間デバイス」はBluetooth通信の一部にアクセスまたは中継する恐れがあります。
ペアリング完了後の状況:
● iOSユーザーは完全保護:iOSはデフォルトで接続を暗号化。
● Androidユーザーのリスクは極めて低い:影響が発生するには以下が同時に成立する必要があります。
a.ウォッチとスマートフォンの接続が切断されている状態
b.付近の攻撃者が特殊ツールで以下のいずれかを試行:
●ウォッチのリセット誘発
●偽通知の送信
●通知の受信
暫定的な対策
これらのリスクが日常生活で発生する可能性は低いと考えられますが、これらの状況を確実に予防する場合は、以下の推奨事項をご参照ください:
1、新しいCOROSデバイスをお持ちの場合、自宅または人気の少ない場所でCOROSアプリに接続してください。
2、Androidをご利用の場合は、未使用時にCOROSアプリを強制終了してください。これにより、まれな攻撃シナリオで通知がウォッチに送信されることを予防します。
COROSアプリが終了または強制終了された場合、スマートフォンはCOROSデバイスとの通信を停止するため、あらゆる攻撃デバイスの影響を受けません。
今後の対応スケジュール
● 7月中旬:このリスクを排除するファームウェア修正の内部テスト
● 7月下旬:以下のデバイス向け修正プログラムの全公開リリース:
- PACE 3, PACE Pro
- APEX 2, APEX 2 Pro
- VERTIX 2, VERTIX 2S
- DURA
● その他のデバイスは順次更新:
- PACE 2
- APEX 42mm, APEX 46mm, APEX Pro
- VERTIX 1
ユーザーの安全性確保は最優先事項であり、ユーザー体験を可能な限りスムーズに維持しながら、弊社はこの問題の解決を迅速に進めています。
Bluetoothセキュリティ脆弱性に関する補足声明
COROS製品におけるBluetooth通信の脆弱性について、現在報告されている問題は、特定の条件下で第三者が通信内容に不正アクセスする可能性があるというものです。しかしながら、当該の脆弱性を悪用するには、攻撃者が物理的に9m以内に接近し、かつ高度な技術的手段を用いる必要があるため、リスクは限定的であると考えられます。
また、日本国内においては、こうした不正アクセス行為は「不正アクセス禁止法」や「電波法」などの関連法令により厳しく規制されており、実際に行われた場合には刑事罰の対象となる可能性があります 。弊社は、ユーザーの安全を最優先に考え、脆弱性の修正に向けたソフトウェアアップデートの準備を進めております。今後も継続的なリスク評価と対策を講じながら、安心して製品をご利用いただける環境の維持に努めてまいります。
ユーザーの皆様には、最新のファームウェアへの更新を推奨するとともに、Bluetooth機能の使用に際しては、公共の場などでの利用を控えるなど、基本的なセキュリティ対策を講じていただくようお願い申し上げます。