1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 10億台のデバイスで使用される中国 メーカー製 Bluetoothチップに文書化されていない隠し機能を発見

10億台のデバイスで使用される中国 メーカー製 Bluetoothチップに文書化されていない隠し機能を発見

セキュリティニュース

投稿日時: 更新日時:

10億台のデバイスで使用される中国 メーカー製 Bluetoothチップに文書化されていない隠し機能を発見

中国のメーカー Espressif によって製造され、2023年時点で 10億台以上 のデバイスに使用されている ESP32マイクロチップ に、攻撃に悪用される可能性のある文書化されていないコマンドによる隠し機能が含まれていることが判明しました。

このコマンドを使用すると、デバイスのなりすまし、不正なデータアクセス、ネットワーク内の他のデバイスへのピボット攻撃、および長期的な持続的攻撃が確立する可能性があります。

この発見は、スペインのセキュリティ研究者 である Miguel Tarascó Acuña 氏と Antonio Vázquez Blanco 氏(Tarlogic Security 所属)によって行われ、彼らは202538日にマドリードで開催されたRootedCONでこの調査結果を発表しました。

研究者らは、ESP32 が Wi-Fi + Bluetooth 接続を提供する世界で最も広く使用されているチップの1つであることから、この隠し機能の存在がもたらすリスクは重大である と警告しています。

ESP32の隠し機能発見の経緯

RootedCON での発表 で、Tarlogic の研究者たちは Bluetooth セキュリティ研究の関心が低下していること を指摘しました。

しかし、これは Bluetooth プロトコルやその実装がより安全になったからではなく、昨年発表された攻撃の多くが実際にはツールとして機能していないことが原因 だとしています。

多くの既存の攻撃ツールは、次のような問題を抱えていました。

  • 汎用ハードウェアでは動作しない
  • 古いツールでメンテナンスされておらず、最新システムと互換性がない

そこで、TarlogicOS依存のAPIに頼らず、直接ハードウェアにアクセスできる新しい CベースのUSB Bluetoothドライバー 「BluetoothUSB」を開発。

このツールを使ってBluetoothの通信データを詳細に分析した結果、ESP32Bluetoothファームウェアに隠されたベンダー固有の合計29種類の未公開コマンド (Opcode 0x3F) が存在することを発見しました。

これらのコマンドを使うことで、次のようなサイバー攻撃が成功する可能性があります。

  • メモリ操作(RAM および Flash の読み書き)
  • MAC アドレスの偽装(デバイスのなりすまし)
  • LMP/LLCP パケットのインジェクション(低レベルの Bluetooth 攻撃)

Espressif はこれらのコマンドについて 公式には一切文書化しておらず、意図的に隠されているのか、それとも誤って残されてしまったのかは明らかになっていなません。

このコマンドが悪用されるリスクとして、OEMレベルでの悪意ある実装や、サプライチェーン攻撃の可能性がありさらに、Bluetooth スタックが HCI コマンドの処理方法によっては、理論的にリモートからの悪用 も可能です。

特に、次の場合には、低レベルアクセスを利用してこの隠し機能を遠隔から悪用できる可能性が高くなります。

  • 攻撃者がすでに root 権限を持っている
  • デバイスにマルウェアを仕込んでいる
  • 悪意のあるファームウェアアップデートを行っている

一般的には、物理的にデバイスの USB UART インターフェースにアクセスする方が、より現実的な攻撃シナリオ となります。

IoT デバイスへの攻撃リスク

研究者は BleepingComputer に対して、次のように説明しています。

ESP32 を搭載した IoT デバイスを侵害することで、その ESP メモリ内に APT(持続的脅威)を隠し、Bluetooth(または Wi-Fi)を利用して他のデバイスを攻撃することが可能になります。その間、攻撃者は Wi-Fi / Bluetooth 経由でデバイスを遠隔操作できるようになります。」

「今回の発見により、ESP32 チップを完全に制御することが可能になり、RAM Flash の改ざんを通じて永続的なアクセスを獲得できます。」

「さらに、ESP32 の特性を活かして高度な Bluetooth 攻撃を実行できるため、感染を他のデバイスに拡散させることも理論的には可能です。」

BleepingComputer は Espressif に対してコメントを求めたが、現時点では公式な回答は得られていないません。

なお、この問題はCVE-2025-27840として追跡されています。

参照

Undocumented commands found in Bluetooth chip used by a billion devices

関連記事

セキュリティインシデントの事例【2024年】セキュリティインシデント 事例【2024年】 米、バイデン政権は中国とロシア製のコネクテッドカーの輸入 販売禁止を検討米、バイデン政権は中国とロシア製のコネクテッドカーの輸入 販売禁止を検討 脅威アクター Menelik Dell(デル)が不正アクセスにより4900万人の個人情報漏洩の可能性 Windowsの脆弱性(CVE-2024-30090)がサイバー攻撃に悪用される可能性Windowsの脆弱性(CVE-2024-30090)がサイバー攻撃に悪用される可能性 WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550)WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550) VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていたVSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた WindowsがCrowdStrike(クラウドストライク) のリカバリーツールをリリースWindowsがCrowdStrike(クラウドストライク) のブルースクリーン リカバリーツールをリリース AppleのUSB制限モードが回避される深刻な脆弱性、極めて高度な攻撃で悪用が可能(CVE-2025-24200)AppleのUSB制限モードが回避される深刻な脆弱性、極めて高度な攻撃で悪用が可能(CVE-2025-24200) シュナイダーエレクトリックへサイバー攻撃と不正アクセスシュナイダーエレクトリックへサイバー攻撃と不正アクセス