Bluetoothの個人情報漏洩:あなたのデバイスは何を「叫んで」いるのか
スマホのBluetoothをオンにしっぱなしにしている方、多いですよね。イヤホン接続やスマートウォッチとのペアリングのために、わざわざ切る理由もないと思うかもしれません。でも、その「常時オン」がどれだけの情報を周囲に漏らしているか、考えたことはありますか?
イギリスの開発者Danny McClanahan氏が公開したBluehoodというBluetoothスキャナーが、その実態を可視化してくれます。
Bluehoodで何がわかったのか
Bluehoodはパッシブモード、つまり接続せずに「聞くだけ」で周囲のBluetooth信号を収集・分析するツールです。McClanahan氏が自宅のオフィスから実行したところ、驚くべき情報が取得できたそうです。
- 配達車両の到着タイミングと、同じドライバーかどうかの判別
- 近隣住民の行動パターン(在宅・外出の時間帯)
- 常にセットで検出されるデバイスの組み合わせ(スマホとスマートウォッチなど)
- 特定の人物が自宅にいる時間、職場にいる時間
特別な機材は不要で、Raspberry Piとアダプターがあれば十分。ノートPCでも同じことができてしまいます。
WhisperPair脆弱性が浮き彫りにした深刻な問題
このタイミングでBluehoodが注目された背景には、KU Leuvenの研究者が発見した「WhisperPair」(CVE-2025-36911)という重大な脆弱性があります。数億台のBluetoothオーディオデバイスに影響する問題で、攻撃者がヘッドホンやイヤホンを遠隔から乗っ取れる可能性があるとのこと。
具体的には、以下のリスクが指摘されています。
- 会話の盗聴
- GoogleのFind Hubネットワークを悪用した位置追跡
- デバイスのリモートハイジャック
WiFiセンシングの監視リスクについて以前取り上げましたが、Bluetoothはさらに身近な脅威と言えます。WiFiルーターは据え置きですが、Bluetoothデバイスは常に持ち歩くものだからです。
なぜBluetoothのプライバシーが軽視されてきたのか
率直に言って、Bluetoothのプライバシーリスクは長年にわたって過小評価されてきました。理由はいくつかあります。
まず、到達距離が短いという誤解。Bluetooth 5.0以降は理論上400メートルの通信距離を持ちます。Classic Bluetoothの時代の「数メートル」というイメージが残っていますが、現実はかなり違います。
次に、MACアドレスのランダム化への過信。iOSやAndroidはスキャン時にMACアドレスをランダム化していますが、接続中のデバイスは固定アドレスを使うことが多く、追跡可能な状態になっています。
そして、利便性との天秤。AirPodsやスマートウォッチを使うたびにBluetoothを手動でオンオフするのは非現実的。結果として「オンにしっぱなし」が当たり前になっています。
実践的な対策を考える
完全にBluetoothを使わないのは現代の生活では難しいでしょう。ただ、リスクを減らすためにできることはいくつかあります。
- 使わないときはオフにする:面倒でも、外出先で不要なときはBluetoothを切る習慣をつける
- デバイス名を変更する:「○○のiPhone」のような本名入りのデバイス名は即変更
- OSを最新に保つ:WhisperPairのような脆弱性への対策パッチを確実に適用
- 不要なペアリングを削除:使わなくなったデバイスとの接続情報を定期的に整理
Chrome拡張機能のスパイウェア問題もそうですが、日常的に使っているツールが意図せず情報を漏洩しているケースは増えています。便利さの裏側にあるリスクを認識しておくだけでも、対処の幅は広がるはずです。
IoTデバイスの増加がリスクを加速させる
スマートホームの普及で、Bluetooth対応デバイスの数は年々増加しています。照明、ドアロック、体重計、血圧計…。それぞれが独自のBluetoothシグナルを発信しており、家庭内のデバイス構成から生活パターンを推測することも技術的には可能です。
McClanahan氏のBluehoodは、こうした「見えない情報漏洩」を可視化することで問題意識を広めることを目的としたプロジェクトです。ソースコードはGitHubで公開されているので、自分の環境で何が漏れているか確認してみると、Bluetoothに対する考え方が変わるかもしれません。