ベルギーのルーヴェン・カトリック大学の研究者らは、Bluetoothオーディオ製品の利用者に対し、Googleの「Fast Pair(ファスト ペアリング)」技術に存在する脆弱性によってデバイスが危険にさらされる可能性があると警告している。ファスト ペアリングは、Bluetoothデバイスを素早く簡単に接続するための機能だ。
Googleは、ハッカーによるオーディオ機器の乗っ取りや位置情報の追跡を可能にする問題に対処したと述べた。研究者らは、「WhisperPair」と総称されるこれらの脆弱性が、ソニーやHarman、Googleなどの製品に影響を及ぼしていると指摘している。研究者らによるテストでは、これらの製品は最大14m離れた場所からハッキングされる可能性があることが判明した。
Googleの担当者は米CNETに対し、自社製品である「Pixel Buds Pro」を含む一部のオーディオ製品のソフトウェアを更新したこと、また脆弱性の一部は他社がファスト ペアリングの仕様に適切に従っていないことに起因すると語った。Googleは2025年9月にこの件について各社に通知したという。
Googleは米CNETへのコメントの中で、「ユーザーの安全を守るために役立つ、当社の脆弱性報酬プログラムを通じたセキュリティ研究者との協力に感謝している。当社は研究者らと協力してこれらの脆弱性を修正しており、本報告書の実験環境以外で悪用された痕跡は見つかっていない」と述べた。「セキュリティ上の最善策として、ユーザーにはヘッドホンの最新ファームウェアアップデートを確認することを推奨する。当社は常にファスト ペアリングおよび『Find Hub』のセキュリティを検証し、強化している」
デバイスの追跡に関する懸念に対し、Googleはさらに「このシナリオにおけるFind Hubネットワークのプロビジョニングを阻止するための修正を当社側で展開した。これにより、すべてのデバイスにおける位置追跡の潜在的な問題に完全に対処した」と述べた。
Googleは1月に2つのセキュリティアップデートを公開した。1つは「Wear OS」向け、もう1つはGoogle Pixelデバイス向けで、それぞれに同社のセキュリティパッチに関する情報が含まれている。
WhisperPairの研究グループは、発見した内容を詳述する学術論文の作成に取り組んでいる。同グループはウェブサイト上で、「われわれの調査結果は、利便性を高めるための小さな『アドオン』がいかにして数億人のユーザーに大規模なセキュリティおよびプライバシーのリスクをもたらし得るかを示している」と述べた。
研究グループは、ファスト ペアリングの問題点について解説するYouTube動画も公開した。2017年に導入されたファスト ペアリングは、「Android」や「Chrome OS」でBluetoothデバイスをワンタップで接続できるGoogleの技術だ。
同グループは調査結果をGoogleに報告して同社と協力し、1万5000ドル(約240万円)の報奨金を受け取ったという。研究者らはGoogleがセキュリティパッチをリリースするための、150日間の情報公開猶予を設けることに同意したとしている。しかしウェブサイトでは、イヤホンなどのBluetooth機器のユーザーがパッチに気づいていない可能性があると指摘している。
同サイトには、どのオーディオ製品に脆弱性があるかをユーザーが検索できるページがあり、アップデート方法も記載されている。Googleのファスト ペアリングに関する既知の問題のページには、これらの脆弱性に関する詳細な情報は掲載されていない。
この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています。
