～3.5億台の車両に影響、GPS追跡・車内盗聴・個人情報漏洩のリスク～

2024年5月17日、PCA Cyber Securityの研究チームは、**OpenSynergy社のBluetoothスタック「Blue SDK」に存在する4件の新たな脆弱性を発見し、これらを組み合わせた攻撃手法を「PerfektBlue」**と命名しました。対象となる脆弱性は、CVE-2024-45431～CVE-2024-45434で、CVSSスコアは3.5～8.0と評価されています。

Blue SDKは現在、世界で3.5億台以上の自動車に搭載されており、Mercedes-Benz、Volkswagen、Skoda、および非公開のOEM1社の車両が影響を受けるとされています。

「PerfektBlue」が可能にする攻撃

PCAの研究によると、今回発見された脆弱性を組み合わせることで、以下のような悪質なサイバー攻撃が可能となります：

• GPS位置情報の追跡
• 車内音声の不正録音（盗聴）
• スマートフォンの連絡先や通話履歴の取得

これらの攻撃は、Bluetooth通信を介して遠隔から実行される可能性があり、ドライバーおよび乗員のプライバシーと安全に対する重大な脅威をもたらします。

修正状況と残る課題

OpenSynergyは、2024年9月にBlue SDKの顧客向けパッチを提供していますが、2025年6月23日時点でも、一部OEMにおいてパッチ未適用の状態が確認されています。

さらに、Blue SDKは自動車分野にとどまらず、モバイル端末、産業機器、医療機器など、世界中で10億台以上の組み込みデバイスに採用されており、影響は広範に及ぶ可能性があります。

セキュリティ専門家のコメント

PCA Cyber Securityは次のように述べています：

「Bluetoothスタックは多くのコネクテッドデバイスの中心にありながら、脆弱性検証の対象から外れがちです。PerfektBlueは、見落とされやすい通信層のリスクがいかに深刻かを示すケーススタディといえるでしょう。」

今後の対応と推奨

Blue SDKを採用するOEMおよびデバイスメーカーには、以下の対応が強く推奨されます：

• 速やかなパッチ適用と検証の実施
• Bluetooth通信スタックの継続的な脆弱性スキャン体制の構築
• 車載システムにおけるゼロトラスト・アーキテクチャの導入

また、利用者においても、Bluetoothペアリング端末の定期確認や不審な動作に対する警戒が必要です。

コネクテッドカーの普及が進む中で、ソフトウェアコンポーネントのセキュリティ品質がそのまま乗員の安全性につながる時代が到来しています。Blue SDKに代表される組み込みソフトウェアのセキュリティ確保は、全産業に共通する喫緊の課題となっています。

引用元記事：https://innovatopia.jp/cyber-security/cyber-security-news/60174/