ビーコンのセキュリティを強化する方法

ビーコンは、Bluetooth Low Energy（BLE）信号を用いて、位置情報やセンサーデータの小さなパケットを繰り返し送信する、目立たない小型無線デバイスです。通信範囲内であれば、対応スマートフォンでこれらの信号を受信でき、ターゲティング広告から接触者追跡、資産追跡まで、位置情報に基づいた様々なユースケースを可能にします。ビーコンを導入する企業にとって、堅牢なビーコンセキュリティ対策を確実に実施することは、今や必須事項となっています。

ビーコンのセキュリティが重要な理由

この汎用性により、ビーコン技術は業界全体で急速に普及し、スマートビーコンの市場規模は 127.4年までに2032億ドルしかし、こうした可能性の多くには、セキュリティとユーザーデータの不正利用に関するリスクの高まりが伴います。調査によると、多くの消費者がビーコンについて懸念を抱いています。あなたのあらゆる動きを追跡周囲のビーコンインフラから「…」という声が聞こえてきます。そして、こうした懸念はもっともです。ビーコンインフラ、デバイス、あるいは使用方法に欠陥があると、ユーザーや企業の機密データが漏洩する可能性があります。ビーコンを導入するあらゆる企業にとって、堅牢な保護対策を確実に講じることは今や必須事項です。

さらに、ビーコンの実装は、導入段階から、より多くの資金、第三者、そしてほとんどの人が関心を持つ情報を伴う本格的なビジネスへと急速に移行しています。

IoTデバイスにおいて、セキュリティは2番目に重要な要素です。ビーコンがオンになり、セキュリティが十分に確保されている時のみ、近接位置の検出、安全なチャネルを介したデータ送信、ビーコン周囲の現実世界とのやり取りといった機能を効率的に実行できます。

ビーコンの仕組みとセキュリティリスク

ビーコンはBLEテクノロジーを利用して、近くのスマートフォンやタブレットと通信します。ビーコンは主に2つのモードで通信を行います。

• 広告モード: ビーコンの ID のみを含む一方向の汎用パケットを繰り返しブロードキャストします。
• 接続モード: 2 つのデバイス間で双方向の暗号化されたデータ接続を確立します。

ほとんどの小売・近接通信アプリケーションは、消費者のスマートフォンを検出するために広告モードを利用しています。ビーコンは範囲内にいる間、スマートフォンを識別しますが、個人データにはアクセスしません。そのため、単にビーコンをブロードキャストするだけでは、情報収集という観点からユーザーを「追跡」することはできません。しかし、ブランドのモバイルアプリと組み合わせたビーコンネットワークは、分析やエンゲージメントを目的として、店舗内の顧客をモニタリングすることを可能にします。ユーザーは、アプリの利用規約やBluetoothの有効化などの権限設定を通じて、このレベルの追跡に同意します。なお、ビーコン検出をオプトアウトするには、デバイスで位置情報サービスとBluetoothを無効にすることができます。

典型的なビーコンエコシステムの調査  

ビーコン自体は比較的単純なブロードキャスト デバイスですが、その周囲に構築される広範なエコシステムは、相互接続された多数のコンポーネントで構成されています。

ビーコンエコシステムのこれらのコンポーネントは、製品の導入状況によって大きく異なります。エコシステム内のすべてのタッチポイントを継続的にセキュリティ評価することが、新たな脅威が出現しても堅牢な防御を維持する鍵となります。

• 組み込みハードウェアビーコンデバイス – MOKOSmartやKontakt.ioなどの企業が製造するBLEトランスミッター。5台あたり30ドルからXNUMXドルで入手可能です。コード改ざんや干渉攻撃に対するセキュリティ保護がハードウェアに備わっていることを確認することが重要です。
• クラウドウェブサービス – 企業が登録ビーコンのメタデータ（バッテリー寿命、位置情報、センサーデータなど）を管理し、集約されたテレメトリを分析するための集中リポジトリ。クラウドに保存されるすべてのデータを適切に保護することが重要です。また、すべてのAPI関数が適切に認証され、悪意のある攻撃や認証されていないデータへのアクセスを許す脆弱性がないことを確認してください。
• ビーコン管理ソフトウェア – ベンダーが提供する管理パネルにより、デバイスごとに設定するのではなく、ビーコン設定を一括で設定できます。データ通信とストレージを暗号化するとともに、無線（OTA）によるファームウェアアップデートも保護する必要があります。
• エンドユーザー向けモバイルアプリケーション – 消費者向けスマートフォンやタブレットのアプリは、近接するビーコン信号を検知し、位置情報データを活用してエンゲージメントを実現します。認証、データ収集、通信暗号化など、厳格なテストが不可欠です。

一般的なビーコン攻撃 – ビーコンがどのように攻撃されるか   

Bluetoothビーコンにおけるすべての通信はデコードされ、明瞭に行われます。ビーコンは急速に複雑な接続へのゲートウェイになりつつあるため、意図しない方法で使用され、攻撃につながるケースが増えています。ビーコンは以下のような方法で攻撃を受ける可能性があります。

ピギーバックとクローニングビーコン

ピギーバックとは、ハッカーがビーコンを盗聴し、UUID、メジャー、マイナーを取得し、所有者の同意なしにアプリに追加することです。ほとんどのビーコンは同じ信号を数年間送信するため、ハッカーはビーコンのインフラをアプリ内で利用できます。ビーコンのインフラを他人と無料で共有するのは不便ですが、ユーザーに悪影響はなく、アプリにも損害を与えません。

ハッカーがビーコンの情報を取得すると、簡単にビーコンを複製できます。複製とは、ビーコンの設定をコピーし、別のアプリケーションに設定することで、ユーザーを欺くことです。ハッカーはビーコンの起動場所とタイミングを制御できるにもかかわらず、アプリ決済をトリガーするため、これは非常に危険な行為です。

ビーコンの乗っ取り

ビーコンは通信のみを行うよう設定されており、送信される情報を暗号化することはできません。そのため、ビーコンに接続した際にハッカーが接続に使用したパスワードを入手した場合、ハッカーはそれを悪用したり変更したりして、接続不能に陥らせる可能性があります。こうしてハッカーはビーコンを完全に制御できるようになり、IoTインフラ全体を危険にさらすことになります。

Bluetoothビーコンのクラッキング

ビーコンがリモート攻撃から保護されている場合でも、誰かがビーコンを壁から物理的に取り外して開けることで、ビーコンのメモリを盗み見ることは可能です。この種の攻撃が発生する確率は低いですが、機密性の高いアプリケーションを制御するビーコンを使用している場合は、このような攻撃からビーコンを保護することが不可欠です。

これらの一般的な攻撃の入り口に対処するには、ハードウェア サプライ チェーンのセキュリティ、クラウド アクセス ガバナンス、ビーコン構成ガイドラインなどを調整しながら、人、プロセス、テクノロジー全体で入念な防御を行う必要があります。

ビーコンをより安全にする方法

ビーコンを攻撃から保護することは非常に難しいため、これまで誰も成功していません。多くの企業がピギーバック攻撃からビーコンを保護する戦略や、チップメーカーによるクラッキング対策を開発してきましたが、データチェーン全体をカバーしていないため、これらの取り組みは無駄です。さらに、デバイスをハイジャックから保護するメカニズムも開発されていません。ビーコン技術は非常にシンプルなので、以下のビーコンセキュリティメカニズムを活用することで、あらゆる種類の攻撃からビーコンを効率的に保護できます。

安全なコミュニケーション

セキュア通信は、ビーコンをハイジャックから保護します。これは、Bluetooth Low Energy（BLE）を使用したビーコンサイバープロトコルであり、様々なデバイスでサポートされています。ビーコンから管理デバイスまでの通信チャネル全体は完全に暗号化されます。セキュア接続でカスタマイズされたビーコンは、エンドツーエンドの暗号化を備え、SDKとビーコン間でパスワードを送信する必要がないため、ハイジャックは不可能です。このセキュア通信チャネルは、SDKまたはProximity APIを通じて管理されます。この通信チャネルを備えたビーコンは、あらゆる攻撃から十分に保護されています。これは、ハッカーが悪用しようとするあらゆる悪意のある攻撃からデバイスが効率的に保護されるためです。

ソフトウェアロック

ソフトウェアロックは、すべてのビーコンを直接的なクラッキングから保護します。ソフトウェアロックがインストールされたデバイスのメモリにアクセスしようとすると、メモリ内のすべてのデータが消去されます。シンプルなビーコン設定はそのまま残りますが、クラッカーはその他の情報にアクセスできません。ビーコンにソフトウェアロックがインストールされていれば、インフラストラクチャの安全性が確保されます。当初はすべてのビーコンにこのサービスを提供していましたが、ファームウェアを独自に開発されるお客様もいらっしゃるため、現在はお客様から必要な場合にのみ提供しています。

iBeacon広告にセキュアUUIDを使用する

セキュアUUIDは、ビーコンの実IDを保護するセキュリティメカニズムです。これにより、ビーコン信号へのアクセスをより適切に制御できます。このオプションの追加セキュリティレイヤーは、すべてのビーコン導入に推奨されます。

製造段階で、各ビーコンに固有のビーコンキーが割り当てられます。このキーはビーコンまたはIoTクラウドプラットフォームでのみ認識されます。ビーコンの可視IDを暗号化および復号化する際、セキュアUUIDアルゴリズムは、ビーコンキーと最新のローテーションタイムスタンプを使用します。

ビーコンは暗号化に対応しているため、固有の回転間隔に応じて新しい可視ビーコンIDを生成します。ビーコンは新しい可視IDをiBeaconパケットで送信します。クラウドで復号化が行われ、ビーコンキーが解決され、ビーコンが識別されます。ビーコンとクラウドの間にはiOS/Androidデバイスが存在します。デバイスはビーコンの可視IDをリッスンし、クラウドと連携してビーコンの実際のIDを検出します。

デバイスはプロキシとしてのみ機能するため、ビーコンキーを認識できません。そのため、悪意のある第三者はアプリからキーを簡単に削除し、将来的にビーコンの可視IDを復号化することができます。これは、クラウドで復号化を設定することで防ぐことができますが、セキュアUUIDが機能するにはアクティブなインターネット接続が必要です。

ビーコンを保護するための次のステップ

ビーコンをあらゆる攻撃から守る方法をお探しなら、ここが最適な場所です。MOKOSmartは、高品質なソリューションを提供する世界的リーダーです。 Bluetoothビーコン. さらにサポートが必要な場合は、いつでもお気軽にご来店またはお問い合わせください。