Beatsやソニーなど約30製品に影響、Bluetoothチップに盗聴を許す脆弱性　一部は未対策の恐れ

Beatsやソニー、ボーズなどの大手ブランドを含む約30機種のBluetoothイヤホン・ヘッドホンに、近くの攻撃者からマイク経由で盗聴される恐れがある深刻な脆弱性が存在することが明らかになった。この問題は、台湾MediaTek子会社のAiroha Systems製Bluetoothチップに搭載されたデバッグ用プロトコルの設計不備に起因している。Appleは「Beats Studio Buds」向けに修正パッチを配信したが、他の多くのブランドでは対応状況にばらつきがあり、未だに対策が施されていないデバイスも存在する可能性がある。

■サプライチェーンを揺るがすBluetoothチップの脆弱性

Appleは今週、Beats Studio Buds向けのファームウェアパッチを公開し、近くの攻撃者がユーザーのスマートフォンに触れることなく、イヤホンのマイクを通じて盗聴できる高深刻度のBluetooth脆弱性を修正した。

しかし、この修正はサプライチェーン全体に及ぶ問題のほんの一部に対処したに過ぎない。ソニー、ボーズ（Bose）、JBL、マーシャル（Marshall）など、少なくとも11ブランドの約30製品が、同じ脆弱なチップを搭載していることが確認されている。

対象となる主要ブランドのBluetoothイヤホンやヘッドホンを所有している場合、デバイスが未対策のままであれば、カフェや空港、ホテルのロビーなどで近くの攻撃者に脆弱性を悪用される可能性がある。

■脆弱性の核心：デバッグ用プロトコル「RACE」

この脆弱性は、台湾MediaTekの子会社であるAiroha Systems（アイロハ・システムズ）が製造するBluetooth SoC（System-on-Chip）に組み込まれた、独自のプロトコル「RACE（Realtek/Airoha Command Extensions）」に起因している。

RACEは本来、製造ラインでの品質テストやファームウェアの書き込み時に、エンジニアがデバイスのRAMやフラッシュメモリに直接読み書きできるように設計された工場向けの診断ツールだった。

問題は、このプロトコルが認証ゲートを設けないまま、一般消費者向けのファームウェアに搭載されて出荷されたことにある。

ドイツのサイバーセキュリティ企業ERNWの研究者であるデニス・ハインツ（Dennis Heinze）氏とフリーダー・スタインメッツ（Frieder Steinmetz）氏が、2025年12月にRACE脆弱性の詳細な技術情報、ホワイトペーパー、および消費者向けのテストツールキットを公開した。

研究者らによると、AirohaのBluetoothチップは、オーディオストリーミングなどに使用される「Bluetooth Classic」と、デバイス制御用の「Bluetooth Low Energy（BLE）」の2つのインターフェースを介してRACEを公開している。どちらの場合も、デバイスの所有権を証明するためのペアリング（暗号ハンドシェイク）が強制されていなかった。そのため、Bluetoothの通信範囲内にいる攻撃者であれば、所有者に気づかれることなく静かに接続し、RACEプロトコルを実行できる状態にあった。

この設計上の不備により、米国の脆弱性情報データベース（NVD）から3つのCVE識別番号（CVE-2025-20700、CVE-2025-20701、CVE-2025-20702）が割り当てられている。Appleがパッチを適用したCVE-2025-20701は、共通脆弱性評価システム（CVSS）のスコアで10点満点中8.8の「高（High）」に分類されている。

■攻撃のシナリオと想定されるリスク

Appleのセキュリティアドバイザリでは、Bluetoothの通信範囲内にいる攻撃者が、「まだペアリングされておらず、アクティブにペアリング要求を探索している」状態のBeats Studio Budsのマイクを通じて音声を聴き取る可能性があると、限定的な表現でリスクを説明している。しかし、これは最も単純な攻撃手法に過ぎない。

脆弱性を発見したERNWの研究者らは、2025年12月にハンブルクで開催されたハッカーカンファレンス「39C3」で、より深刻な攻撃チェーンの実証デモを行った。

デモでは、攻撃者がBLE経由で脆弱なヘッドホンに静かに接続し、RACEを使用してデバイスのフラッシュメモリをダンプ。そこに保存されているBluetoothのリンクキーを抽出した。その後、そのキーを用いてヘッドホンになりすまし、被害者のスマートフォンに接続。スマートフォンがこの偽のデバイスを正規のヘッドホンとして認識すると、攻撃者はハンズフリー通話用の標準プロトコル（Hands-Free Profile）を使用して、スマートフォンにATコマンドを送信した。

これにより、攻撃者は、静かに電話をかけたり着信に応答したりする、被害者の電話番号や連絡先リスト、通話履歴を読み取る、SiriやGoogleアシスタントを起動してメッセージを送信する、攻撃者が管理する番号に無音で電話をかけさせて周囲の音を盗聴する、といった操作を実行できたという。さらに、ハインツ氏とスタインメッツ氏は、この攻撃チェーンを用いてWhatsAppセッションの乗っ取りや、Amazonアカウントのデータへのアクセスも実証した。

ハインツ氏は2025年6月の最初のERNWアドバイザリで、「攻撃者がBluetoothの通信範囲内にいれば、脆弱なデバイスはすべて侵害される可能性がある。前提条件はそれだけだ」と指摘している。

ただし、この一連の攻撃を実行するには高度な技術力と、標的に物理的に近づき続ける必要がある。現時点で、実際の悪用事例は確認されていない。しかしERNWは、会話の内容が極めて高い価値を持つジャーナリスト、企業幹部、政府高官、外交官などにとっては、攻撃を実行するリソースを持つ敵対者が存在する可能性が高いため、リスクの評価が変わると指摘している。

■消費者向けに出荷されてしまった開発ツール

Airohaの事例が浮き彫りにした本質的な構造問題は、パッチの欠如ではなく、開発環境における境界の欠如である。

Airohaが工場向けにRACEプロトコルを設計した際、デバイスが出荷される前にこの機能を無効化または制限する仕組みがソフトウェア開発キット（SDK）に存在しなかった。チップのライセンスを取得したメーカーは、RACEが有効で認証不要な状態の参照ファームウェアを受け取っていた。多くのメーカーは、この工場向けツールが内部で動作し続けていることを知らず、あるいは削除することなく、その参照実装に基づいて製品を開発した。

これが、一般的な製品の脆弱性と、SDKなどのサプライチェーンに起因する脆弱性との違いである。単一の企業が誤りを犯した場合、影響はその企業の顧客に限定される。しかし、SDKベンダーが脆弱性を抱えたまま30社以上のメーカーに提供した場合、30以上の独立したパッチ適用義務が生じ、それぞれが独自のリリーススケジュール、アップデートインフラ、ユーザーへの周知活動を行う必要がある。迅速に修正をリリースするメーカーもあれば、一切対応しないメーカーもあるかもしれない。

Airohaは、ERNWが2025年3月25日に脆弱性を報告してから2ヶ月以上応答しなかった後、5月27日に最初の返答を行った。そして、2025年6月12日の「TROOPERS 2025」での部分的な情報公開の8日前となる、6月4日に修正版のSDKをデバイスメーカーに提供した。

■各メーカーの対応状況

影響を受けることが確認されているブランドのパッチ適用スケジュールは、メーカーによってばらつきがある。

大手ベンダーの中で最も迅速に対応したのはJBLだった。同社はJBL Headphonesアプリを通じて、2025年7月8日に「JBL Live Buds 3」（バージョン8.0.0）、7月30日に「JBL Endurance Race 2」（バージョン5.4.0）向けの無線（OTA）ファームウェアアップデートをリリースした。

ボーズは、「QuietComfort Earbuds」向けの修正が2026年1月までに利用可能になったことを確認している。マーシャルとベイヤーダイナミック（Beyerdynamic）も、Airohaが修正版SDKをリリースした後の数ヶ月以内にアップデートを提供した。

当初ERNWからの直接の連絡に応答しなかったソニーは、TROOPERS 2025で問題が公表されることを知って初めて問題を認め、2026年初頭にファームウェアアップデートをリリースした。

ジャブラ（Jabra）の対応はより複雑だった。ERNWの技術テストによると、「Jabra Elite 8 Active」はCVE-2025-20701のBluetooth Classic経由の攻撃に対して脆弱ではなかった。これは、Jabraが独自にSDKを設定し、Classic接続でのペアリングを強制していたためとみられる。なお、Bluetoothアダプター「Jabra Link 390」向けには、2025年12月にファームウェアの修正が適用された。

AppleのBeats Studio Buds向けファームウェアアップデート「1B211」は、2026年6月16日に配信された。これはAirohaが修正版SDKを提供してから約12ヶ月後のことである。Appleのアドバイザリでは、この脆弱性が「オープンソースコード」に起因するものであると説明され、Appleのソフトウェアも影響を受けるプロジェクトに含まれていると言及された。このパッチは、イヤホンを充電ケースに入れ、ペアリング済みのiPhone、iPad、またはMacの近くに置くことで自動的に適用される。ユーザーは「設定」→「Bluetooth」から、Beats Studio Budsの横にある情報アイコン（i）をタップしてファームウェアバージョンを確認できる。

なお、同日にAppleの「AirPods Pro 2」および「AirPods Pro 3」向けにもファームウェアアップデート（8B41）が配信されたが、これらはAiroha製チップではなくApple独自のオーディオ用シリコンを搭載しているため、CVE-2025-20701の修正は必要なかった。

■ビジネス環境におけるワイヤレスイヤホンのリスク

ペアリング時の脆弱性は、特にビジネス環境において重要な意味を持つ。Bluetoothイヤホンは、ビデオ会議や社内ミーティング、音声通話の標準的なツールとなっている。

従業員が会議室のロビー、コワーキングスペース、公共交通機関などで、攻撃者の近くでイヤホンケースを開けると、周囲のデバイスにペアリング要求が一時的にブロードキャストされる。

ERNWは当初のアドバイザリで、ジャーナリスト、弁護士、外交官、企業幹部など、会話の内容が第三者にとって価値を持つ可能性のある高リスク層に対して特に注意を促している。

盗聴リスクにとどまらず、リンクキーの抽出、デバイスのなりすまし、ハンズフリープロトコルを介したコマンド注入という一連の攻撃チェーンは、スマートフォン自体をハッキングする必要がないという点で脅威となる。スマートフォンの信頼モデルが、イヤホンから抽出された認証情報によって悪用されるためである。

企業のセキュリティチームは、組織内で使用されているBluetoothオーディオデバイスを監査し、2025年12月27日に公開されたERNWのホワイトペーパー（White Paper 74）に記載されている影響を受ける製品リストと照らし合わせて、ファームウェアバージョンを確認することが推奨される。

■ユーザーが今すぐできる対策

Beats Studio Budsの所有者は、ファームウェアアップデート「1B211」を適用することでCVE-2025-20701を修正できる。手動でアップデートを実行するには、両方のイヤホンを充電ケースに入れ、蓋を閉め、ケースを電源に接続するか十分に充電された状態にして、ペアリング済みのiPhone、iPad、またはMacのBluetooth通信範囲内に少なくとも30分間置いておく必要がある。アップデートは自動的にインストールされる。

その他の影響を受けるデバイスについては、メーカーによってアップデートの提供状況が異なる。JBL、ボーズ、マーシャル、ベイヤーダイナミックは、専用アプリやサポートページを通じてパッチを提供している。ソニーのアップデートは「Sony Headphones Connect」アプリから入手可能である。知名度の低いブランドのAirohaチップ搭載デバイスを使用している場合は、メーカーのサポートページを直接確認する必要がある。

修正パッチの適用が確認できるまでの間、ERNWは以下の対策を推奨している。メーカーの専用アプリを使用してすぐにファームウェアを確認すること、スマートフォンのBluetooth設定から身元のわからないペアリング済みデバイスを削除すること、高リスクな環境ではイヤホンを検出可能なペアリングモードのまま放置しないこと、使用していないときはBluetoothをオフにすることである。

極めて高い機密性が求められるビジネス環境では、有線接続のオーディオ機器を使用することで、この攻撃対象領域を完全に排除できる。また、一般に公開されている「RACE Toolkit」を使用すれば、技術的な知識を持つユーザーやセキュリティ研究者が、特定のデバイスが依然として脆弱であるかどうかをテストすることが可能である。

■注目ポイントQ&A

●AirPodsはAirohaのBluetooth脆弱性の影響を受けますか？

いいえ、影響を受けません。AirPods Pro 2およびAirPods Pro 3はApple独自のオーディオ用シリコンを搭載しており、Airoha製チップは使用されていません。2026年6月16日に別のファームウェアアップデート（8B41）が配信されましたが、脆弱性（CVE-2025-20701）の修正は不要だったため、その内容は含まれていません。

●CVE-2025-20701の脆弱性が確認されているヘッドホンはどれですか？

影響が確認されているデバイスには、ソニーの「WF-1000XM5」「WH-1000XM5」「WH-1000XM6」、ボーズの「QuietComfort Earbuds」、JBLの「Live Buds 3」「Endurance Race 2」、およびマーシャルの「Motif II」「Major V」「Minor IV」「Stanmore III」など複数のモデルが含まれます。確認済みのリストには、10ブランドの約29製品が含まれています。リストにないデバイスであっても、Airoha製Bluetoothチップを使用している場合は、メーカーが安全を確認するまで脆弱性がある可能性を考慮する必要があります。特定のデバイスのテストには、ERNWの「RACE Toolkit」を使用できます。

●知らないうちにイヤホンを通じて盗聴される可能性はありますか？

はい、特定の条件下では可能性があります。CVE-2025-20701の脆弱性により、近くの攻撃者がペアリング要求を送信している未ペアリングのBeats Studio Buds（またはその他の影響を受けるデバイス）に接続し、マイクを使用する恐れがあります。ただし、一連の攻撃を実行するには高度な技術力、物理的な近接、および対象デバイスがペアリングモードである必要があります。現時点で、実際の悪用事例は報告されていません。利用可能なファームウェアパッチを適用することで、この脆弱性は解消されます。

●数年前に購入したデバイスでも、このAirohaチップの脆弱性の影響を受けますか？

はい、影響を受けます。この脆弱性はAirohaチップのファームウェアに存在するため、購入時期に関わらず、脆弱なAirohaチップを搭載したすべてのデバイスが影響を受けます。修正には、OSのアップデートではなく、各メーカーから提供されるファームウェアのアップデートが必要です。メーカーがパッチをリリースしていない場合、デバイスは脆弱なままとなります。

元記事: Bluetooth Earbuds Security Flaw Hits 30 Products: Beats Gets a Fix, Others Still at Risk