Creative Sound Blaster Katana V2Xの深刻なセキュリティ脆弱性、Bluetooth経由でのファームウェア改ざんが可能

Bluetoothを通じて認証なしにカスタムファームウェアをアップロード可能なセキュリティ脆弱性がCreative Sound Blaster Katana V2Xで発見された。研究者は約15メートルの範囲内からキーストロークインジェクション機能を持つマルウェアをインストールする攻撃を実証した。

研究者によって、Creative Sound Blaster Katana V2Xスピーカーに複数のセキュリティ脆弱性が発見された。これらの脆弱性により、攻撃者は物理的接触やペアリングなしに、Bluetooth経由でカスタムファームウェアをアップロードしてデバイスを改ざんできる。SingCERTを通じた約2ヶ月間の開示試行の後、Creativeはこの問題を脆弱性として扱わないことを決定した。

ファームウェア保護の欠如とCTPプロトコルの脆弱性

Katana V2XのファームウェアはFBOOT（ブートローダー/リカバリー）、FMAIN（メインファームウェア）、CHK2（SHA-256チェックサム）の3つの部分で構成されている。同デバイスはSHA-256チェックサムのみで保護されており、暗号学的署名検証がない。FBOOTとFMAINはFreeRTOSバージョン8.2.3を基盤としている。

デバイスはCTP（Creative Transport Protocol）という独自プロトコルを使用してコマンド処理を行う。CTP認証は静的キーを使用するが、Bluetoothを介したCTPコマンドは認証なしで実行可能である。スピーカーはBluetooth Low Energy（BLE）接続に対応しており、ペアリングなしに任意のKatana V2Xにアクセスできる。

Bluetooth経由のファームウェアアップロードと攻撃実証

研究者はBluetooth経由でカスタムファームウェアのアップロードに成功した。アップロードに要した時間は約10分である。改変されたファームウェアは起動時に「PATCHED」というメッセージを表示した。

攻撃の具体的な手法として、研究者は83バイトのUSBレポートディスクリプタパッチと102バイトのARM/Thumbアセンブリからなるキーストロークインジェクター機能を実装した。カスタムファームウェアはブート後、20秒待機してUSBサブシステムが起動した後、20ミリ秒の間隔でキーストロークを送信した。このプルーフオブコンセプトはコマンド「echo pwned」の入力を実証した。

Creativeの対応と現状

Creativeは公式なセキュリティ連絡先を公開しておらず、ウェブサポートフォームのみを提供している。SingCERTを通じた開示では、Creativeは「このことは、サイバーセキュリティリスクを提示していないため脆弱性とは考えない」と報告されている。現在、Creativeからパッチは公開されておらず、最新ファームウェアは依然として脆弱である。

研究者はv2x-patcherツールを開発し、CTP-over-Bluetoothをブロックするパッチを提供している。テスト対象のファームウェアバージョンは1.3.230619.1820である。なお、スピーカーはスリープモード中でもBluetoothが活性のままであり、無効化する手段がない。

筆者の見立て

• 同スピーカーはPC またはゲーム機に常時接続して使用されることが多いため、Bluetooth機能は不要である可能性を示唆している
• ファームウェア保護がない点は、セキュリティ専門家の観点からは悪い慣行であると論じている
• 攻撃者はマルウェアファームウェアの削除を防ぐため、理論的にはファームウェア更新ルーチンを無効化する可能性がある
• スピーカーは従来のオーディオ出力機能に加えて、マイクを搭載しているため、改変されたファームウェアで会話を盗聴する秘密監視デバイスに変換される可能性を示唆している
• Creativeがセキュリティ連絡先を欠いている事実は、組織的な理由で到達困難であったことを示唆していると解釈している

この記事は元記事の事実のみに基づいて自動生成されました。

出典

nns.ee blog、「Pwnd Blaster: Hacking your PC using your speaker without ever touching it」、https://blog.nns.ee/2026/06/03/katana-badusb/（SingCERTの報道による）