世界を動かす技術を、日本語で。

スピーカーを使ってPCをハッキングする方法 - 触れずに実行する

2026年6月3日原文(blog.nns.ee)

概要

  • Creative Sound Blaster Katana V2Xのファームウェア解析による脆弱性発見
  • Bluetooth経由で認証不要でファームウェア書き換え可能
  • 悪意あるファームウェアによる盗聴やRubber Ducky攻撃の危険性
  • ファームウェア保護やBluetoothの制御が極めて不十分
  • Creativeへの報告とその対応の難航

Creative Sound Blaster Katana V2Xのファームウェア解析と脆弱性

  • Creative Sound Blaster Katana V2Xは、USB接続型PCサウンドバー
  • Creative独自のCTP(Creative Transport Protocol)を用いた設定変更機能
    • USB経由でのCTP利用時はチャレンジレスポンス認証が必須
    • 認証キーはバイナリから容易に取得可能
  • ファームウェアはFBOOT(ブートローダ兼リカバリモード)、FMAIN(メインファームウェア)、CHK2(SHA-256チェックサム)で構成
    • FBOOTはリカバリモード起動機能を持つ
    • FMAINはFreeRTOSベースで主要機能を実装
    • CHK2は単なる整合性確認用で改ざんも容易
  • ファームウェア更新時、CHK2さえ正しければ改ざんファームウェアも受け入れられる
    • 例として「WELCOME」表示を「PATCHED」に書き換え成功

Bluetooth経由の深刻なセキュリティ問題

  • Katana V2XはBluetooth Low Energy(BLE)にも対応
    • BLEはペアリング不要で接続・データ書き換えが可能
    • Creative公式アプリもBLE経由でスピーカー操作
  • ファームウェア解析で、CTPコマンドがBluetooth経由でも利用可能と判明
    • 任意の端末からCTPコマンド送信・情報取得・設定変更が可能
  • BLE経由でファームウェアアップデート機能も利用可能
    • Pythonスクリプトで改ざんファームウェアをBluetooth経由で転送し書き換え成功
    • BLE通信は遅いが、物理的接触や認証不要で攻撃成立

悪意あるファームウェアによる攻撃シナリオ

  • スピーカー内蔵マイクを用いた盗聴デバイス化
  • PC接続時、USB HID(ヒューマンインターフェースデバイス)としてキーボード動作も可能
    • HIDデバイスとしての機能は既に一部実装済み(Consumer Control)
    • ファームウェア改変でキーボード機能追加、任意のキー入力を実行
  • FreeRTOSのタスクを書き換え、起動時に自動でコマンド入力を実行するPoCを実装
    • 例:「echo pwned」と入力し実行
  • 実際の攻撃ではPowerShell起動や悪意あるコード実行も可能
  • ファームウェア更新機能を無効化すれば、復旧困難な状態に

Bluetooth常時有効・保護策の不備

  • スピーカーはスリープ中もBluetoothが常時有効
  • Bluetooth無効化オプションや物理的な制限手段が存在しない
  • ファームウェア書き換えに対する署名検証や高度な保護機構が皆無

Creativeへの報告と対応

  • Creative社への脆弱性報告は困難
    • セキュリティ専用の連絡先が存在しない
    • Webフォーム経由でも反応が遅く、SingCERT経由でようやく連絡がつく
  • Creativeからの最初の返答まで約2ヶ月を要した
  • 報告者視点では、ユーザーが自身のデバイスを自由に扱える一方、セキュリティ専門家としては保護策の欠如は重大な問題

まとめと推奨事項

  • Katana V2Xは現状、Bluetooth経由で誰でもファームウェア改ざんが可能な極めて危険な状態
  • マイク搭載・USB接続という特性上、盗聴やPC乗っ取り等のリスクが高い
  • 利用者はBluetoothを物理的に遮断する、または重要な環境では使用を控えることを推奨
  • メーカーにはファームウェア署名検証やBluetooth制御機能の実装が強く求められる

Hackerたちの意見

4営業日後に、ちょっとダラっとしたチャンネルの動画がYouTubeのトップページに出てくるのが待ちきれない!

でも、LinkedInで一番になって名声を手に入れることはできるよね。

YouTubeの履歴保存をオフにすると、ホームページが全く表示されなくなるって知ってた?

SingCERTからのメールで、ベンダーが「これは脆弱性とは考えない。サイバーセキュリティリスクはない」と言ってる。USBで接続された他人のデバイスに無線でカスタムファームウェアを書き込むのが、ペアリングなしでできるのに、これがセキュリティの脆弱性じゃないってさ。うん。

さらにそのデバイスを再プログラムしてPCをコントロールできるって、これは最高レベルの怠慢だよね。

「ただ文字を打たせるだけだし、リスクなんてないでしょ?」って言うけど、他の周辺機器メーカーもセキュリティチームがいないみたいで心配になるよね。こんな脆弱性が他にもたくさん待ってるんじゃないかな。うちの兄は、朝の2時に近所の子供たちが彼のBluetoothスピーカーに接続して、最大音量でおならの音をループさせて起こされたことがあるけど、それが悪意のあるBluetooth利用の氷山の一角に過ぎないんだよね。

ベンダーの反応が一番心配な部分だね。

そうだけど、もうそのデバイスは売っちゃったから、他の人の問題だね。もし彼らがサブスクリプション料金を払ってくれてたら…

このリスクに関する引用は、リスクの概念を完全に誤解してる気がする。まず脆弱性があって(個人的にはそれが危険に等しいと思う)、次に影響と確率を割り当てて、初めてリスクが出てくる。定義上、影響が低いか確率が低い脆弱性は常に存在すると思うし、だからリスクも低い。CVEにはスコアがあるけど、実際のリスクやそのリスクを受け入れるかどうかは、使用ケースによって決まる。リスクがないから脆弱性もないっていうのは、設計上の誤った考え方だと思う。脆弱性がないからリスクもない、これだけは同意できるかな。

マイクロソフトみたいだね: https://www.youtube.com/watch?v=9kxx5xp5nTQ

SingCERTがこの件を取り下げたから、怪しい会社が逃げようとするのは予想できるけど、国のサイバーセキュリティ機関がそうするとは思わない。

誰かがCreativeのショールームや販売イベント、CESに行って、全デバイスを「パッチ」したら、その答えはすぐに変わるよ。

Hacker Newsで議論の続きを見る