KUルーベン大学のコンピュータセキュリティおよび産業暗号グループは、GoogleのFast Pairプロトコルに重大な脆弱性を発見した。CVE-2025-36911として追跡され、WhisperPairと名付けられたこの脆弱性は、数億台のワイヤレスヘッドフォン、イヤホン、スピーカーに影響を与える。
Google、Jabra、JBL、Logitech、Marshall、Nothing、OnePlus、Sony、Soundcore、Xiaomiなどのメーカーが影響を受ける。攻撃者はBluetooth対応デバイスを使用し、最大14メートルの範囲内で数秒以内に、ユーザーの操作なしで脆弱なアクセサリーを強制的にペアリングできる。
ペアリング後は音声を流したり、マイクを通じて会話を盗聴したり、GoogleのFind Hubネットワークで位置を追跡したりすることが可能になる。Googleは研究者に15,000ドルの報奨金を授与し、150日間の開示期間中にメーカーと協力してセキュリティパッチをリリースした。
唯一の防御策はデバイスメーカーからのファームウェアアップデートのインストールである。
From: 
Critical WhisperPair flaw lets hackers track, eavesdrop via Bluetooth audio devices
【編集部解説】
今回のWhisperPair脆弱性が示すのは、利便性とセキュリティのトレードオフという古典的なジレンマです。GoogleのFast Pairは、Bluetoothデバイスのペアリングをワンタップで完了させる画期的な技術として2017年に登場しました。しかし、その「摩擦のない体験」を追求するあまり、セキュリティの基本原則が軽視されてしまったのです。
最も深刻なのは、この脆弱性がプロトコル設計そのものではなく、メーカー側の実装ミスに起因している点です。Fast Pair仕様書には「ペアリングモードでない場合はリクエストを拒否すべき」と明記されているにもかかわらず、Google、Sony、Jabra、JBLといった大手メーカーを含む10社がこのチェックを省略していました。これは単なる技術的な見落としではなく、製品出荷後のセキュリティ検証体制の不備を浮き彫りにしています。
攻撃の実行は驚くほど簡単です。攻撃者はノートパソコンやRaspberry Piなどの汎用デバイスを使い、約14メートル(46フィート)の範囲内から数秒でペアリングを完了できます。ユーザーがイヤホンを耳に装着している状態でも、ポケットに入れている状態でも、本人の同意なしに接続が成立してしまうのです。
さらに厄介なのは、GoogleのFind My Deviceネットワークとの連携機能です。攻撃者が被害者より先にデバイスをペアリングし、自分のGoogleアカウントに登録すれば、世界中のAndroid端末ネットワークを通じて位置情報を継続的に取得できます。被害者には「望ましくない追跡」の通知が届きますが、それが自分のデバイスとして表示されるため、多くの人がバグと誤認して無視してしまう可能性が高いのです。
Googleは研究者に最高額の15,000ドルを支払い、2025年8月の報告を受けて9月にはメーカーへ推奨修正を提供しました。しかし、問題はファームウェアアップデートの配布体制にあります。高価格帯のフラッグシップモデルは更新が期待できますが、低価格製品やサポート終了製品は放置される可能性が高く、「数億台」という影響範囲のうち、実際にどれだけが修正されるかは不透明です。
この事案は、IoT時代のセキュリティガバナンスの課題を示唆しています。スマートフォンのようにOSレベルで一括更新できる製品と異なり、Bluetoothアクセサリーは各メーカーが独自のアップデート機構を持つため、セキュリティパッチの展開が断片化しやすいのです。ユーザー側での対策は限定的で、Androidスマートフォン側でFast Pairを無効化しても、アクセサリー側の脆弱性は残り続けます。
WhisperPairは、便利さを優先した設計思想が生むリスクを如実に示しています。今後、同様のワイヤレスプロトコルを設計する際には、実装の容易さだけでなく、メーカーによる誤実装を防ぐための検証機構やサンドボックステストの義務化が求められるでしょう。
【用語解説】
WhisperPair
今回発見されたGoogleのFast Pairプロトコルにおける脆弱性の通称である。攻撃者が「囁く」ように静かにデバイスをペアリングできることから名付けられた。
CVE-2025-36911
Common Vulnerabilities and Exposures(共通脆弱性識別子)の略で、セキュリティ脆弱性に割り当てられる一意の識別番号である。今回のWhisperPair脆弱性に割り当てられた番号。
Bluetooth
無線通信規格の一つで、近距離でのデータ通信に使用される。ヘッドフォンやスピーカーなどのオーディオ機器との接続に広く利用されている。
ファームウェア
ハードウェアを制御するために組み込まれたソフトウェアである。イヤホンやスピーカーなどのデバイス内部に格納され、基本的な動作を司る。
IoT(Internet of Things)
モノのインターネットと呼ばれ、様々な物理デバイスがインターネットに接続され、データをやり取りする概念である。Bluetoothデバイスもその一種とされる。
Find My Device
Googleが提供する紛失したAndroidデバイスやBluetooth機器を追跡できるサービスである。世界中のAndroid端末ネットワークを利用して位置情報を取得する。
【参考リンク】
Google Fast Pair(Googleデベロッパーサイト)(外部)
GoogleのFast Pairサービスの公式開発者向けページ。仕様書、拡張機能、認証プロセスなどの詳細情報を掲載。
KU Leuven COSIC(研究グループ公式サイト)(外部)
ベルギーのKUルーベン大学のコンピュータセキュリティおよび産業暗号研究グループの公式サイト。
CVE-2025-36911(NVD – National Vulnerability Database)(外部)
米国国立標準技術研究所が運営する脆弱性データベースにおけるWhisperPair脆弱性の公式エントリ。
【参考記事】
Fast Pair flaw exposes Bluetooth devices to hijacking(外部)
The Registerによる詳細な技術解説。10社のメーカーが仕様書のチェック実装を省略した経緯を報じる。
WhisperPair exposes Bluetooth earbuds and headphones to tracking and eavesdropping(外部)
Malwarebytesによる攻撃手法の解説。約14メートルの範囲内から数秒で攻撃が成立する実態を報告。
Update Your Headphones Now: Google Fast Pair Flaw May Let Hackers Track You(外部)
PCMagによる報奨金とタイムライン情報。Googleが15,000ドルを支払い、2025年9月に修正を提供した経緯を詳述。
Your Bluetooth Audio Devices Could Be at Risk of Hijacking, Researchers Say(外部)
CNETによる消費者向け解説。ユーザーがイヤホンを装着している状態でも攻撃が成立する実態を報じる。
WhisperPair Attack Leaves Millions of Audio Accessories Open to Hijacking(外部)
SecurityWeekによる構造的問題の分析。メーカー側の実装ミスに起因する脆弱性の深層を論じる。
【編集部後記】
普段お使いのBluetoothイヤホンやヘッドフォン、何気なく接続していませんか?今回のWhisperPair脆弱性は、私たちが「便利」と感じていた機能の裏側に潜むリスクを浮き彫りにしました。
みなさんがお持ちのデバイスは今回の影響を受ける製品でしょうか。メーカーからファームウェアアップデートが提供されているか、一度確認してみる価値がありそうです。もし対象製品をお使いでしたら、どのように対処されますか?アップデートを待つのか、それとも別の選択肢を検討されるのか。
セキュリティとプライバシーの問題は、もはや専門家だけの関心事ではありません。日常の中で、私たち一人ひとりがどう向き合っていくべきか、一緒に考えていきたいですね。
