Cyber Security Intelligence Vox

RocketBoysは『中国のメーカー Espressif によって製造され、2023年時点で 10億台以上 のデバイスに使用されている ESP32マイクロチップ に、攻撃に悪用される可能性のある文書化されていないコマンドによる隠し機能が含まれていることが判明しました』と報道した。

報道では『このコマンドを使用すると、デバイスのなりすまし、不正なデータアクセス、ネットワーク内の他のデバイスへのピボット攻撃、および長期的な持続的攻撃が確立する可能性があります。』と報じた。

「10億台以上 のデバイスに使用されている」という点がトピックです。また、隠し機能の悪用によりかなりの影響が懸念されています。例えば、ネットワーク内の他のデバイスへのピボット攻撃ということは、会社で利用していた場合に、周辺の接続機器に対して脆弱性を突いた攻撃が可能となってしまうことになります。

特に地政学的な意味でも、中国のメーカーという点がトピックとなっていると思います。ファーウェイの通信機器が排除された様に、中国政府にデータが抜き取られる懸念があるわけです。

現時点では対応方法が明確になっておらず、脆弱性としてトレース（CVE-2025-27840）されるので、今後もウォッチが必要です。

https://rocket-boys.co.jp/security-measures-lab/china-bluetooth-chip-hidden-feature-1b-devices/

10億台のデバイスで使用される中国 メーカー製 Bluetoothチップに文書化されていない隠し機能を発見

https://nvd.nist.gov/vuln/detail/CVE-2025-27840

CVE-2025-27840 Detail