Teslaにセキュリティ問題？ パスワード流出で不正操作の恐れも

パスワードを盗まれて制御用アプリを不正利用されれば、車の場所を特定されたり、ロックを解除されたりする恐れがあるという。

[鈴木聖子，ITmedia]

　米Tesla Motorsの電気自動車「TeslaモデルS」のシステムにはさまざまなセキュリティ上の弱点があり、パスワードを盗まれて制御用アプリを不正利用されれば、車の場所を特定されたり、ロックを解除されたりする恐れがある――。セキュリティ研究者がそんな問題を指摘し、Teslaやオーナーに対策を促している。

　この問題は、セキュリティ研究者のニテシュ・ダーンジャニ氏が3月28日のブログで指摘した。同氏によると、TeslaモデルSは注文の際に、TeslaのWebサイトでアカウントを登録して、6文字のパスワードを設定する必要がある。届いた車はiOSアプリを使って場所を特定したり、ロックを解除したりできる仕組みだ。

　ところがこのWebサイトには、ログインに失敗した場合にアカウントがロックされる仕組みがなく、パスワードの総当たりを試みるブルートフォース攻撃でパスワードを盗まれる恐れがあるという。盗んだパスワードを使ってアカウントに侵入されれば、iOSアプリの機能にアクセスされる恐れがある。

セキュリティ研究者が問題を指摘したTeslaのWebサイト

　ブルートフォース攻撃以外にも、フィッシング詐欺やマルウェア攻撃などによってパスワードが流出すれば、同様の問題が発生する。

　ダーンジャニ氏はさらに、同iOSアプリ向けのREST APIに関する問題も指摘している。このREST APIが不正なサードパーティーアプリに利用されたり、サードパーティーアプリのセキュリティ対策の不備を突かれたりすれば、Teslaアカウントのパスワードが盗まれて遠隔操作機能を悪用される恐れがあるという。

　車をはじめとする「モノのインターネット」のセキュリティ問題は、物理的な影響を生じさせかねないと同氏は危惧。「Teslaなどの自動車オーナーは物理的な安全を守る手段として情報セキュリティへの依存を強めているが、過去に静的パスワードと信頼できるネットワークに基づいてワークステーションを守って来たような用法では、車を守ることはできない」と警鐘を鳴らしている。