三菱「アウトランダー」のモバイルアプリにセキュリティ問題 盗難警報の解除も

セキュリティ問題を突いて車のライトやエアコンを付けたり盗難警報を解除したりできてしまうことが判明。実証映像も公開された。

[鈴木聖子，ITmedia]

　セキュリティ企業のPen Test Partnersは6月5日、三菱自動車のハイブリッドSUV「アウトランダー」をモバイルアプリで遠隔操作できる機能に関し、セキュリティ問題を突いて車のライトやエアコンを付けたり盗難警報を解除したりできてしまうことが分かったと伝えた。

　英BBCは、研究者がこの問題を再現する実証映像を公開。三菱自動車が調査する間、無線LAN機能を無効にするようユーザーに促していると伝えた。

　Pen Test Partnersのブログによると、一般的な遠隔操作アプリはメーカーのWebサービスを使ってGSM経由で車載モジュールに接続しているのに対し、アウトランダーのモバイルアプリ「アウトランダーPHEV」の場合は同車に搭載されている無線LANアクセスポイントに接続して利用する。

アウトランダーのモバイルアプリ「アウトランダーPHEV」

　しかしオーナーズマニュアルに記載されている無線LANの事前共有鍵は「あまりにも単純であまりにも短い」ことから、4日足らずで破ることができたと研究者は説明。この期間はもっと短縮することも可能だとした。

　この問題を悪用すれば、ライトやエアコンを付けたり消したり、バッテリーを消耗させたりもできるという。さらには盗難警報を無効にできることも実証した。

　当面の対策としてPen Test Partnersでは、モバイル端末と車のアクセスポイントとの接続を解除することを勧告している。まずモバイルアプリを車に接続した上で、アプリの「設定」から「車台番号登録解除」を選択すると、車両との登録が解除される。「これでモバイルアプリは使えなくなるが、少なくともセキュリティ問題は修正される」（Pen Test Partners）

Pen Test Partnersによる検証の様子

　長期的には「三菱自動車がWi-Fiアクセスポイントとクライアントの接続方法を完全に設計し直す必要がある。BMWの『Connected Drive』のようなGSMモジュールやWebサービス方式の方が長期的にはずっといい。『リコール』のような言葉も心に浮かぶ」とした。

　Pen Test Partnersは当初、非公開で三菱自動車に接触しようとしたものの、同社が関心を示さなかったとも伝えた。そこで英BBCを巻き込んだところ、それ以降は三菱自動車も深刻に受け止めるようになったといい、中期的な対策としてファームウェアでの対応を表明しているという。

　車の遠隔操作アプリを巡っては過去に日産の「リーフ」も問題を指摘されたほか、Fiat Chryslerの「Jeep Cherokee」などのハッキング実証実験も公開されている。