アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。
日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側から他人の車を操作する実証ビデオも公開している。
セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。
詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、個々の車に割り当てられている車両識別番号(VIN)の下5ケタさえ分かれば、他人のリーフを制御できてしまうことが判明。VINを列挙する方法で、反応があった車両をコントロールできることが分かった。
ハント氏はこの問題を検証するため、知人のセキュリティ研究者でリーフを保有しているスコット・ヘルム氏の協力を得て、ハント氏がオーストラリアからインターネット経由で、英国にいるヘルム氏のリーフを操作する実験を行った。
実験ではハント氏の操作でヘルム氏のリーフのエアコンやファンを作動させることに成功。リーフの走行日時や距離などの運転履歴も取得できた。両氏はこの実験の様子をビデオに収めてブログで公開している。
ハント氏はこの問題を1月23日に日産に報告し、電話やメールで連絡を取り合っていた。ところが2月20日にカナダから届いたメールで、同じ問題が別の人物によって発見されていたことが発覚し、ネット上で公に論議されていることも分かった。このため日産に連絡した上で、24日にブログでの公開に踏み切ったと説明している。
つながるクルマのハッキングについては、セキュリティ研究者のチャーリー・ミラー氏らが2015年にFiat Chryslerの「Jeep Cherokee」で実証している(関連記事)。ハント氏は今回の実験をこれと比較して、リーフではJeepの時のような運転制御はできないものの、他人の車へのアクセスはずっと容易だと指摘した。「自動車メーカーは競って『モノのインターネット』の熱狂に飛びついているが、セキュリティが後手に回ったり、指摘されてから『真剣に検討している』と説明するようなものであってはならない」と警鐘を鳴らしている。
日産の広報は英BBCに対し、「『NissanConnect EV』アプリに関連したデータ問題については認識している」としながらも、「車の運行や安全性にはいかなる影響もない」と強調し、問題の修正に向けた対応を進めていることを明らかにした。
Copyright © ITmedia, Inc. All Rights Reserved.