つながるクルマのセキュリティ問題、米FBIも注意喚起
「消費者やメーカーは潜在的脅威を認識し、攻撃者に遠隔操作で脆弱性を悪用される可能性があることを認識しなければならない」とFBI。
車載ソフトウェアや連動アプリの脆弱性を突いて車を他人に遠隔操作される事例が相次いで報告されたことを受け、米連邦捜査局(FBI)と運輸省高速道路交通安全局(NHTSA)は3月17日、「つながるクルマ」のリスクについて認識を高めるよう消費者とメーカーに呼び掛けた。
この問題では2015年7月、Fiat Chrysler Automobiles(FCA)の「Jeep Cherokee」を無線で遠隔操作できてしまうことをセキュリティ研究者が実証。2016年2月には日産自動車「リーフ」の専用アプリに、他人の車のエアコンなどを遠隔操作できてしまう脆弱性があることが分かった。
こうした問題についてFBIは、「自動車の接続性が高まる中で、消費者やメーカーは潜在的脅威を認識し、攻撃者に遠隔操作で脆弱性を悪用される可能性があることを認識しなければならない」と指摘。自動車や自動車部品、アフターマーケット製品のメーカーに対応を呼び掛けるとともに、消費者もリスクを最低限に抑えるため、適切な措置を取る必要があるとした。
これまでに発覚した脆弱性については、メーカーがリコールを実施してソフトウェアを更新するなどの対応を講じてきた。消費者側は、メーカーからそうしたソフトウェアの更新通知を受け取ったら、通知の信憑性を確認したうえで、自分の車のシステムが最新の状態にあるかどうかを確認する必要があるとFBIは助言する。
ただし犯罪者がそうした通知を装ってユーザーをだまし、不正なリンクをクリックさせるなどの手口でマルウェアに感染させようとする可能性もあるとした。
また、車載ソフトウェアに手を加えることや、サードパーティーデバイスを自分の車に接続することに対しても注意を促している。
自動車メーカーはこうした車のサイバーセキュリティ問題への対応を目的とした業界団体Information Sharing and Analysis Center(ISAC)を設立し、情報の共有と分析に当たる。
関連記事
- つながるクルマ、ソフト更新もスマホのように――調査会社が予測
2022年までにソフトウェアをOTA(Over The Air)で更新できる車は1億8000万台、ファームウェアをOTAで更新できる車は2200万台が出荷されるとABI Researchは予想する。 - 日産「リーフ」のアプリに脆弱性、他人の車を遠隔操作可能に
アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 - 走行中のJeepを乗っ取り操作、セキュリティ研究者が実証実験
セキュリティ研究者が走行中の自動車を乗っ取ってアクセルやブレーキを無線で遠隔操作する実験を披露した。 - 車載システムへの攻撃で自動車が制御不能に、研究者がセキュリティ問題を指摘
攻撃者が自動車の電子制御システムに侵入すれば、ブレーキを効かなくさせたり、逆にブレーキを強制して車を急停止させたりすることができてしまう。 - Intel、「つながる車」のセキュリティベストプラクティスを確立へ
ASRBではサイバー物理システムに詳しいセキュリティ専門家がテストや監査を行って、自動車業界向けのベストプラクティスや推奨設計をまとめる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.