三菱「アウトランダー」のモバイルアプリにセキュリティ問題 盗難警報の解除も
セキュリティ問題を突いて車のライトやエアコンを付けたり盗難警報を解除したりできてしまうことが判明。実証映像も公開された。
セキュリティ企業のPen Test Partnersは6月5日、三菱自動車のハイブリッドSUV「アウトランダー」をモバイルアプリで遠隔操作できる機能に関し、セキュリティ問題を突いて車のライトやエアコンを付けたり盗難警報を解除したりできてしまうことが分かったと伝えた。
英BBCは、研究者がこの問題を再現する実証映像を公開。三菱自動車が調査する間、無線LAN機能を無効にするようユーザーに促していると伝えた。
Pen Test Partnersのブログによると、一般的な遠隔操作アプリはメーカーのWebサービスを使ってGSM経由で車載モジュールに接続しているのに対し、アウトランダーのモバイルアプリ「アウトランダーPHEV」の場合は同車に搭載されている無線LANアクセスポイントに接続して利用する。
しかしオーナーズマニュアルに記載されている無線LANの事前共有鍵は「あまりにも単純であまりにも短い」ことから、4日足らずで破ることができたと研究者は説明。この期間はもっと短縮することも可能だとした。
この問題を悪用すれば、ライトやエアコンを付けたり消したり、バッテリーを消耗させたりもできるという。さらには盗難警報を無効にできることも実証した。
当面の対策としてPen Test Partnersでは、モバイル端末と車のアクセスポイントとの接続を解除することを勧告している。まずモバイルアプリを車に接続した上で、アプリの「設定」から「車台番号登録解除」を選択すると、車両との登録が解除される。「これでモバイルアプリは使えなくなるが、少なくともセキュリティ問題は修正される」(Pen Test Partners)
長期的には「三菱自動車がWi-Fiアクセスポイントとクライアントの接続方法を完全に設計し直す必要がある。BMWの『Connected Drive』のようなGSMモジュールやWebサービス方式の方が長期的にはずっといい。『リコール』のような言葉も心に浮かぶ」とした。
Pen Test Partnersは当初、非公開で三菱自動車に接触しようとしたものの、同社が関心を示さなかったとも伝えた。そこで英BBCを巻き込んだところ、それ以降は三菱自動車も深刻に受け止めるようになったといい、中期的な対策としてファームウェアでの対応を表明しているという。
車の遠隔操作アプリを巡っては過去に日産の「リーフ」も問題を指摘されたほか、Fiat Chryslerの「Jeep Cherokee」などのハッキング実証実験も公開されている。
関連記事
- 日産「リーフ」のアプリに脆弱性、他人の車を遠隔操作可能に
アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 - 走行中のJeepを乗っ取り操作、セキュリティ研究者が実証実験
セキュリティ研究者が走行中の自動車を乗っ取ってアクセルやブレーキを無線で遠隔操作する実験を披露した。 - Chrysler、車の遠隔操作問題で140万台のリコール発表
「Jeep Cherokee」を無線で遠隔操作できてしまう問題が発覚したことを受け、FCAが米国で約140万台のリコールを発表した。 - Teslaにセキュリティ問題? パスワード流出で不正操作の恐れも
パスワードを盗まれて制御用アプリを不正利用されれば、車の場所を特定されたり、ロックを解除されたりする恐れがあるという。 - ブレーキもハンドルも利かない――自動車ハッキングを実証
米誌Forbesの記者が乗った車の後部座席でセキュリティ研究者がコンピュータを操作すると、走行中に急ブレーキがかかり、パワステも利かなくなった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.