つながるクルマ、自動運転車に潜む脆弱性 不正な遠隔操作でロック解除や始動も：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　米ラスベガスで2023年もCESが開幕した。このところCESといえば、クルマが話題の中心になることが増えた。しかもクルマそのものではなく、自動運転やつながるクルマなどの技術に注目が集まる。だがそうしたメーカー各社の車に使われているシステムに、数多くの脆弱性が潜んでいる実態が明らかになった。

　脆弱性を発見したのはWebアプリケーションセキュリティ研究者サム・カリー氏のチーム。数カ月かけて調べた結果、車の移動体通信システムやAPI、さらにはそれを支えるインフラの脆弱性が次々に見つかったという。その影響はホンダや日産、トヨタ、さらにはFerrari、BMW、Rolls Royce、Porscheといった高級車にも及んでいた。

　カリー氏のブログによると、今回の研究に乗り出したきっかけは、同氏がたまたま立ち寄ったメリーランド大学のキャンパスで、停めてあった電動スクーターのモバイルアプリを出来心で「つつき回した」ことだった。その結果、そこにあった全てのスクーターのクラクションとライトを点灯させることができてしまったという。

カリー氏のブログ記事

　そこで興味を持って調査したところ「過去5年の間に製造した自動車は、ほぼ全てがほとんど同じ機能を搭載していることに気付いた」とカリー氏は言う。「もし攻撃者が車両テレマティクスシステムに使われているAPIエンドポイントの脆弱性を発見すれば、クラクションを鳴らしたり、ライトを点灯させたり、遠隔追跡、ロックとロック解除、車両の始動・停止といった操作が完全な遠隔制御でできてしまう」

研究チームが実証　結果は？

　実際に研究チームは、各社の車にそうした脆弱性を発見し、実証していった。

　例えばBMWとRolls Royceのシステムでは、シングルサインオン（SSO）の設定ミスが原因で、アカウントを完全に制御できてしまう脆弱性が見つかった。また、Mercedes-Benzは不適切なSSOの設定を突いて、車両に関係したAPIなど社内のミッションクリティカルなアプリケーションに不正アクセスすることが可能だった。

　こうした問題を悪用されれば、アカウントを改ざんされたり、ディーラー情報や車の持ち主の個人情報が流出したり、居場所を特定されたりする恐れもあった。

　警察や救急などの緊急車両に重大な影響を与えかねない脆弱性も見つかった。GPSを使って車両を管理・追跡する米Spireonのシステムは、1500万台以上の「つながるクルマ」に使われているとされる。ところがこのシステムにはSQLインジェクションなどの脆弱性が存在していて、攻撃者が任意のコマンドを送信すれば、パトカーや救急車、業務用車両などを乗っ取ることが可能だったという。

　Porscheは車の位置情報特定やコマンド送信、顧客情報の漏えいに利用される恐れのあるテレマティクスサービスの脆弱性が発覚。トヨタは自動車ローンに関連して顧客の個人情報流出につながりかねないアクセス制御関連の脆弱性の報告が上がっている。

　HyundaiとGenesisの車については、遠隔操作でエンジンやクラクション、ヘッドライト、トランクなどを操作できてしまう脆弱性があることが分かった。ホンダ、Acura、日産、Infinitiといったブランドのクルマでは、車両識別番号（VIN）さえ分かれば、遠隔操作でロックの解除、始動、位置の特定、ライトやクラクションの点灯ができる脆弱性が見つかった。

　なお、今回見つかった脆弱性はそれぞれのメーカーが報告を受けて修正を済ませており、既に悪用はできなくなっているという。しかし同じような脆弱性が今後も発覚し、悪用される危険は常に存在する。この研究は、そうした問題に対する効果的・継続的な対策の必要性を見せつけた。