つながるクルマ、自動運転車に潜む脆弱性 不正な遠隔操作でロック解除や始動も:この頃、セキュリティ界隈で
米ラスベガスで開幕したCESでは、クルマが話題の中心になることが増えた。クルマ本体だけでなく、自動運転やつながるクルマなどの技術に注目が集まる一方、メーカー各社のシステムに、数多くの脆弱性が潜んでいる実態が明らかになっている。
米ラスベガスで2023年もCESが開幕した。このところCESといえば、クルマが話題の中心になることが増えた。しかもクルマそのものではなく、自動運転やつながるクルマなどの技術に注目が集まる。だがそうしたメーカー各社の車に使われているシステムに、数多くの脆弱性が潜んでいる実態が明らかになった。
脆弱性を発見したのはWebアプリケーションセキュリティ研究者サム・カリー氏のチーム。数カ月かけて調べた結果、車の移動体通信システムやAPI、さらにはそれを支えるインフラの脆弱性が次々に見つかったという。その影響はホンダや日産、トヨタ、さらにはFerrari、BMW、Rolls Royce、Porscheといった高級車にも及んでいた。
カリー氏のブログによると、今回の研究に乗り出したきっかけは、同氏がたまたま立ち寄ったメリーランド大学のキャンパスで、停めてあった電動スクーターのモバイルアプリを出来心で「つつき回した」ことだった。その結果、そこにあった全てのスクーターのクラクションとライトを点灯させることができてしまったという。
そこで興味を持って調査したところ「過去5年の間に製造した自動車は、ほぼ全てがほとんど同じ機能を搭載していることに気付いた」とカリー氏は言う。「もし攻撃者が車両テレマティクスシステムに使われているAPIエンドポイントの脆弱性を発見すれば、クラクションを鳴らしたり、ライトを点灯させたり、遠隔追跡、ロックとロック解除、車両の始動・停止といった操作が完全な遠隔制御でできてしまう」
研究チームが実証 結果は?
実際に研究チームは、各社の車にそうした脆弱性を発見し、実証していった。
例えばBMWとRolls Royceのシステムでは、シングルサインオン(SSO)の設定ミスが原因で、アカウントを完全に制御できてしまう脆弱性が見つかった。また、Mercedes-Benzは不適切なSSOの設定を突いて、車両に関係したAPIなど社内のミッションクリティカルなアプリケーションに不正アクセスすることが可能だった。
こうした問題を悪用されれば、アカウントを改ざんされたり、ディーラー情報や車の持ち主の個人情報が流出したり、居場所を特定されたりする恐れもあった。
警察や救急などの緊急車両に重大な影響を与えかねない脆弱性も見つかった。GPSを使って車両を管理・追跡する米Spireonのシステムは、1500万台以上の「つながるクルマ」に使われているとされる。ところがこのシステムにはSQLインジェクションなどの脆弱性が存在していて、攻撃者が任意のコマンドを送信すれば、パトカーや救急車、業務用車両などを乗っ取ることが可能だったという。
Porscheは車の位置情報特定やコマンド送信、顧客情報の漏えいに利用される恐れのあるテレマティクスサービスの脆弱性が発覚。トヨタは自動車ローンに関連して顧客の個人情報流出につながりかねないアクセス制御関連の脆弱性の報告が上がっている。
HyundaiとGenesisの車については、遠隔操作でエンジンやクラクション、ヘッドライト、トランクなどを操作できてしまう脆弱性があることが分かった。ホンダ、Acura、日産、Infinitiといったブランドのクルマでは、車両識別番号(VIN)さえ分かれば、遠隔操作でロックの解除、始動、位置の特定、ライトやクラクションの点灯ができる脆弱性が見つかった。
なお、今回見つかった脆弱性はそれぞれのメーカーが報告を受けて修正を済ませており、既に悪用はできなくなっているという。しかし同じような脆弱性が今後も発覚し、悪用される危険は常に存在する。この研究は、そうした問題に対する効果的・継続的な対策の必要性を見せつけた。
関連記事
- 自動運転車に「存在しないものを見せる」サイバー攻撃 レーザー照射で事故誘発 中国の研究チームが発表
中国の浙江大学に所属する研究者らは、レーザー光を自動運転車のLiDARに照射し、敵対的な点群を注入することで3次元物体検出を欺く攻撃を提案した研究報告を発表した。 - 自動運転車の視界から“人だけ”を消す攻撃 偽情報をLiDARに注入 電通大などが発表
米ミシガン大学、米フロリダ大学、電気通信大学による研究チームは、自動運転車の周囲を検知するセンサーにレーザー光を物理的に照射して、選択的に障害物を見えなくする攻撃を提案した研究報告を発表した。 - 道路脇にごみ箱があると自動運転車が間違って止まる? 米国の研究者らが検証
米カリフォルニア大学アーバイン校と米カリフォルニア大学ロサンゼルス校の研究チームは、自動運転車において、道路脇に置かれた物に反応し停止してしまうかを検証した論文を発表した。 - 「赤信号」を「青信号」だと錯覚させる自動運転車へのサイバー攻撃 中国などの研究チームが脆弱性指摘
中国の浙江大学、香港中文大学、米シカゴ大学による研究チームは、自動運転車に搭載されるカメラをレーザー光で攻撃し、信号機の認識を錯覚させる方法を実証し、脆弱性を指摘した論文を発表した。 - 自動運転車へのサイバー攻撃、米国の研究チームが実証 レーザー銃で「偽物の車が前から突っ込んでくる」錯覚攻撃
米デューク大学と米ミシガン大学の研究チームは、自動運転車のセンサーをだまして、周囲の物体が検出距離よりも近い(または遠い)と信じ込ませる攻撃に成功し、搭載するカメラやセンサーの脆弱性を実証した。
Copyright © ITmedia, Inc. All Rights Reserved.