土曜日のDEF CON 30で、Sick Codesというハンドルネームを持つオーストラリア人が、ジョン・ディア社の農業機械の電子機器を完全に制御して一人称視点シューティングゲーム「Doom」を動作させる方法を披露した。
Sick Codes は、かなり複雑なハードウェア ハッキングと、Twitter で Skelegant として知られているニュージーランドを拠点とする Doom MOD 制作者の協力を得て、1993 年のクラシック コンピュータ ゲームのトウモロコシをテーマにしたバージョンを John Deere トラクター ディスプレイで実行することに成功しました。
Doom を実行している John Deere ハードウェアのスナップ... クリックして拡大
Sick Codes 氏はThe Registerとの電話インタビューで、自身の取り組みはエクスプロイトというよりは脱獄に近いものだと述べた。
Sick Codesによると、このプロジェクトの開発には数ヶ月を要した。ターゲットは、Wind River Linux 8を搭載したArm互換のNXP I.MX 6システムオンチップを搭載したジョンディア・トラクター4240のタッチスクリーンコントローラーだった。Windows CEを搭載したデバイスもあった。
ハッキングは、コントローラーの内部に入り込み、彼のコードを実行できるように電子回路を改造することで行われました。そして、自分のソフトウェアを機器にインストールできれば、それをそのまま受け入れて実行できることが判明しました。
「主なバグは、何も暗号化されていない、チェックサムが適切に計算されていない、などといったことだ」とシック氏は説明し、この弱点を修正するのは現実的ではないと付け加えた。
解決策は、適切なセキュリティを備えた新しいデバイスを開発することだと彼は提案した。ファームウェアのコードもすべてルート権限で実行されるとのことだ。
@defcon で John Deere トラクター展示 (ジェイルブレイク/ルート化) で Doom をプレイ中 pic.twitter.com/ih0QUTGNuS
— Sick.Codes (@sickcodes) 2022年8月14日
Sick Codes氏は2021年のDEF CON 29で関連セッションを主宰し、農業機械の探究に興味を持ったのは、他に誰もそうしていなかったからだと語った。
しかし、ジョンディア社は複数の脆弱性を公表した後、それらを修正し、ユーザーがセキュリティ上の弱点を利用して機械をカスタマイズしたり、問題を修復したりすることを阻止しました。シック・コーズ氏によると、同社がシステムのセキュリティホールを塞ぐのに協力したことに憤慨した人々から連絡があったとのことです。「別の角度から見ると、これは修理の権利を侵害するようなものかもしれません」と彼は説明しました。
そこで今年は、基礎となるハードウェアに焦点を当て、食品サプライチェーンの脆弱性を示すことにしたと彼は語った。
重要なのは、ジョンディア社がソフトウェアレベルのブロックを導入し、正規ディーラーのみがこれらの作業を実行できるようにしているため、この脱獄によってトラクターやその他の農機具を自由に修理・アップデートしたい人にとって、この脱獄は画期的な出来事となる可能性があるということです。この脱獄によって、農家はこれらのロックを回避できるようになるかもしれません。
ドゥー、ディア
修理ウェブサイトiFixitのCEOであり、修理する権利の擁護者でもあるカイル・ウィーンズ氏がプレゼンテーションに出席し、Twitterのスレッドでその体験を語った。
「シック・コードスはジョン・ディアをジェイルブレイクしたが、これはほんの始まりに過ぎない」と彼は書いた。「私たちの食品システム全体が、LTEモデムを搭載した、時代遅れでパッチ未適用のLinuxとWindows CEハードウェアで構築されていることが判明した。」
ウィーンズ氏は、トラクターキットの妥協案が、コンピューター制御の農業機器をユーザーがより利用しやすくなることに役立つだろうと示唆した。
「ジョンディアは、農家が自らの機械を修理できるとは考えられないと、規制当局に繰り返し伝えてきました」とウィーンズ氏は述べた。「この基礎的な取り組みは、農家が自ら所有する機械を再び管理できるようになる道を開くでしょう。」
また、ジョン・ディア社がソースコード開示義務を果たさずに GPL コードを自社製品に組み込んでいることが明らかになったことから、同氏はジョン・ディア社が GPL の条項に従っているかどうかについても疑問を呈した。
- ロシアがウクライナから機械を盗んだ後、ジョンディアのトラクターが「壊れる」
- ランサムウェアが農業機械大手AGCOを襲撃
- ディア社は修理に必要なソフトウェアとデータを提供しないと監視団体に報告
- プーチン大統領、対抗制裁命令でサプライチェーンを脅迫
シック・コードズ氏は、ジョン・ディア社がGPLの義務を遵守していないと考えていることを認めた。「彼らが前に出て、どのように遵守しているのかを説明してくれることを期待しています」と彼は述べた。
作家であり活動家でもあるコリー・ドクトロウ氏によると、オープンソースライセンス問題に関して法的強制力を持つ組織は、ジョン・ディア社の不遵守疑惑をすでに認識しているという。
ジョンディアは長年にわたり、修理権擁護派の不満の種となってきました。彼らは、製品所有者が購入した機器の修理を阻止するために、今や当たり前のように使用されているデジタルセキュリティ対策に反対しています。しかしながら、最近、修理権擁護法案は米国の複数の州で進展を見せ、バイデン政権もこれを支持しました。欧州連合(EU)と英国も、製品購入者の修理権保護に強い関心を示しています。
1月には、ジョン・ディア社に対し、修理制限をめぐりイリノイ州とアラバマ州でそれぞれ2件の訴訟が提起された。翌月、下院と上院の議員らは、修理を受ける権利を保証するための法案をそれぞれ提出した。
そして3月、ジョンディア社が機器の修理に必要なソフトウェアと技術データの提供を拒否したことについて12の擁護団体がFTCに苦情を申し立ててから2週間後、同社はこれまで制限されていた技術リソースを顧客と独立系修理工場に提供すると発表した。
レジスター紙はジョン・ディアにコメントを求めたが、回答は得られていない。®
