消費者団体Which?はフォードとフォルクスワーゲンの2つのモデルの分析を委託した後、現代のコネクテッドカーにはセキュリティ上の脅威が潜んでいると述べた。
Which? が「欠陥は深刻」であると主張しているのはおそらく的外れだが、この調査では、CAN バスと車載インフォテインメント (IVI) を悪意のある人々から保護する強力なセキュリティ機能が欠如していることが浮き彫りになっている。
Context Information Security 社の研究者らは、2 台の自動車のインフォテインメント ユニットへの侵入に成功した。インフォテインメント ユニットとは、ダッシュボードに取り付けられたスクリーンで、自動車の情報から GPS ベースの移動地図、お気に入りのラジオ局や高速道路のプレイリストまで、あらゆるものが表示される。
「これらの車は多くのコネクテッド製品よりもハッキングが困難であることが判明したが、コンテキストの研究者は車のセキュリティ設計の弱点を見つけ、フォードの製造工場のWi-Fiパスワードと思われるものを特定することにも成功した」とコンテキストはWhich'sの声明とは別の声明で述べた。
調査対象となったフォードのモデルはフォーカス チタニウム オートマチック 1.0L ガソリン モデルであり、一方 VW はポロ SEL TSI マニュアル 1.0L で、これもガソリン エンジン モデルでした。
Contextは、「車体前面のVWバッジを持ち上げるとフロントレーダーモジュールにアクセスでき、ハッカーが衝突警告システムを改ざんできる可能性がある」ことを発見しました。つまり、悪意のある人物がレーダーセンサーを引き抜くことができるということです。
Car Hacking Village UKを運営するセキュリティ重視のネットワーク設計者、イアン・タボー氏はThe Registerに次のように語った。「ADASレーダーシステムの配線へのアクセスは、衝突警告システムに影響を与えるだけでなく、CANネットワークの分離方法によっては、車両のセキュリティを制御するCANネットワークへのアクセスを可能にする可能性があります。」
VWはテスラではなく、運転を支援する「オートパイロット」を搭載しているとは謳われていないため、レーダートランシーバーを無効にすると、安全性は、(ほぼ)運転に慣れた人間が前方を注意深く監視し、問題なく運転する旧型の車と同等のレベルまで低下します。しかしながら、時間と知識を持ち、標的のネットワーク(車)に物理的にアクセスできる犯罪者は、情報セキュリティ上の脅威として極めて現実的です。
小型飛行機をハッキング?はい、できますよ(バス)。飛行機に物理的に侵入し、配線にアクセスし、悪質なキットを接続すれば…
続きを読む
一方、コンテクストのチームはフォードのCANバスとそれに接続された機器も調査していた。フォードのIVIは「パワートレインを含む3つの別々のバスに接続」されており、研究者らは「エンジン制御へのアクセスが可能になる可能性がある」と述べている。
両車のワイヤレスキーロックシステムはリレー攻撃とリプレイ攻撃に対して脆弱だった。これは自動車窃盗犯が喜んで悪用するよく知られた問題であり、何年も前から知られている問題であるにもかかわらず、業界ではほとんど無視されてきた。
調査で検討されていないと思われる点について、タボル氏は「車両を常時追跡している可能性があるEUが義務付けたE-Callシステムについては何も言及されていない」とコメントした。
それでも、コンテキスト社は、おそらく工場でのテストで保存されたと思われるフォード工場の Wi-Fi パスワードに非常によく似たものが、その車の IVI に保存されていたことを明らかにした。
必然的に、「消費者の擁護者」を自称するWhich?は、CANバスのセキュリティに関する「規制」の強化を求め、「金銭面と人命両面におけるリスク」を軽減すると主張しました。Which?がどのようにその結論に至ったのかは不明で、その調査では安全上重要なシステムへの直接的な干渉については一切言及されていません。せいぜい、タイヤ空気圧センサーがパンクしたタイヤが完全に空気で満たされたことを検知できる可能性を示唆する程度でした。
エル・レグ氏は、ほとんどのドライバーは、タイヤが1本以上パンクしていたり、ホイールの縁に乗り上げているかどうかに気付くだろうと示唆するが、コメント欄には警察だ!カメラだ!アクションだ!という動画が殺到し、私たちの誤りを証明しようとするだろうことは重々承知している。
これまで自動車を対象とした情報セキュリティ研究でも、長年にわたって同様の結果が出ています。
それでもなお、Which?はセキュリティ業界にも自動車業界にもあまり気に入られなかったようだ。VWはITVに対し、IVIへの侵入によって安全上重要なシステムが制御される可能性を否定し、フォードはWhich?の報告書の受け取りを一切拒否したと報じられている。®
カルノート
自動車ハッカーのTabor氏は、思慮深く、コネクテッドカーのセキュリティに関するとっておきのヒントを教えてくれました。
- 車両 IVI からデータを消去すると、フロントエンドからのデータのみが削除され、車両の内部データベースにデータが残っている可能性があります。
- 車を売却する際には、アクセス権限を取り消してください。そのためには、メーカーのウェブサイトを経由する必要があるかもしれません。また、次のユーザーやメーカーがデータにアクセスできないように、ウェブサイトからデータを削除することもできます。
- 中古車の再販業者は、その再販業者が大手ディーラー、オークション、小規模な再販業者、または個人販売者であるかどうかにかかわらず、前の所有者がデータを削除したかどうかを確認する必要があります。
- レンタルまたはリースする場合は、送信されるデータと、後で車から消去するためにデータにアクセスする方法を確認せずに、車を Bluetooth デバイスに接続しないでください。
- 車のGPSに自宅や職場の住所を絶対に設定しないでください。鍵を紛失したり、犯人が鍵を盗んで車も盗んだ場合、犯人はあなたの自宅や職場を特定し、その後の窃盗に利用する可能性があります。
- 物理的なセキュリティが心配な場合は、オンボード診断 2 (OBD2) ポートで追跡デバイスを確認してください。
