フィアット・クライスラーが自社の自動車に重大なサイバーセキュリティの穴があることを知っていたにもかかわらず、修正しなかったと主張する集団訴訟が、今年後半にアメリカで裁判にかけられる予定だ。
今週、米国最高裁判所は、2015年にセキュリティ研究者らが、エンターテイメント ソフトウェアの不適切なコーディングのせいでジープの運行を乗っ取ることができたと暴露したことを受けて起こされた訴訟に対する同社の控訴 [PDF] の審理を却下した。
それ以来、訴訟は法廷で争われており、原告側はフィアット・クライスラー社が3年間もこの問題を知っていたにもかかわらず解決しなかったと主張し、一方、自動車会社は車の所有者の誰もその穴によって直接影響を受けていないので訴訟を起こす権利はないと主張している。
ジープのオーナーたちは、セキュリティリスクを知っていたらそもそもこの車を購入しなかったと主張し、今回の騒動で車の再販価格が大幅に下落したと主張している。彼らは影響を受けた車1台につき5万ドルの損害賠償を求めている。
このケースは、セキュリティ研究者によってセキュリティホールが明らかにされた直後にフィアット・クライスラーが修正したという点で、やや異例である。クリス・ヴァラセク氏とチャーリー・ミラー氏は、フィアット・クライスラーのuConnectソフトウェアのセキュリティホールを悪用することで、一部の車両のエンジン管理システムを無線で制御できることを発見した。uConnectは、車両と車内のWi-Fiを携帯電話ネットワーク経由で公衆インターネットに接続し、移動中にインターネットに接続できるようにするソフトウェアである。
その能力は、研究者たちがジープに技術記者を乗せ、運転中に車を乗っ取るという劇的な実験によって実証されました。その後Wired誌に掲載された記事は、現代のネットワーク接続車に伴う潜在的なリスクに何百万人もの自動車所有者の目を覚まさせ、クライスラーはソフトウェアのアップグレードと脆弱性の修正のため、140万台の車両をリコールしました。
この訴訟はフィアット・クライスラーの米国子会社とuConnectソフトウェアの製造元に対して起こされ、その後すぐに起こったが、顧客に直接影響が及ばない場合でも、製品のセキュリティ確保を怠ったとして企業が責任を問われる可能性があるため、注目されている。
もっと問題
1年後、同じ研究者らがソフトウェアアップデートを回避する方法を発見したが、そのためには車への物理的なアクセスが必要だったため、消費者はそれほど不安を感じなかった。
しかしその後、フィアット・クライスラーは度々、さらに恥ずべきサイバーセキュリティインシデントに巻き込まれてきました。2015年9月にはソフトウェアの欠陥によりSUV8,000台をリコールし、昨年5月には、クルーズコントロールをロックする可能性のあるソフトウェアのバグを修正するため、米国で480万台もの車両をリコールしました。また、別のソフトウェアについても司法省の捜査を受けました。今回は排ガス試験を不正に通過させるためのものでした。
フィアット・クライスラーは、車のセキュリティバグに1,500ドル、もしくは年間利益2分を約束する。
続きを読む
つまり、サイバーセキュリティに関してはフィアット・クライスラーにとってここ数年は良い状況ではなかったが、今週最高裁判所が同社の控訴を却下した決定は、その苦境をさらに深めることになるだけだ。
この訴訟が実際に裁判に進んだ場合(裁判は3月に開始される予定だったが、スケジュールの問題で10月に延期された)、自動車メーカーが自社車両の安全性について正確に何を知っていて何を知らなかったのか、そしてそれに対してどのような対応をしたのかについて、より詳しい情報が明らかになると思われる。
当初の問題を特定した2人の研究者は、Black Hatで記者団に対し、自動車メーカーにセキュリティ状況を報告したものの、ほとんど反応がなかったと語った。2人がこの問題に関する講演を行う予定を発表して初めて、自動車メーカーはこの問題への対応に乗り出した。
これまでの出来事から判断すると、猛スピードで飛ぶ金属製の箱がハッカーを待ち受ける死の罠ではなく、素晴らしい個人輸送手段であると人々に信頼してもらうことを期待している企業にとって、これらの詳細は非常に恥ずかしいものとなる可能性がある。
フィアット・クライスラーは、訴訟の提起を楽しみにしていると述べた。「この訴訟に参加している20万人以上の原告団員のうち、車両がハッキングされた経験のある者は一人もいません。また、NHTSA(連邦運輸省道路交通安全局)の連邦安全規制当局は、FCA USが原告が提起した問題を完全に修正したと判断しています」と声明で述べた。®
