犯罪者であるクラッカーとホワイトハット（*1）の脆弱性研究者との間には根本的な違いがある。

*1　編集部注　善意を持ってシステムの欠陥や脆弱性を発見し、改善や質の向上に寄与する人物のことをホワイトハットと言う。逆に、不正に利用する人物をクラッカーまたはブラックハットと言う。

ホワイトハットが脆弱性を見つけた場合、それらを研究し、その欠陥によって何が生じるのかについて興味深い発表内容をまとめるだけではなく、そうした情報を必要としている人たちに伝えることにより、セキュリティホールは閉じられる。

他方、犯罪者は無理やり情報セキュリティの脆弱性をこじ開け、しかもベンダーにその脆弱性を伝えに行くこともない。むしろその代わりに、この脆弱性を使って何か悪事ができないかを思案する。そして、あくまでも潜在的にではあるが、システムをくまなく探り侵害するための無限の時間を持つことになるのだ。これは、大きな事件にもなり得るし、深刻なデータ漏えいに発展することもあることを意味している。

しかし、人の命が失われるよりも深刻な攻撃があり得るだろうか。

このことは、自動車のクラッキングについて調査する際に、気に留めておくべきことである。もしも侵害できる情報セキュリティの脆弱性そのものが存在していれば、自動車事故を起こす機会があるということであり、それは自動車の運転手や通行人を死亡させかねないのである。

2016年8月に「ブラックハットUSA」にて、有名な2人のセキュリティ研究者であるチャーリー・ミラー（Charlie Miller）とクリス・ヴァラセック（Chris Valasek）は、カーハッキングの世界における最新の発見を紹介した。

ミラーとヴァラセックは、すでに時速110キロ（＝70マイル）以上で混雑した高速道路を走行していたフィアットクライスラーのチェロキーをクラッキングしている。エンターテインメントシステム、エンジン、そしてブレーキの操作を妨害したことで一躍名が知られるようになった。

それよりも1年前の2015年に両者はすでに、自動車の脆弱な非接続のヘッドユニット（＝カーステレオのメイン部分）のゼロデイの脆弱性を突いていた。数日後それはトップニュースとなり、フィアットクライスラー社は安全を確保するために、140万台のリコールを宣言することとなった。

このときのクラッキングにおける最大の警告は、遠隔操作で行われたことだった。数キロ離れた場所からジープを乗っ取ったのだ。唯一の救いは、自動車の機能に対する最悪の干渉が、自動車が低速で走っているときにのみ可能だった、ということだ。

しかし、「ワイヤード」（Wired）紙が報告ける最新の発見したところによると、2016年のブラックハットの会合では、自動車の速度とは関係なく（つまり高速で走っていたとしても）、より危険な操作が可能であることが明らかとなったのだ。

「CAN-BUS」（*2）として知られる自動車の内部ネットワークに、精巧に作り込まれたメッセージを送信する。そうすると、これまで以上に危険な事態に陥らせることが可能となる。望んでいなくともアクセルやブレーキを急に踏ませたり、どんな速度ででもステアリングホイールを回転させたりできるのである。

*2　編集部注　CAN-BUS」は、自動車内のLAN(ローカルエリアネットワーク)のこと。「CAN」は「コントロールエリアネットワーク」の略、「BUS」は「伝送路」の意味。

リンク先のYouTube動画は、彼らが走行中の自動車のステアリング制御を奪えるということを示している。

以前にミラーとヴァラセックがフィアットクライスラーに情報公開したことにより、危険な攻撃はもはや遠隔では実現できないようになった。対象となる自動車に物理的な接触がなければならなくなったのである。

しかし、欠陥のそもそもの発見者がホワイトハッカーでなかったならば、セキュリティの脆弱性にパッチは当てられない。今や、それが不正な攻撃者であれば、自動車をクラッシュさせたり、遠隔から自動車事故を起こさせたりすることができるのだ。

ミラーとヴァラセックが発見したことは、十分に心配すべきことであるのは疑いない。どれだけ悪い状況になり得るかを考えると、身震いするほどの恐怖に襲われることだろう。そして、ほかの走行中の自動車が同様の欠陥を持っているかもしれないことを、誰が知ることができるだろうか。