2018.4.19

「キーレス」の利便性とセキュリティリスク――自動車の盗難事情

この記事をシェア

交通系ICカードやBluetoothなど、現代社会において近距離無線通信技術は至る所で用いられている。特に、自動車の「キーレス」システムは利便性が高く、多くの人に受け入れられている。しかし、身近すぎるあまり、セキュリティにほとんど関心が持たれていないのが現状である。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

「キーレス」の自動車、バイク、玄関扉の利用者なら誰でも、鍵をポケットから取り出さなくても、近づけばロックが自動で解除されたり、車を始動させることができる利便性を実感しているに違いない。

キーレス機能の無線信号を傍聴して自動車を盗もうとする犯罪は、考え方としては決して新しいものではない。しかし、かつてはそうした犯罪を実際に映像で見ることはなかった。このたび英国のウエストミッドランド警察は、大胆な2人組の泥棒がメルセデスを盗み出した様子を捉えた監視カメラの映像を公開した。

セキュリティの専門家は繰り返し警告を発して、鍵と自動車との間の信号の送受信にはリスクが潜んでいることを指摘してきた。だが一般消費者にとってこうした考えは、依然としてなかなかなじみが薄い。技術に明るい犯罪者が自動車や家屋にアクセスするのは、まだ、ハリウッド映画の中だけのことと考えているのではないだろうか。

自動車メーカーは、部分的には、この問題に対応してきた。鍵が自動車から特定の距離以内になければ作動しなくしているのである。例えば、自動車を発進させるためには、鍵が車内になければならない。アンテナが鍵を読み取れる距離を制限することは、鍵の持ち主がそこにいることを意味し、そのため、アクセスを許可し始動させても安全だと言えるのだ。しかし、ビデオが示す通り、リレー（＝中継）機能が使われたとすれば、鍵が車内にあるかのように反応するのである。

それでは、攻撃は実際には、どのように行われるのか、また、実行するにはどのくらいの費用がかかるのか、考えてみよう。一見するとこの手口は複雑怪奇な技術の逆手を取っているかのようであるが、実際の手口は極めて単純である。家屋内にある鍵の近くで通信リレーを用い、伝送された信号を自動車近くでセカンドリレーして鍵がそこにあるかのようにだますのである。2011年には、スイスのチューリヒ工科大学コンピューター科学部から、およそ1万8，000円（225米ドル）で信号を伝送する方法の詳細について記した論文が公表されている。その後デバイスの価格は下がり、キーレスの信号を伝送する機器については、2017年の4月に公開された「ワイアード」誌の記事では、2,500円程度（22ドル）にまで落ちている。

映像で自動車泥棒がやってみせたように、鍵の近くにいるか（多くの人が鍵を玄関の近くに置いている）共犯者が自動車の近くにいるかの違いでしかない。泥棒はリレー機能によって信号を送信しドアが解錠されれば自動車も発進するだろうと考えるミスを一旦は犯しているようだが、映像に見られるように、自動車が鍵を読み取るためには、このプロセスを再度行えばよいのである。

キーレスシステムを搭載しているバイクの場合、歩み寄ってスタートボタンを押すだけで、発進できる。しかし制約もある。鍵は信号と電源の関係上、携帯電話と同じポケットに入れることが禁じられている。もしも携帯電話と鍵を同じポケットに入れておくと、バイクは鍵を認識できずに、鍵はバッテリーをすぐさま減らしてしまう。その際に鍵は、携帯電話がRFID（＝ICタグを使った近距離無線）チップを読み取ろうとしていると誤認し、リーダーのそばにあることを確認するために用意された「距離」データを操作する装置を起動する。そうしているうちに鍵のバッテリーが切れてしまい、バックアップシステムを使ってバイクを発進させなければならなくなる。

今ではRFIDを搭載したパスポートもある。電子パスポートチェックを通過できるようにしているこの技術は、今日のパスポートでは一般的である。加えて、非接触で支払いを可能にするクレジットカードもある。ほかにも、日常的に使用する身近な道具を見回してみれば、もっと見つけられるかもしれない。

例えば英国のパスポートはRFIDチップを搭載しており、特定の距離で読み取りが行える。小売店でパスポートをカウンターの上に置いたときに、カウンターの下にリーダーを置いておけば、情報が読み取られる。内容はもちろん暗号化されているが、やり手のサイバー犯罪者であれば、データを復号しようと試みるだろう。また、米国のパスポートを持っているのであれば、事情は異なってくる。RFIDチップは使われているものの、パスポートのカバーにシールドが施されており、データの読み取りはできなくなっている。

今日では幾つものRFIDデバイスを所持していても不思議ではない。車の鍵のように、デバイスが過度に共有されることもあるが、逆に、全く共有されたくない事例も発生しており、そのために所持しているデバイスを守るためのソリューションも生まれている。例えば、RFIDをブロックする財布がある。その財布を持っている限りクレジットカードは保護される。また、無線信号を遮断する素材を使ってコンテンツを守るパスポート用の財布やカバーもある。

認証機能を組み込んだ鍵はこのような財布で防護できるが、財布の中に新しい車の鍵を入れて隠すのに違和感を覚える人がいるかもしれない。よりシンプルで、かつ安価なやり方としては、自宅にいる間は、キャンディーなどの錫（すず）缶の中に自動車の鍵を置いておくことをお勧めする。導体で囲まれた「ファラデーケージ」（Faraday cage）を作りたい人は、その方法をここで見つけることができるだろう。