自動車の脆弱性をサイバー犯罪者は見逃さない

この記事をシェア

ロボットタクシーや自動運転などIoT化する自動車が話題になっている昨今、当然のように自動車へのサイバー攻撃も起こり始めている。だが今のところ、製造する側も運転する側もセキュリティ意識がそれほど高くはない。注意が必要なのは、パソコンやスマートフォンだけではない。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものである。

自動車の脆弱性をサイバー犯罪者は見逃さない

2016年3月、米連邦捜査局(FBI)は自動車の運転者に警告を発する声明を公表した。その声明によれば、自動車はサイバー攻撃に対して著しく脆弱性が高まっている。

同声明はFBIと米運輸省道路交通安全局の共同で作成されたもので、MY2014という自動車のラジオモジュールで見つけられた脆弱性についての研究を引用している。

研究者らは、低速で走行している自動車であれば、ドアロックや右左折のためのウインカーを操作したり、ブレーキを使用不能にしたりすることなどが可能である、と指摘している。

さらには、自動車の電子制御ユニットをハッキングして車両の各機能を変えることも可能である。こうしたエンジン制御ユニット(ECU)は、ステアリングやブレーキ、加速、そしてワイパーやヘッドライトもコントロールしている。

FBIは次のように述べている。「特定された脆弱性に注意を向けるとともに、消費者と製造業者の双方が、潜在的な脅威や、攻撃者が将来的にどのように自動車を遠隔操作しようとするのかに対して、意識的になることが重要だ」

FBIはさらに、電子制御系を通しての攻撃だけではなく、自動車のデジタル機器にも脆弱性が潜んでいると警告している。例えば、USB やBluetooth、Wi-Fiなどを通じて車に接続されるスマートフォンやタブレット、さらには、車両診断用のポート(OBD-II)を通じて接続されるサードパーティの製品などがそれらに当たる。 この声明は、時速110キロほどで走行しているジープ・チェロキーを、ハッキングにより制御システムに入り込み停止させてから8カ月後に出された。ちなみに、チェロキーは140万台がリコールされることになった。

FBIは、自動車に影響を与える最新のリコールに意識を向け、承認されていない自動車ソフトウェアの実装を避けて自分の身を守るよう消費者にアドバイスしている。

<過去の自動車への攻撃例>

2010年 遠隔からの車載LANへの侵入
スマートフォンなどを使って車載LANに侵入し、遠隔操作でドアの開錠などを実行する実験が行われた。
2010年 自動車盗難防止システムの不正遠隔操作
米テキサス州で100台以上の車の自動車盗難防止システムが不正ログインにより遠隔操作され、自動車のエンジンが掛からない、ホーンが鳴らされるなどの被害が発生した
2010年 スマートキーの電波操作によりドアロックの解除
スマートキーの無線電波を増幅することによって、所有者が離れているにもかかわらずドアロックを解除して車荒らしが行われた
2013年 トヨタ「プリウス」などのクラッキング
パソコンを車載ネットワークに接続することによって電子制御ユニットにコマンドを送り、ハンドルやブレーキなどの操作が可能であることをハッカーが公表した
2015年 走行中の車両の不正遠隔操作
2010年の遠隔からの車載LANへの侵入実験の延長線で、走行中のジープ(チェロキー)のエンジンやブレーキ、ワイパーなどの操作を可能にする実験が行われた
この記事をシェア

IoTのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!