Keen Security Labの中国研究者チームが、テスラ モデルSを19.3km(12マイル)離れた場所からでも遠隔ハッキングできることを実証したビデオを公開した。この発表は、米国政府の自動運転車に関するガイドラインとほぼ同時期に行われた。
自動運転車のハッキング問題
コネクテッドカー、そしてさらに重要なのは、自動運転車、あるいはテスラ・モデルSのような自動運転機能搭載車がハッキングに対して脆弱であるということです。これらの車にはインターネット接続が搭載されていることが多く、メーカーは事故発生時に当局に通報する機能など、常時遠隔操作機能を確保したいため、これを無効化することさえできない場合もあります。
自動運転車システムは高度に統合されており、オーナーは車両を制御するための選択肢をより多く利用できます。例えば、テスラ モデルSのオーナーは、スマートフォンアプリから遠隔でエアコンをオンにすることができます。しかし、このような接続性と制御性は、これらのシステムを遠隔攻撃に対してより脆弱にしてしまうという側面もあります。
高度な統合により、先進運転支援システム(テスラのオートパイロットなど)が車のあらゆる部分を独自に制御できるようになり、攻撃者がそのレベルの車両制御も可能になることを意味します。
テスラ モデルS リモートハック
Keen Security Labの研究者たちは、最新のファームウェアをインストールした未改造のテスラ・モデルSをハッキングできたと主張しました。チームはまず、動画でサンルーフを開け、方向指示器を点灯させ、シートを動かし、車のキーを使わずにドアを開けられることを実演しました。さらに、走行中にワイパーを動かし、サイドミラーを折りたたみ、トランクを開けることもできました。
今のところ、道路を運転中にこのようなことが起こると少し怖いかもしれません。気を散らすだけで事故につながる可能性はありますが、それほど危険なものではありません。しかし、最終的にチームは車のブレーキを作動させることも実証しました。これは、悪意のあるハッカーが高速道路を高速走行中の車を停止させるために利用できるハッキング機能です。
チームによれば、デモではブレーキは12マイル離れた場所から作動した。つまりこれはインターネット経由で起こったことであり、攻撃者は理論的には世界中のどこからでもブレーキを作動させることができる。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
チームは、テスラに対してバグを「責任を持って開示」し、問題の解決に同社と協力したと述べた。
「我々の知る限り、CANバスを侵害してテスラ車の遠隔操作を実現するリモート攻撃はこれが初めてです。我々は複数の種類のテスラ・モデルSで攻撃ベクトルを検証しました。他のテスラモデルも影響を受けると想定するのは妥当です」と、セキュリティ研究者はブログ投稿で述べています。
Tom's Hardware は Tesla Motors に返答を求め、同社からは次のような返答があった。
テスラの広報担当者は、「この報告を受け取ってからわずか10日以内に、テスラは潜在的なセキュリティ問題に対処する無線ソフトウェアアップデート(v7.1、2.36.31)をすでに導入しました」と述べています。「実証された問題は、ウェブブラウザの使用時のみ発生し、また、車両が悪意のあるWi-Fiホットスポットに物理的に近接し、接続されている必要がありました。現実的に見て、お客様へのリスクは非常に低いと推定していますが、迅速な対応を怠ったわけではありません。当社はセキュリティ研究コミュニティと連携し、製品のセキュリティをテストすることで、潜在的な脆弱性がお客様に問題をもたらす前に修正できるようにしています。本日のデモンストレーションを実施した研究チームを称賛し、この種の研究を奨励するために設立されたバグ報奨金プログラムに基づいて報奨金を提供する予定です」とテスラの担当者は付け加えました。
この声明から明らかでないのは、Keen Security Lab チームが同じ悪意のある Wi-Fi ホットスポットを使用して、12 マイル離れた場所から車両のブレーキを作動させたかどうかです。
米国政府の自動運転車に関するガイドライン
米国運輸省は、自動運転車に関する15のガイドラインを発表した。自動車メーカーが自動運転システムを検証する方法、車両がデータを記録する方法、衝突後にどう対処すべきか、ユーザーのプライバシーをどのように保護すべきか、さらにはサイバー攻撃から自動車を保護する方法などに関するガイドラインである。
公開された文書には、一般的な政策ポイントのみが記載されており、メーカーに対するより具体的な要件については言及されていませんでした。しかし、FDAとオバマ大統領は共に、自動運転車の安全性を確保し、安全でない車両を躊躇なく道路から排除する一方で、メーカーに過度な規制の負担をかけたくないと述べています。
今のところ、これは理にかなっているように思われる。なぜなら、規制が多すぎると(政府自身もその影響を十分に理解していないかもしれないが)、自動車メーカーが自動運転システムで革新を起こす方法が制限される可能性があるからだ。
しかし、事故やハッキングが発生した場合、自動運転車メーカーにも何らかの賠償責任を課すべきでしょう。そうすれば、自動運転車の普及が進むにつれて、事故やセキュリティ侵害を最小限に抑えられるよう、メーカーは車両の安全性とデジタルセキュリティを可能な限り高めるよう努めるでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
