最近ウィキリークスによって漏洩されたCIA文書は、CIAが遠隔操作で自動車を制御できる可能性があることを示しており、ウィキリークスはこれが暗殺につながる可能性さえ示唆している。
大手自動車メーカー数社に対し、既存車に対するこの種の攻撃から顧客をどのように保護しているか、また、将来的にデジタル化が進む自動運転車をどのように保護する予定かを尋ねました。完全な回答を得たのは、ダイムラー(メルセデス・ベンツ)、BMW、ヒュンダイの3社でした。
フォルクスワーゲンは、自社車のセキュリティを含め、こうした問題についてはコメントしないとしている。同社は以前、自社車のセキュリティ上の問題が自動車窃盗を容易にしているとして、セキュリティ研究者の発言を法的に阻止しようとしたことがある(PDF)。
暗殺未遂疑惑について
これは非常にデリケートな話題ですが、CIAがこれまでの歴史を通じて暗殺に関与してきたことは、もはや周知の事実です。ウィキリークスは、CIAが誰かの車を乗っ取って暗殺したという具体的な証拠を示していませんが、だからといってそれが実際に起こっていないということではありません。いずれにせよ、証拠がないのです。いずれにせよ、CIAによるものでなくても、他の悪意のあるハッカーやスパイ機関による暗殺の試みのリスクは依然として存在する可能性があります。
自動車は今後ますますインターネットとの接続性を高め、ますます「デジタル化」していくでしょう。つまり、より多くの部品がソフトウェアで制御されるようになるということです。自動運転車は完全にソフトウェアで制御されるため、エンジン、ブレーキ、ステアリングシステムなど、あらゆる部品がソフトウェアの脆弱性を突いた攻撃を受ける可能性があります。そのため、近い将来、自動運転車に乗る前に、そのような攻撃は不可能だという安心感を得たいと思う人も多いでしょう。
我々が話を聞いた自動車メーカー3社はいずれも、自社の自動車に搭載された遠隔操作システムによる暗殺未遂事件については一切知らないと否定した。
リモートコントロール機能について
ソフトウェアで完全に制御される完全自動運転車はまだ実現していませんが、自動車メーカーはここ数年、車載リモート機能の範囲を拡大し続けてきました。これにより、インターネット経由でハッキングされるリスクが高まる可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
例えば、メルセデス車にはリモートアクセス機能が搭載されており、所有者はインターネット経由で遠隔操作でドアの解錠・施錠を行うことができます。この機能により、メルセデス車所有者は盗難被害に遭う可能性はありますが、この機能だけで命が危険にさらされる可能性は低いでしょう。ダイムラーの担当者は、メルセデス車には広範な盗難防止機能が搭載されていると述べました。
BMWは、顧客が遠隔操作で自分の車の位置を特定し、エアコンのオンオフ、ドアの開閉、さらにはクラクションの鳴らしまでできると述べている(おそらく、広い駐車場で自分の車を見つけやすくするためだろう)。BMWによると、ハンドルを遠隔操作することはできず、遠隔機能は安全関連のサブシステムとは分離されているという。
BMW車はメルセデス車と同様に盗難リスクを抱えているように見える一方で、潜在的な攻撃者による位置情報追跡の危険にもさらされている。最近、一部の研究者は、日産車の一部でこのような悪意のある位置情報追跡が可能であることを明らかにした。
ヒュンダイの担当者によると、同社のブルーリンクテレマティクス(長距離伝送)システムには次のような機能が含まれている。
リモートドアロック/アンロック、リモートホーンとライト、リモートスタート(エアコン付き)(プッシュボタンスタートが必要)、車両検索、盗難車両回収、盗難車両減速、盗難車両移動停止、アラーム通知、門限アラート、ジオフェンス、スピードアラート、バレットアラート
既に他の2つのメーカーについて議論したリスクに加え、潜在的に危険な可能性があるリモート機能が1つあります。それは「盗難車両減速」です。ヒュンダイのウェブサイトでは、この機能はゆっくりとパワーを落として車両を安全に停止させると説明されているため、少なくとも理論上は、攻撃者がこれを使って大きな損害を与えることはできないはずです。しかし、この機能を改造して車両をより急激に停止させることが可能かどうかは不明であり、そうなると運転者の命が危険にさらされる可能性があります。
ヒュンダイはまた、重要な安全機能にはリモートアクセスできないこと、また制御システムの無線アップデートをサポートしていないことも明らかにした。
車のセキュリティシステムについて
ダイムラーは、車両のセキュリティに対するより包括的なアプローチを確立するため、部門横断的なセキュリティ担当者を配置していると述べています。車両には、公開鍵暗号、証明書、ファイアウォール、ウイルススキャナー、TLS、IPSec、WPA2などのプロトコルといったセキュリティメカニズムが採用されており、アルゴリズムと鍵長はドイツ連邦情報セキュリティ庁(FOSI)が推奨しています。セキュリティメカニズムの開発は車両のライフサイクル全体にわたって継続され、社内およびサードパーティのセキュリティ専門家によって認定されています。
「当社の全車両には、広範なセキュリティおよび盗難防止システムが搭載されています。データセキュリティ、データプライバシー、そして盗難防止は、当社の研究開発活動の重要な要素です」とダイムラーの広報担当者は述べています。「保護メカニズムの進化においては、犯罪の手口やセキュリティシステムへの攻撃に関する最新のノウハウを考慮しています。しかしながら、絶対的な「100%」のセキュリティは存在しません。しかし、当社は社内および第三者の専門家による認証を受け、最先端のシステムとなるよう開発を進めており、すべてのコンポーネントのさらなる進化に継続的に取り組んでいます。」
数年前、暗号化されていないアップデートを車両に送信していたことが発覚したBMWは、その教訓を学んだようで、現在ではすべての長距離接続に暗号化と認証の両方を導入しています。同社はまた、テレマティクス用の電子制御ユニット(ECU)には、アクセスポリシーを適用するファイアウォールとフィルターが使用されていると述べています。さらに、BMWの担当者によると、これらの車両はパブリックインターネット経由ではアクセスできないとのことです。
同社がセキュリティ・バイ・デザインの原則を採用しているかどうかを尋ねたところ、同社は次のように回答しました。
BMWは、開発の初期段階でセキュリティ要件を特定し、それに従って実装する、セキュリティ・バイ・デザイン指向の開発プロセスを一般的に採用しています。これらのセキュリティ要件が正しく実装され、脆弱性が悪用されないことを検証するために、BMWは開発プロセス全体にわたってセキュリティテストを実施しています。BMWは、ベストプラクティスのアプローチと、安全なシステム設計のための業界標準の開発をサポートしています。
ヒュンダイはセキュリティシステムについてあまり詳細を語らず、自社の車は車両とデータを保護するために多層的なセキュリティを採用しているとだけ述べた。
「ヒュンダイは、お客様とその車両を守るために常に努力しています。ヒュンダイは、あらゆるサイバー攻撃から車両をさらに安全に守る方法を継続的にテストし、研究しています」とヒュンダイの担当者は述べた。
バグバウンティについて
また、連絡を取ったすべての自動車メーカーに対し、ソフトウェアセキュリティへの取り組みを示すために、公開バグ報奨金プログラムを導入する予定があるかどうかを尋ねました。現時点でバグ報奨金プログラムを開始しているのは、テスラとフィアット・クライスラー(米国部門)の2社のみです。
バグバウンティは、外部の視点から自動車を観察する機会を提供するという点で重要です。自動車メーカーがコードの解析のために1つか2つのサードパーティのセキュリティチームを雇用したとしても、他の数十人の独立したセキュリティ研究者が見逃す可能性のある欠陥を見逃してしまう可能性があります。回答を寄せてくれた3つの自動車メーカーはいずれも、近いうちにバグバウンティを開始する予定があるとは示唆していませんでした。
今後の自動運転車のセキュリティについて
自動運転車のセキュリティについては、まだ開発段階にあるため、あまり多くの情報は明らかにされていません。しかし、これらの企業の最新かつ最先端の車種に搭載されているセキュリティアーキテクチャの多くは、自動運転車にも移行されると予想されます。
現在、重要な安全システムのほとんど、あるいはすべてがインターネットから分離されていますが、将来の自動運転車では状況が変わる可能性があります。より多くのコンポーネントがデジタル制御されるようになるにつれて、自動車メーカーは継続的なアップデート(いわば「サービスとしての車」)を提供したいと考えるようになるでしょう。
例えば、テスラは加速性能を向上させるために、車のエンジンを無線でアップデートしました。同社はこのような機能を無線で実現したことで高い評価を得ましたが、同時に、攻撃者が同様のアップデートを送信してエンジンを乗っ取ったり、所有者が車を運転できなくしたり(ランサムウェア)する可能性もあります。
もちろん、そのような攻撃者はテスラ自身のセキュリティチェックも回避する必要がありますが、テスラが車の重要なコンポーネントを無線で変更できるのであれば、少なくとも理論上は、より高度な攻撃者でも同じことが可能になるはずです。また、テスラはおそらくセキュリティ意識の高い自動車メーカーの一つであり(バグ報奨金制度があるのがその証拠です)、そのセキュリティシステムは完全に万全というわけではありません。
幸いなことに、自動運転プラットフォームは現在構築段階にあるため、すべての自動車メーカーは強固なセキュリティを念頭に置いてプラットフォームを構築する機会を得ています。セキュリティは、設計段階から、そして根本から構築されることで最大限の効果を発揮しますが、継続的な監査とタイムリーなパッチ適用によってさらに強化されることが重要です。
一部の自動車メーカーは、自動車が安全に自動運転することの保証ほどセキュリティは重要ではなく、自社の自動車の自動運転機能を推進できることを優先すべきだと考えているかもしれない。
これは確かに議論の余地のある議論ですが、自動車会社は、自社の自動運転車がハッキング可能であることが判明した場合、悪意のあるハッカーの注目を集め、否定的な報道も増えるという事実も考慮すべきです。これは最終的には攻撃の増加につながり、売上の低下は言うまでもありません。
たとえメーカーがセキュリティ上の欠陥が発見された後、速やかに修正したとしても、頻繁にハッキングされることが分かっている自動運転車に乗りたい人はいないかもしれません。このようなハッキングの場合、ハッキング攻撃の潜在的な被害者にとっては、それでは手遅れです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
