ほとんどの自動車メーカーが今後数年以内に自動運転車を発売したいと考えているにもかかわらず、車とドライバーの安全を守るためのセキュリティのベストプラクティスの導入は依然として大きく遅れているようです。カスペルスキーによると、大手自動車メーカーのAndroidアプリが、数百万台の自動車を盗難などのリスクにさらす可能性があるとのことです。スマートカーや自動運転車に関しては、セキュリティが生死に関わる問題であるにもかかわらず、メーカーは依然としてセキュリティを真剣に受け止めていないようです。
コネクテッドカー
「コネクテッドカー」というアイデアは数年前から人気が出始めました。メーカーは、競合他社の車との差別化を図るために、ユーザーに「スマート機能」をより多く提供したいと考えていたからです。
スマートフォンアプリを通じて有効化できるスマート機能には、車のGPS座標の取得、ルートの追跡、ドアの開閉、エンジンの始動、補助機器の起動などが含まれます。これらの機能の問題点は、スマートフォンアプリにインターネット経由で車のエンジンを制御する機能を与えると、攻撃者がインターネット経由で車のエンジンを制御することもほぼ同様に容易になるということです。
最も重要なセキュリティ原則の一つは、攻撃対象領域を縮小することです。しかし、自動車メーカーは現在、まさにその逆のことをしているようです。自動車の最も重要なシステムにインターネット経由のリモートコントロールを実装しているのです。エンジン、ブレーキ、ホイールなど、悪意のある人物に乗っ取られればドライバーの命を危険にさらすようなコンポーネントは、インターネット経由で直接制御されるべきではありません。
これは、IoT メーカーも遵守すべき原則とまったく同じです。ただし、この場合、危険にさらされるのはプライバシーだけでなく、実際の車(盗難された場合)、さらには命さえも危険にさらされることになります。
カスペルスキーのアプリレポート
カスペルスキーは、有名自動車メーカーの人気アプリ7種類を検証し、自動車インフラへのアクセスに利用できるかどうかを調査しました。カスペルスキーは今のところメーカー名を伏せていますが、少なくとも各社がアプリの修正を発表した後であれば、すべてのメーカー名を公表した方が社会全体の利益にかなうはずです。
自動車メーカーは今のところ、システムのセキュリティを大幅に強化する意欲を示していません。こうした報告書でメーカー名が伏せられ、自動車メーカーが何らかの悪影響を被らなくても済むようになれば、状況は大きく変わらないでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
セキュリティ会社はアプリの以下の側面を検査しました。
車の盗難につながる可能性のある危険な機能の有無、アプリがリバースエンジニアリングを困難にする難読化技術を採用しているかどうか、アプリが車の所有者のAndroidデバイスでルート権限をチェックしているかどうか。ルート化されたデバイスは、マルウェアが他のアプリに感染しやすくなります。不正な人物による認証情報の盗難を防ぐためのGUIオーバーレイ保護機能の有無、アプリのコードが変更されていないかどうかを確認する整合性チェック機能の有無
下記のカスペルスキーの表からわかるように、すべてのアプリがカスペルスキーのテストに不合格でした。おそらく最も驚くべき点は、これらの有名自動車メーカーのいずれも、ユーザーの認証情報を暗号化していないように見えることです。数年後には、自動運転車が私たちを安全に運転してくれると信頼することになる自動車メーカーと同じなのに、彼らは1990年代のインターネットセキュリティガイドラインを自社の自動車や関連システムにさえ適用できていないのです。
自動車盗難など
カスペルスキー社によると、これらの脆弱性の主なリスクは、自動車窃盗犯がより簡単にドアのロックを解除し、プログラミングユニットを使って「車載システムに新しいキーを書き込む」ことができるようになることです。これは、自動車の「スマート化」がもたらしたもう一つの成果と言えるでしょう。窃盗犯は物理的な部品を一切壊すことなく、自動車を盗むことができます。しかし、カスペルスキー社によると、これらの車のオーナーにとって、自動車の盗難だけが恐怖の対象ではありません。
「また、リスクは単なる自動車盗難だけにとどまるものではありません。自動車にアクセスし、意図的に部品を改ざんすることは、交通事故、負傷、あるいは死亡につながる可能性があります」とカスペルスキーは報告書の中で述べています。
自動運転車
自動車メーカーは、コネクテッドカーをハッカーから守るための確固たる計画をまだ策定しておらず、スマート機能を安全に設計することさえできていないようだ。しかし、ドライバー(あるいは乗客)が制御できない自動運転車の発売に向けて、既に全力で取り組んでいる。
自動運転車、つまり必要に応じてドライバーが運転を引き継ぐことができる自動運転システムを搭載した車は、道路上での安全性の向上により、最終的には何百万人もの命を救うことになるでしょう。しかし同時に、走行中のハッキングから、多額の金銭を支払わない限り車をロックするランサムウェアまで、所有者を他の種類の危険にさらす可能性もあります。
自動車メーカーが自動運転システムや電気自動車プラットフォームの開発と同様にセキュリティを真剣に考え始めれば、こうした事態はほぼ回避できるでしょう。これらの未来の自動車のデジタルセキュリティは、特に自動運転車のメーカーが事故の責任を負うことになった場合(ドライバーではなく、常に自動車を制御しているシステムであるため)、ビジネスにとって同様に重要になります。
自動車メーカーが責任を持つべき時
ここでの真の問題は、自動車メーカーはAndroidデバイス、いやiPhoneでさえ、あらゆるセキュリティ上の脆弱性を抱える可能性があることを既に認識しているはずだということです。だからこそ、自動車のドアロックの制御を彼らに任せるべきではないし、ましてやエンジンの遠隔操作など許すべきではないのです。
これは、自動車メーカーが自社アプリの整合性チェックやルートチェックを有効にしているかどうかといった技術的な問題というより、むしろ責任の問題です。競合他社に少しでも差をつけるためだけに、アプリを通じて車のドアやエンジンへのリモートアクセスを許可することは、有名自動車ブランドが責任ある行動と思えず、これは改善が必要です。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
