オランダのセキュリティ企業Computestの研究者、ダーン・クーパー氏とタイス・アルケマデ氏は、フォルクスワーゲンとアウディの車に、攻撃者がインターネット経由で遠隔操作で悪用できる脆弱性を発見した。フォルクスワーゲンは、これらの車種には無線アップデート機能がないため、この脆弱性を修正する予定はない。
現代の車、現代の問題
研究者たちは9種類の異なる車種を検討し、最終的にフォルクスワーゲン・ゴルフGTEとアウディA3(同じくフォルクスワーゲングループ製)に決定しました。しかし、彼らはまずセキュリティを検証する許可を求めました。米国を含む一部の国では、自動車のソフトウェアに手を加えることはしばしば違法です。さらに、フォルクスワーゲンはセキュリティ研究者に対し、自社の自動車の欠陥を暴露させないよう法的措置を取ることがありました。しかし今回は、フォルクスワーゲンはより協力的だったようです。
現代の自動車は、顧客により多くの機能を提供するためにますますデジタル化が進んでいますが、セキュリティはそれに追いついていません。例えば、現在の自動車には2つのコントローラエリアネットワーク(CAN)バスが搭載されている場合があります。1つはエンジンやブレーキなどの安全上重要なコンポーネント用、もう1つはエンターテイメントダッシュボード、エアコン、ワイパーなどの安全上重要でないコンポーネント用です。
ただし、これら2つのCANバスは「ゲートウェイ」を介して相互に通信できるため、特定の機能は動作します。ファイアウォールは、バス間のどのような種類の通信を許可するかをフィルタリングするはずです。
最近では、自動車にも無線通信用の2つの独立したモデムが導入されていますが、多くの場合、様々な攻撃から保護できる強力なセキュリティソリューションが備わっていません。最も顕著なリモートハッキング攻撃は、2015年にチャーリー・ミラーとクリス・ヴァラセクという2人の研究者によってGMのジープ・チェロキーに対して行われたものです。この攻撃は、ファイアウォールのないインターネット接続を持つ車載インフォテインメント(IVI)システムの欠陥によって可能になりました。
フォルクスワーゲンの欠陥車
コイパー氏とアルケメイド氏は、2015年型フォルクスワーゲンのゴルフGTEに同じ種類の欠陥が存在するかどうかを確認したかった。彼らは、ハーマン社が開発したIVIシステムは攻撃対象領域が広いように思われ、欠陥を発見する確率が高まったことに気づいた。
研究者たちは、ゴルフシステムにストレージから任意のファイルを読み取れるサービスを発見しました。この脆弱性は後に完全なリモートコード実行へと修正されましたが、ペイロードはWi-Fi接続経由でのみ配信可能だったため、少なくとも現時点では攻撃の可能性は限定的です。将来、自動車のデジタル化が進むにつれて、悪意のあるWi-Fiホットスポットは、現在、これらのホットスポットに接続するノートパソコンやスマートフォンの所有者に及ぼしているのと同様のセキュリティリスクを、無線アップデートを行う自動車にももたらす可能性があります。研究者たちは、アウディA3にも同様の脆弱性を発見しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
コイパー氏とアルケメイド氏は、この欠陥はシステムの適切なセキュリティ監査によって発見されるべきだったと指摘した。しかし、このシステムは数千万台の車両に搭載されているにもかかわらず、フォルクスワーゲンは正式なセキュリティテストを受けていなかったと彼らは述べた。
研究者らが具体的な脆弱性を公表しなかったのは、フォルクスワーゲンがこの脆弱性を修正するには、オーナーが正規ディーラーまで出向いてパッチを当ててもらわなければならないためだ。フォルクスワーゲンは研究者らに対し、このバグについて公式声明は出さないと述べている。つまり、同社の顧客はメディアを通じてしかこの欠陥を知ることはないだろう。また、オーナーが正規ディーラーにパッチを依頼したとしても、無料でパッチを入手できるかどうかも不明だ。
研究者の推奨事項
オランダの研究者たちは、自動車業界は将来の自動車のセキュリティ確保にますます関心を寄せているようだが、その取り組みがどれほど本格化するかはまだ分からないと述べた。当面のより大きな脅威は、既に製造・販売され、今後15年間は市場に流通することになる自動車である。これらのインターネット接続車には、決して修正されない欠陥が存在するだろう。
研究者たちは、たとえ部品サプライヤーが独自のセキュリティ監査を実施していたとしても、自動車メーカーは自ら購入する部品のセキュリティをレビューすべきだと提言した。おそらくフォルクスワーゲンを揶揄するかのように、コイパー氏とアルケメイド氏は、自動車メーカーは自社の車両に発見された欠陥について透明性を保ち、顧客から事実を隠すべきではないとも述べた。また、自動車メーカーはセキュリティ研究者に対して敵対的な態度を取るべきではなく、新たな問題が発見された際には、研究者が容易に連絡を取れるようにしておくべきだ。
両研究者は、インターネット接続は自動車にとって新しい機能であり、まだ成熟していないため、十分に保護されていない可能性があることを消費者は認識すべきだと述べた。消費者は、自動車の他の評価と同様に、自動車のソフトウェアセキュリティについても自ら学ぶべきだ。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
