自動車イノベーションの中で進化する脆弱性発見:地球半周の遠隔操作が可能なAPI攻撃

2024年1月22日
CyberThreat Research Lab
自動車イノベーションの中で進化する脆弱性発見:地球半周の遠隔操作が可能なAPI攻撃

By Shin Li (Staff Threat Researcher, Automotive) and Omar Yang (Senior Threat Researcher, Automotive)

このブログシリーズの第1回目では、トレンドマイクロのゼロデイイニシアチブ(ZDI)プログラムのリサーチャーたちが取り上げた、電気自動車(EV)充電器のセキュリティ上の脆弱性について解説しました。この結果は、VicOneとの共同主催のイベントPwn2Own Automotiveでも共有されます。彼らが行った2つのデモ、1つはファームウェアの抽出、もう1つは特権昇格に関するもので、記事からもPwn2Own Automotiveで参加者が示す作業の一端を確認できます。

このブログシリーズ第2回目の本稿では、コネクテッドカーで使用される技術のセキュリティギャップが、どのようにして実際の攻撃シナリオにつながるかを解説します。これにより、脆弱性の発見とサイバースレットの調査がいかにして回避策を提供し得るかを示します。

APIのアタックサーフェスについて

新たなモビリティの時代では、自動車は、データや接続性、その他の技術により一層依存しています。例えば、携帯電話のように、物理的または仮想的なSIMカードを搭載し、他の車両やシステムと交信することが、車両にとってもほぼ一般的になりました。

接続性を活用するシナリオの1つに、自分の車にクラクションを鳴らすよう指示を送るケースがあります。この指示は、自分の携帯電話から最寄りのセルサイト、メーカーのバックエンドサーバーを経由し、車両のテレマティクス制御ユニットに中継され、最終的にクラクションを制御する部品に指示されます。この指示は、ほとんど瞬時に多くのポイントを通過します。

セキュリティの観点からは、これらのポイントの中で問題が発生する可能性のある箇所や、攻撃者がこの情報の流れをいかに妨害するかを常に検討する必要があります。それらは、脆弱性やサイバー攻撃によるものかもしれません。

API攻撃シナリオのデモ

このデモの目的は、侵害されたアカウントの認証情報を保持する攻撃者ができる攻撃を示すことにあります。今回の調査では、地球の反対側にある車両に紐づくアカウントの認証情報を入手しました。図1で示されたように、この攻撃シナリオでは距離が問題にならないことを示すため、侵害されたアカウントからリモートでの攻撃をシュミレーションします。

API攻撃シナリオにおける攻撃フロー

図1:API攻撃シナリオにおける攻撃フロー

この場合の認証情報は、フィッシングやランサムウェアなどのサイバー攻撃により侵害される可能性があります。自動車のフリートでは、その高い財務価値やプライバシーに関するリスクにもかかわらず、ごく一般的なアセットとして管理されています。

ターゲットとなる車両の認証情報を保持している状態から、車両のAPI(アプリケーションプログラミングインターフェース)を使用して実行できるリクエストのタイプを見てみます。特に今回の調査では、試行が可能な重要なコマンドのいくつかが確認できました。図2では、車両のドア開閉の状態を取得したり、遠隔から車両を起動したりするコマンドが含まれていることが分かります。

Figure 2. Example categories of API requests

図2:APIリクエストのカテゴリ例

幸い、今回実施したようなデモは、制御された環境下で行われます。しかし、これらのセキュリティ上のギャップが放置され、ユーザーがリスクを認識していない状況が続けば、これらの攻撃シナリオは、実際の道路上で現実のものとなる可能性があります。

脆弱性の発見とサイバーセキュリティ調査の目標

自動車業界における情報漏えい、システムの侵害、脆弱性等のニュースは、より強化されたサイバーセキュリティ体制の緊急性を示しています。今回のような実証段階での攻撃シナリオの段階において一歩先のセキュリティ対策を確保するためには、さらに強固なスレットインテリジェンスや調査が必要となります。

このブログシリーズの第1回目でも強調した通り、自動車産業でのセキュリティの優先度は、今日においてこれまで以上に重要となっています。ZDIによって明らかにされた脆弱性は、簡単なセキュリティ対策を実施することで避けられます。また、これらの攻撃シナリオは、類似の攻撃のリスクを軽減するために役立つ以下のようなセキュリティ実践の重要性も強調しています。

  • より効果的な認可対策:自動車メーカー(OEM****は、車両識別番号(VIN)などの情報が漏れても、それを使って有効なAPI呼び出しを行えないように、より強固なセキュリティ対策を講じるべきです。
  • より強化された認証方法:多要素認証(MFA)などの手法を導入することで、攻撃者がAPIを利用するのをより困難にするセキュリティレイヤーを加えることができます。
  • 改善されたログ記録と監視体制:全てのAPI呼び出しは記録されるべきです。これにより、車両の位置から遠方でAPIが呼び出された場合、OEMは車のオーナーに適切に警告することが可能になります。

今回のデモでは、未解決のセキュリティ欠陥や、甘いセキュリティ対策が、広がり続ける自動車エコシステム内に無数に存在する地雷のように存在していることが示されました。脆弱性の発見やサイバーセキュリティ調査の目標は、これらの問題を実際のサイバー攻撃が起こる前に特定し、解決することです。

VicOneは、この攻撃シナリオをPwn2Own Automotiveの初開催で実演する予定です。このイベントは、2024年1月24日から26日にかけて東京ビッグサイトのオートモーティブワールドで実施されます。

以下の動画では、コネクテッドカーにおけるリスクに関する広範な議論と、リモートAPI攻撃シナリオのデモが行われています。ぜひご覧ください。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

  • 2025年に向けたギアチェンジ:次世代の自動車サイバーセキュリティにおける課題
    ブログ

    2025年に向けたギアチェンジ:次世代の自動車サイバーセキュリティにおける課題

    2025年6月2日
    AI、EV、SDV が自動車業界を変革する中、サイバー脅威も同様に進化しています。VicOne の 2025 年の自動車サイバーセキュリティレポートを参考にし、この記事では、業界の脅威の展望に関する重要な洞察と、自動車メーカーが先手を打つために必要な戦略の概要をご紹介します。
    続きを読む
  • シングルSTM32ボードを使用したRAMNの再現
    ブログ

    シングルSTM32ボードを使用したRAMNの再現

    2025年5月26日
    たった1枚のSTM32ボードを使用して、本格的なRAMN(Resistant Automotive Miniature Network)のコア機能を再現することは、高度なインビークル・ネットワーキングに取り組むための実用的でコスト効率の高い方法です。このハンズオンガイドでは、エンジニアやリサーチャーが最小限のハードウェアで弾力性のある車載通信システムを試作できるように、ステップ・バイ・ステップのセットアップを実行します。
    続きを読む
  • 見えない脆弱性がもたらすリコールリスク:より安全なSDVのための戦略
    ブログ

    見えない脆弱性がもたらすリコールリスク:より安全なSDVのための戦略

    2025年5月21日
    従来の脆弱性管理プラットフォームには、増加するゼロデイ脆弱性のリスクについては見落としてしまうセキュリティ上のギャップがどうしても生まれてしまっていました。VicOneの脆弱性&SBOM管理ツール、xZETAがどのように脆弱性の可視性を高め、新たな脅威に先手を打つことを支援できるかを紹介します。
    続きを読む
  • LockBitランサムウェアグループのデータ流出:自動車のサイバーセキュリティへの示唆
    ブログ

    LockBitランサムウェアグループのデータ流出:自動車のサイバーセキュリティへの示唆

    2025年5月21日
    最近起きたLockBit(ロックビット)ランサムウェアグループの内部データ流出により、グループのチャットのやり取りが公開され、被害者がどのように標的とされ、恐喝されたかを知る貴重な内部情報が得られました。攻撃された被害者の中には、自動車関連企業の名前が目立ちます。その主な調査結果を紹介し、LockBit攻撃や類似のインシデントを阻止するために自動車関連企業が講じることのできる実践的な対策を概説します。
    続きを読む
ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼