By Shin Li (Staff Threat Researcher, Automotive) and Omar Yang (Senior Threat Researcher, Automotive)
このブログシリーズの第1回目では、トレンドマイクロのゼロデイイニシアチブ(ZDI)プログラムのリサーチャーたちが取り上げた、電気自動車(EV)充電器のセキュリティ上の脆弱性について解説しました。この結果は、VicOneとの共同主催のイベントPwn2Own Automotiveでも共有されます。彼らが行った2つのデモ、1つはファームウェアの抽出、もう1つは特権昇格に関するもので、記事からもPwn2Own Automotiveで参加者が示す作業の一端を確認できます。
このブログシリーズ第2回目の本稿では、コネクテッドカーで使用される技術のセキュリティギャップが、どのようにして実際の攻撃シナリオにつながるかを解説します。これにより、脆弱性の発見とサイバースレットの調査がいかにして回避策を提供し得るかを示します。
APIのアタックサーフェスについて
新たなモビリティの時代では、自動車は、データや接続性、その他の技術により一層依存しています。例えば、携帯電話のように、物理的または仮想的なSIMカードを搭載し、他の車両やシステムと交信することが、車両にとってもほぼ一般的になりました。
接続性を活用するシナリオの1つに、自分の車にクラクションを鳴らすよう指示を送るケースがあります。この指示は、自分の携帯電話から最寄りのセルサイト、メーカーのバックエンドサーバーを経由し、車両のテレマティクス制御ユニットに中継され、最終的にクラクションを制御する部品に指示されます。この指示は、ほとんど瞬時に多くのポイントを通過します。
セキュリティの観点からは、これらのポイントの中で問題が発生する可能性のある箇所や、攻撃者がこの情報の流れをいかに妨害するかを常に検討する必要があります。それらは、脆弱性やサイバー攻撃によるものかもしれません。
API攻撃シナリオのデモ
このデモの目的は、侵害されたアカウントの認証情報を保持する攻撃者ができる攻撃を示すことにあります。今回の調査では、地球の反対側にある車両に紐づくアカウントの認証情報を入手しました。図1で示されたように、この攻撃シナリオでは距離が問題にならないことを示すため、侵害されたアカウントからリモートでの攻撃をシュミレーションします。
図1:API攻撃シナリオにおける攻撃フロー
この場合の認証情報は、フィッシングやランサムウェアなどのサイバー攻撃により侵害される可能性があります。自動車のフリートでは、その高い財務価値やプライバシーに関するリスクにもかかわらず、ごく一般的なアセットとして管理されています。
ターゲットとなる車両の認証情報を保持している状態から、車両のAPI(アプリケーションプログラミングインターフェース)を使用して実行できるリクエストのタイプを見てみます。特に今回の調査では、試行が可能な重要なコマンドのいくつかが確認できました。図2では、車両のドア開閉の状態を取得したり、遠隔から車両を起動したりするコマンドが含まれていることが分かります。
図2:APIリクエストのカテゴリ例
幸い、今回実施したようなデモは、制御された環境下で行われます。しかし、これらのセキュリティ上のギャップが放置され、ユーザーがリスクを認識していない状況が続けば、これらの攻撃シナリオは、実際の道路上で現実のものとなる可能性があります。
脆弱性の発見とサイバーセキュリティ調査の目標
自動車業界における情報漏えい、システムの侵害、脆弱性等のニュースは、より強化されたサイバーセキュリティ体制の緊急性を示しています。今回のような実証段階での攻撃シナリオの段階において一歩先のセキュリティ対策を確保するためには、さらに強固なスレットインテリジェンスや調査が必要となります。
このブログシリーズの第1回目でも強調した通り、自動車産業でのセキュリティの優先度は、今日においてこれまで以上に重要となっています。ZDIによって明らかにされた脆弱性は、簡単なセキュリティ対策を実施することで避けられます。また、これらの攻撃シナリオは、類似の攻撃のリスクを軽減するために役立つ以下のようなセキュリティ実践の重要性も強調しています。
- より効果的な認可対策:自動車メーカー(OEM)****は、車両識別番号(VIN)などの情報が漏れても、それを使って有効なAPI呼び出しを行えないように、より強固なセキュリティ対策を講じるべきです。
- より強化された認証方法:多要素認証(MFA)などの手法を導入することで、攻撃者がAPIを利用するのをより困難にするセキュリティレイヤーを加えることができます。
- 改善されたログ記録と監視体制:全てのAPI呼び出しは記録されるべきです。これにより、車両の位置から遠方でAPIが呼び出された場合、OEMは車のオーナーに適切に警告することが可能になります。
今回のデモでは、未解決のセキュリティ欠陥や、甘いセキュリティ対策が、広がり続ける自動車エコシステム内に無数に存在する地雷のように存在していることが示されました。脆弱性の発見やサイバーセキュリティ調査の目標は、これらの問題を実際のサイバー攻撃が起こる前に特定し、解決することです。
VicOneは、この攻撃シナリオをPwn2Own Automotiveの初開催で実演する予定です。このイベントは、2024年1月24日から26日にかけて東京ビッグサイトのオートモーティブワールドで実施されます。
以下の動画では、コネクテッドカーにおけるリスクに関する広範な議論と、リモートAPI攻撃シナリオのデモが行われています。ぜひご覧ください。