Pwn2Own Automotive 2024より:IVIシステムを標的とした3つのバグ悪用連鎖を分解
2025年3月31日Pwn2Own Automotive 2024において、車載インフォテインメント(IVI)カテゴリーでターゲットのひとつに設定されたDMH-WT7600 NEXに対してセキュリティリサーチャーが実証した3つのバグによるエクスプロイトチェーンを分析します。また、自動車に特化した脅威マトリックス(ATM)に対応させ、同様のエクスプロイトを軽減するための業界のベストプラクティスを紹介します。
CyberThreat Research LabIVIセキュリティの脆弱性:SUBARUの事例から学ぶコネクテッドカーのリスク
2025年3月13日IVIの脆弱性を突いた攻撃事例をSUBARU STARLINKのケースで解説。管理者ポータルの問題を基に、コネクテッドカーの遠隔操作リスクとライフサイクル全体のセキュリティ対策の重要性を論じます。
CyberThreat Research Lab2025年初頭に相次ぐ自動車業界を狙ったランサムウェア攻撃
2025年2月26日2025年が始まって最初の数週間だけで、自動車業界を狙ったランサムウェア攻撃は急増しています。最近の事例と、これらの攻撃が自動車サイバーセキュリティに及ぼすより広範な影響について考察します。
CyberThreat Research LabPwn2Own Automotiveより: Phoenix ContactのCHARX SEC-3100 EV充電コントローラに2件のRCE脆弱性
2025年2月7日Pwn2Own Automotive 2024で発見されたPhoenix Contact CHARX SEC-3100 EV充電コントローラの2つのリモートコード実行(RCE)脆弱性について、その影響と考えられる緩和策に焦点を当てて説明します。
CyberThreat Research LabIVIシステムで『DOOM』をプレイ:Pwn2Own Automotive 2024でアルパインのHalo9の脆弱性がさらに発見される
2025年1月14日本稿ではPwn2Own Automotive 2024において、NCCグループチームがAlpine Halo9 iLX-F509 IVIシステム上でゲーム『DOOM』をプレイして見せた2つのバグの連鎖を検証します。攻撃者がルートアクセス権を獲得した場合、より深刻な影響が生じることに注目し、リスクを軽減するための対策を推奨します。
CyberThreat Research LabPwn2Ownで発見されたTeslaの脆弱性:TPMSを起点としたゼロクリック攻撃を解説
2024年12月18日Pwn2Own 2024で実証されたTeslaの脆弱性を解説。タイヤ空気圧監視システム(TPMS)の欠陥を起点に、ECUを乗っ取るゼロクリック攻撃の連鎖と、そのセキュリティへの影響を分析します。
CyberThreat Research LabPwn2Own Automotiveより:Alpine Halo9 IVIシステムにおけるクリティカルなゼロクリック型リモートコード実行のBluetooth脆弱性
2024年12月12日Pwn2Own Automotive 2024コンテストでは、Alpine Halo9 IVIシステムに重大なゼロクリック型リモートコード実行のBluetooth脆弱性が発見され、コネクテッドカーにおける独自実装のリスクがクローズアップされました。 本稿では、この発見、攻略検証技法、および新たな脅威から自動車技術を保護するための重要な教訓について考察します。
CyberThreat Research Lab生成AIが導く未来に、自動車のサイバーセキュリティはついていけるのか
2024年11月25日Qualcommは、次世代のOryonプロセッサを車両内システムに統合することで、生成AI(GenAI)を車両に導入する大きな一歩を踏み出しました。本稿では、生成AIを動かすテクノロジーを探り、その変革的な要素をクローズアップするとともに、生成AIがもたらすセキュリティ上の課題についても取り上げます。
CyberThreat Research LabIVI システムで発見された複数のゼロデイ脆弱性に対するセキュリティ緩和策
2024年11月18日ZDIは、車載インフォテインメント(IVI)システムに6つのゼロデイ脆弱性を特定しました。現状、これらの脆弱性は修正プログラムが提供されていないことから、潜在的なリスクを最小限に抑え、コネクテッドカーのIVIシステムを強化するためのセキュリティ対策を提言します。
CyberThreat Research LabEmporia EV充電器の不正利用:ハッカーの視点
2024年11月13日電気自動車(EV)充電器のシリアルインターフェースが露出していると、攻撃者がハードウェアやファームウェアを改ざんできるという重大な脆弱性が生じます。こうした脆弱性は更なる悪意ある行為のきっかけとなってしまうため、悪用を防ぐ強力なセキュリティ対策の導入が望まれます。
CyberThreat Research LabTesla IVIシステムへの侵入:Pwn2Own Automotive 2024でのSynacktivのバグ連鎖攻撃
2024年11月4日Pwn2Own Automotive 2024でTesla(テスラ)の車載インフォテインメント(IVI)システムを巧みに攻略したSynacktivのバグ連鎖攻撃を検証し、自動車サイバーセキュリティの対策強化に繋がるセキュリティ上の教訓を振り返ります。
CyberThreat Research LabPwn2Own Automotiveより: Autel MaxiChargerに学ぶバッファオーバーフロー脆弱性
2024年10月14日今回は、Pwn2Own Automotive 2024で発見されたAutel MaxiChargerのさらに2つの脆弱性、CVE-2024-23967とCVE-2024-23957について詳しく見ていきます。 いずれもスタックベースのバッファオーバーフローに分類され、リモートコード実行につながる可能性がある古典的でありながら回避可能なプログラミングエラーです。
CyberThreat Research Lab