By Jason Yuan (Engineer, Automotive)
Pwn2Own Automotive 2024において、NCCグループのセキュリティリサーチャーであるMcCaulay Hudson氏とAlex Plaskett氏は、Pioneer DMH-WT7600NEX車載インフォテインメント(IVI)システムに対する3つのバグエクスプロイトチェーンを実演しました。(サイバーセキュリティ用語では、複数の脆弱性(バグ)を突いた攻撃を組み合わせることで、最終目的の標的を攻略することを「エクスプロイトチェーン」と呼びます。)
この攻撃は以下の脆弱性を組み合わせたものです。CVE-2024-23928:不適切な HTTPS 証明書の検証により、テレマティクス機能のセッションハイジャックが可能となる脆弱性、CVE-2024-23929:任意のファイル作成を可能にするディレクトリトラバーサルの欠陥、CVE-2024-23930:サービス拒否(DoS)につながる不適切な例外処理。
これらの脆弱性を連鎖(チェーン)させることで、リサーチャーはリモート・コード実行(RCE)を達成し、常駐型スパイウェアを埋め込むことに成功しました。
VicOneのPwn2Own Automotiveの共同ホストであり、脆弱性の発見と開示のパートナーであるTrend Zero Day Initiative™(ZDI)によると、Pioneerはすでに脆弱性に対処するためのファームウェア・アップデートを発行しています。
同氏は、最近スイスで開催されたInsomnihackカンファレンスでこの調査結果を発表しました。本稿では、マルチバグエクスプロイトチェーンの概要を説明し、同様のエクスプロイトを軽減するための業界のベストプラクティスについて議論します。
IVIシステムのセキュリティ確保の重要性
最新のIVIシステムは単なるエンターテイメントハブではなく、ナビゲーション、インターネット接続、重要な車両機能とのインターフェイスとしても機能します。Pioneer DMH-WT7600NEXのような純正(OEM)およびアフターマーケットのIVIユニットは、いずれも注意を要するユーザーデータを扱い、多くの場合、車両機能への特権的なアクセス権を持っています。
これらのシステムに脆弱性があると、攻撃者は車両のリアルタイムの位置情報を追跡したり、会話を盗聴したり、個人情報を盗んだり、あるいは車両の挙動を操作して運転モードやパワートレインの設定を変更したりする可能性があります。
3つのバグの悪用チェーンの概要
リサーチャーはまず、ファームウェア抽出を防御していたセキュリティ対策を迂回し、システム分析を「ブラックボックスからホワイトボックスへ」、つまり限定的な外部テストしかできなかったものをシステム内部のアーキテクチャとその潜在的な弱点の完全な可視化へと移行させました。
また、HTTPS証明書検証の欠陥が発見されたことも大きな発見でした。この欠陥により、システムは中間者攻撃(MITM)に対して脆弱になり、攻撃者はユーザー・セッションを乗っ取ることができるようになりました。また、悪意のある依存ファイルを外部USBデバイスから直接インポートすることで、スパイウェアをインストールできることも発見されました。
図 1.セキュリティリサーチャーがIVIシステムに常駐型スパイウェアの埋め込みを達成した方法を説明する攻撃の流れ
エクスプロイトチェーンの自動車脅威マトリックスへのマッピング
この攻撃の範囲をより深く理解するため、私たちはリサーチャーによるエクスプロイト手法を「車両関連の脅威マトリックス(ATM)」にマッピングし、このフレームワークが自動車システムにおけるサイバーセキュリティリスクの特定、分類、軽減にいかに役立つかを実証しました。VicOneのマッピングはまた、自動車サイバーセキュリティ分析の秩序立った特性に基づいており、認識された脅威モデルに沿った体系的な防御の必要性を明らかにします。
| 戦術 | テクニック | ID | 説明 |
|---|---|---|---|
| 初期アクセス | 物理的改ざんを行う | ATM-T0016 | /etc/shadowファイルを変更するための回路内プログラミングによるシステム認証情報の改ざん |
| 環境を操作 | コミュニケーションを操作する | ATM-T0003 | セッションハイジャックを可能にする不適切な HTTPS 証明書検証の活用 |
| 初期アクセス | リムーバブルメディア経由のエクスプロイト | ATM-T0013 | 外部USBデバイスを介した悪意のあるペイロードの導入 |
| 権限の昇格 | OSの脆弱性の悪用 | ATM-T0026 | CVE-2016-5195 (Dirty COW) を利用したroot権限獲得 |
| 情報収集 | 位置情報を追跡する | ATM-T0043 | GPS座標をリアルタイムで追跡するスパイウェアの活用 |
| 情報収集 | ローカルシステムからのデータ | ATM-T0059 | 通話ログやcookieなど、機密性の高いユーザーデータへのアクセスと流出 |
本件に関するIVIシステムのセキュリティ上の所見
リサーチャーは、PioneerのIVIシステムには、主に外部USBメディアへの書き込み権限を制限するマウント権限制御を含む、既存のセキュリティ対策が幾つか備わっていたことを認めています。
同時に、追加的な保護措置が有益であると思われる部分について指摘しました。ファームウェア抽出プロセスを阻止するために、ウォッチドッグ・メカニズムが導入されていましたが、さらに暗号化や高度なeMMCセキュリティ・プロトコルを利用すれば、保護を強化することが可能です。
リサーチャーは、Pioneerがセッションベースの証明書の検証を厳格化することでHTTPSの検証問題に対処し、今後同様の悪用が行われるリスクを軽減したと述べています。
業界のベストプラクティス
自動車のサイバーセキュリティを強化するために、メーカーはプロアクティブなリスク管理と業界標準や規制へのコンプライアンスの両方を統合した包括的な戦略を採用する必要があります。
完全なソフトウェア部品表(SBOM)を常に最新に維持することは、コンポーネントを追跡し、ソフトウェアのサプライチェーン全体の脆弱性を特定するために不可欠です。ISO/SAE 21434のような確立されたサイバーセキュリティ規格や規制を遵守することで、リスク管理への構造的なアプローチが保証されます。さらに、米国高速道路交通安全局(NHTSA)などの当局によるガイドラインに従うことで、自動車システムのセキュリティ対策がさらに強化されます。
このようなベストプラクティスを実施することで、自動車業界は、進化する自動車サイバーセキュリティの課題の中で車両をよりよく保護し、ユーザーのプライバシーを守り、コネクテッド車両技術への信頼性を確保することができます。
協調した脆弱性開示の時間軸に関する背景
Pwn2OwnイベントでTrend ZDIが、或るチームがデバイスやソフトウェアを「ハッキングに成功」または「pwned」と発表してから、その後、攻略に使用されたテクニックが公表されるまで、しばしば遅延があることに疑問を持たれた方も多いでしょう。この遅延は、ゼロデイ脆弱性をより責任を持って管理するために設計された協調的脆弱性開示(CVD)プロセスの一環です。
1990年代には、脆弱性を積極的に探し出すハッカーはごく少数であり、多くのベンダーは脆弱性に対処する準備ができていませんでした。報告される側も報告する側も、双方から「ハッカーは利益と引き換えに脆弱性を報告しているのではないか?」や「脆弱性は修正されるのか、それとも報告は時間の無駄になるのか?」といった疑念を抱えていました。そして、次のような譲歩案が採用されることになりました。まず攻撃に成功した者が脆弱性をベンダーに報告し、その後、ベンダーがパッチをリリースし、発見したリサーチャーを公に認めるというものです。
Trend ZDIの脆弱性開示ポリシーに基づき、提出された脆弱性は、パッチが利用可能になった時点で、またはベンダーが対応しない場合は一定期間経過後に開示されます。このアプローチにより、問題が解決されるか、または修正方法が知られていない脅威が公に認知されることで、脆弱性が悪用されるリスクが回避または抑止されます。これが、脆弱性が最初に提出されてから詳細が公表されるまでの時間差を説明するものです。
