Pwn2Own Automotive 2024より:IVIシステムを標的とした3つのバグ悪用連鎖を分解

2025年3月31日
CyberThreat Research Lab
Pwn2Own Automotive 2024より:IVIシステムを標的とした3つのバグ悪用連鎖を分解

By Jason Yuan (Engineer, Automotive)

Pwn2Own Automotive 2024において、NCCグループのセキュリティリサーチャーであるMcCaulay Hudson氏とAlex Plaskett氏は、Pioneer DMH-WT7600NEX車載インフォテインメント(IVI)システムに対する3つのバグエクスプロイトチェーンを実演しました。(サイバーセキュリティ用語では、複数の脆弱性(バグ)を突いた攻撃を組み合わせることで、最終目的の標的を攻略することを「エクスプロイトチェーン」と呼びます。)

この攻撃は以下の脆弱性を組み合わせたものです。CVE-2024-23928:不適切な HTTPS 証明書の検証により、テレマティクス機能のセッションハイジャックが可能となる脆弱性、CVE-2024-23929:任意のファイル作成を可能にするディレクトリトラバーサルの欠陥、CVE-2024-23930:サービス拒否(DoS)につながる不適切な例外処理。

これらの脆弱性を連鎖(チェーン)させることで、リサーチャーはリモート・コード実行(RCE)を達成し、常駐型スパイウェアを埋め込むことに成功しました。

VicOneのPwn2Own Automotiveの共同ホストであり、脆弱性の発見と開示のパートナーであるTrend Zero Day Initiative™(ZDI)によると、Pioneerはすでに脆弱性に対処するためのファームウェア・アップデートを発行しています。

同氏は、最近スイスで開催されたInsomnihackカンファレンスでこの調査結果を発表しました。本稿では、マルチバグエクスプロイトチェーンの概要を説明し、同様のエクスプロイトを軽減するための業界のベストプラクティスについて議論します。

IVIシステムのセキュリティ確保の重要性

最新のIVIシステムは単なるエンターテイメントハブではなく、ナビゲーション、インターネット接続、重要な車両機能とのインターフェイスとしても機能します。Pioneer DMH-WT7600NEXのような純正(OEM)およびアフターマーケットのIVIユニットは、いずれも注意を要するユーザーデータを扱い、多くの場合、車両機能への特権的なアクセス権を持っています。

これらのシステムに脆弱性があると、攻撃者は車両のリアルタイムの位置情報を追跡したり、会話を盗聴したり、個人情報を盗んだり、あるいは車両の挙動を操作して運転モードやパワートレインの設定を変更したりする可能性があります。

3つのバグの悪用チェーンの概要

リサーチャーはまず、ファームウェア抽出を防御していたセキュリティ対策を迂回し、システム分析を「ブラックボックスからホワイトボックスへ」、つまり限定的な外部テストしかできなかったものをシステム内部のアーキテクチャとその潜在的な弱点の完全な可視化へと移行させました。

また、HTTPS証明書検証の欠陥が発見されたことも大きな発見でした。この欠陥により、システムは中間者攻撃(MITM)に対して脆弱になり、攻撃者はユーザー・セッションを乗っ取ることができるようになりました。また、悪意のある依存ファイルを外部USBデバイスから直接インポートすることで、スパイウェアをインストールできることも発見されました。

図 1.セキュリティリサーチャーがIVIシステムに常駐型スパイウェアの埋め込みを達成した方法を説明する攻撃の流れ

図 1.セキュリティリサーチャーがIVIシステムに常駐型スパイウェアの埋め込みを達成した方法を説明する攻撃の流れ

エクスプロイトチェーンの自動車脅威マトリックスへのマッピング

この攻撃の範囲をより深く理解するため、私たちはリサーチャーによるエクスプロイト手法を「車両関連の脅威マトリックス(ATM)」にマッピングし、このフレームワークが自動車システムにおけるサイバーセキュリティリスクの特定、分類、軽減にいかに役立つかを実証しました。VicOneのマッピングはまた、自動車サイバーセキュリティ分析の秩序立った特性に基づいており、認識された脅威モデルに沿った体系的な防御の必要性を明らかにします。

戦術テクニックID説明
初期アクセス物理的改ざんを行うATM-T0016/etc/shadowファイルを変更するための回路内プログラミングによるシステム認証情報の改ざん
環境を操作コミュニケーションを操作するATM-T0003セッションハイジャックを可能にする不適切な HTTPS 証明書検証の活用
初期アクセスリムーバブルメディア経由のエクスプロイトATM-T0013外部USBデバイスを介した悪意のあるペイロードの導入
権限の昇格OSの脆弱性の悪用ATM-T0026CVE-2016-5195 (Dirty COW) を利用したroot権限獲得
情報収集位置情報を追跡するATM-T0043GPS座標をリアルタイムで追跡するスパイウェアの活用
情報収集ローカルシステムからのデータATM-T0059通話ログやcookieなど、機密性の高いユーザーデータへのアクセスと流出

本件に関するIVIシステムのセキュリティ上の所見

リサーチャーは、PioneerのIVIシステムには、主に外部USBメディアへの書き込み権限を制限するマウント権限制御を含む、既存のセキュリティ対策が幾つか備わっていたことを認めています。

同時に、追加的な保護措置が有益であると思われる部分について指摘しました。ファームウェア抽出プロセスを阻止するために、ウォッチドッグ・メカニズムが導入されていましたが、さらに暗号化や高度なeMMCセキュリティ・プロトコルを利用すれば、保護を強化することが可能です。

リサーチャーは、Pioneerがセッションベースの証明書の検証を厳格化することでHTTPSの検証問題に対処し、今後同様の悪用が行われるリスクを軽減したと述べています。

業界のベストプラクティス

自動車のサイバーセキュリティを強化するために、メーカーはプロアクティブなリスク管理と業界標準や規制へのコンプライアンスの両方を統合した包括的な戦略を採用する必要があります。

完全なソフトウェア部品表(SBOM)を常に最新に維持することは、コンポーネントを追跡し、ソフトウェアのサプライチェーン全体の脆弱性を特定するために不可欠です。ISO/SAE 21434のような確立されたサイバーセキュリティ規格や規制を遵守することで、リスク管理への構造的なアプローチが保証されます。さらに、米国高速道路交通安全局(NHTSA)などの当局によるガイドラインに従うことで、自動車システムのセキュリティ対策がさらに強化されます。

このようなベストプラクティスを実施することで、自動車業界は、進化する自動車サイバーセキュリティの課題の中で車両をよりよく保護し、ユーザーのプライバシーを守り、コネクテッド車両技術への信頼性を確保することができます。

協調した脆弱性開示の時間軸に関する背景

Pwn2OwnイベントでTrend ZDIが、或るチームがデバイスやソフトウェアを「ハッキングに成功」または「pwned」と発表してから、その後、攻略に使用されたテクニックが公表されるまで、しばしば遅延があることに疑問を持たれた方も多いでしょう。この遅延は、ゼロデイ脆弱性をより責任を持って管理するために設計された協調的脆弱性開示(CVD)プロセスの一環です。

1990年代には、脆弱性を積極的に探し出すハッカーはごく少数であり、多くのベンダーは脆弱性に対処する準備ができていませんでした。報告される側も報告する側も、双方から「ハッカーは利益と引き換えに脆弱性を報告しているのではないか?」や「脆弱性は修正されるのか、それとも報告は時間の無駄になるのか?」といった疑念を抱えていました。そして、次のような譲歩案が採用されることになりました。まず攻撃に成功した者が脆弱性をベンダーに報告し、その後、ベンダーがパッチをリリースし、発見したリサーチャーを公に認めるというものです。

Trend ZDIの脆弱性開示ポリシーに基づき、提出された脆弱性は、パッチが利用可能になった時点で、またはベンダーが対応しない場合は一定期間経過後に開示されます。このアプローチにより、問題が解決されるか、または修正方法が知られていない脅威が公に認知されることで、脆弱性が悪用されるリスクが回避または抑止されます。これが、脆弱性が最初に提出されてから詳細が公表されるまでの時間差を説明するものです。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

  • Pwn2Own Automotive 2024より:IVIシステムを標的とした3つのバグ悪用連鎖を分解
    ブログ
    2025年3月31日
    Pwn2Own Automotive 2024において、車載インフォテインメント(IVI)カテゴリーでターゲットのひとつに設定されたDMH-WT7600 NEXに対してセキュリティリサーチャーが実証した3つのバグによるエクスプロイトチェーンを分析します。また、自動車に特化した脅威マトリックス(ATM)に対応させ、同様のエクスプロイトを軽減するための業界のベストプラクティスを紹介します。
    続きを読む
  • サイバーセキュリティがEVフリート資産活用の要となる理由
    ブログ
    2025年3月25日
    EV運送車両(フリート)がよりコネクテッドになるにつれ、サイバーセキュリティは長期的なパフォーマンス、コンプライアンス、資産活用を確保する上でますます重要な役割を果たすようになっています。現代のフリートが直面する最も差し迫ったサイバーリスクを探り、企業が車両の安全性、運用性、生産性を維持するための実用的な戦略を提示します。
    続きを読む
  • IVIシステム管理パネルの脆弱性により、車両追跡と制御がどのように可能になったか
    ブログ
    2025年3月13日
    セキュリティリサーチャーが、SUBARUのIVI(車載インフォテインメント)システム管理パネルの脆弱性を発見しました。これにより、個人情報、GPS記録、車両制御への不正アクセスが可能になります。この調査結果を検証し、自動車メーカーが車両のライフサイクル全体を通じてセキュリティを最優先するアプローチを採用する必要性を説明します。
    続きを読む
  • 時間がかかっていた攻撃経路の特定を迅速化する方法とは
    ブログ
    2025年3月10日
    効果的な攻撃経路の特定により、自動車メーカーやサプライヤーは、複雑化するセキュリティ脅威の状況に先手を打つことができます。VicOne xZETAが、アルゴリズムと厳選された自動車関連の脅威情報を組み合わせ、製品セキュリティリスク評価を合理化し、手作業を最小限に抑え、実用的な分析結果を導き出す方法を紹介します。
    続きを読む
ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼