By Gloria Chen (Senior Threat Researcher, Automotive), Spencer Hsieh (Staff Threat Researcher, Automotive), Shin Li (Staff Threat Researcher, Automotive), Omar Yang (Senior Threat Researcher, Automotive)
自動車業界に特化した記念すべき初開催のPwn2Own Automotiveが終了して数週間が経ち、VicOneの主催とトレンドマイクロのZero Day Initiative(ZDI)の支援による3日間のイベントからは、さまざまな新たな知見が得られました。テスラ、オペレーティングシステム、車載インフォテイメントシステム(IVI)、電気自動車(EV)充電器の4つの主要カテゴリーで51の課題に挑んだ世界中の17のチームと個人が、初めて自動車を中心としたこのPwn2Ownで自分たちの技術を披露しました。参加者たちは賞金を獲得し、Synacktivチームが総合優勝、「Master of Pwn」として表彰されました。そして自動車業界にとっての本当の利益は、イベント中に発見された49件のゼロデイ脆弱性と、それらに取り組む機会が与えられたことにあります。
本稿では、これらの数値的な結果にとどまらず、新たに浮かび上がったセキュリティ上のギャップや注目すべき動向に焦点を当てることで得られた主要な知見を共有します。
経験から得られた主要な知見
Pwn2Own Automotiveは、さまざまな自動車システムや部品に存在する重要な脆弱性だけでなく、この分野での一般的な動向も浮き彫りにしました。以下、新たに明らかになったセキュリティの問題点や脆弱性から、イベントで披露された専門技術のレベルまで、今回の経験から得られた知見を説明します。
カテゴリーごとにセキュリティレベルが異なる
テスラは展示されたシステムの中で最もセキュリティが高く、堅固なセキュリティフレームワークを備え、このカテゴリーは、当イベントのようなバグバウンティプログラム(報奨金制度によるセキュリティ脆弱性発見プログラム)での大きなインセンティブもなっています。
一方で、充電コントローラーのカテゴリーでは、これらデバイスのセキュリティが最も低く、1990年代の機器を思わせる状態でした。これらのコントローラーは、データ実行防止(DEP)、アドレス空間レイアウトのランダム化(ASLR)、バッファセキュリティチェックなど、現代のオペレーティングシステムにとって一般的なセキュリティ機能を備えていませんでした。
また、ファームウェアへのアクセス性もデバイスによって異なり、IVIシステムや充電ステーションのファームウェアは、WindowsやLinuxのバイナリよりも入手が困難であることが判明しました。それでもなお、これらのデバイスで用いられているセキュリティ機能は、主要なオペレーティングシステムに比べて後れを取っています。
車両エコシステム全体へのセキュリティ向上が求められている
カテゴリーごとのセキュリティ強度の差異から、参加者たちは、攻撃しやすいと思われる対象に目を向けがちでした。実際、テスラをターゲットにしたのがわずか1チームであったに対し、8チームが電気自動車の充電器を狙ったカテゴリーに参加していました。こうした偏りは、自動車業界全体に渡ってセキュリティ対策を強化することの緊急性を浮き彫りにしています。
自動車業界のベンダーとセキュリティ専門家の間の知識格差
各試行の後、自動車業界のベンダー代表のエンジニアに対して、発見された脆弱性を報告しました。しかし、いくつかのベンダーは、これらの欠陥を理解するのに必要なサイバーセキュリティに関する知識が不足しているようでした。こうした知識面でのギャップからは、セキュリティ専門家やセキュリティソリューションを紹介し、自動車システムのセキュリティを強化する機会があることが示されているといえます。一方、今回これらのベンダーがPwn2Own Automotiveに参加していることは、ベンダー側で問題点を改善する意欲があることを示しているともいえます。
広く認識されていて対応可能なセキュリティの問題点も再認識された
今回のイベントでは、広く認識されていて対応可能なセキュリティの問題点も改めて再認識されました。
特に自動車産業で見られる大きな問題の1つに、多くの現存するチップが更新できないというセキュリティ上の課題があります。現状、これらについては更新ではなく交換が必要となっています。そのため、次世代の電気自動車(EV)においていかにしてチップのオーバー・ザ・エア(OTA)アップデートを可能にするかが重要な課題となっています。
また、充電器にJTAGのようなデバッグインターフェースが広く用いられていることも問題といえます。これにより、不正アクセスや悪用を容易にする深刻なセキュリティリスクを引き起こします。この問題は、Pwn2Own Automotiveイベント中、ZDIのリサーチャーたちに実演されました。
開発プロセスの問題点
静的アプリケーションセキュリティテスト(SAST)によって短時間で脆弱性が見つけ出された状況も、今回のイベントでは目の当たりにされました。これは、自動車部品の開発過程に問題があることを示しており、より厳密なセキュリティテストの手順を導入する必要性を強調しています。
脆弱性の発見の重要性
これらの知見を得ることが、今回、VicOneがZDIと共に自動車業界に特化した倫理的ハッキングとしてのPwn2Ownイベントを開催した理由の1つです。
自動車システムのゼロデイ脆弱性を発見する分野で業界を牽引するVicOneは、変化し続ける自動車エコシステムと、それが示す広大なアタックサーフェスに積極的に取り組んでいます。自動車メーカー、サプライヤー、自動車ネットワーク全体へのサイバーセキュリティソリューションの提供に加え、VicOneは実地に根ざした研究と協働を通じて、現実の問題に対処しています。専門家を招いて自動車システムの脆弱性を探り、技術革新を推進し、様さまざまなサイバー脅威からコネクテッドカーを守ることを目指しています。