サイバーセキュリティ用語において、「脆弱性」とは、システムやネットワーク内に存在する弱点を指します。この弱点は、ハッカーや他の攻撃者によって悪用されることがあり、不正アクセス、損害、その他の悪質な行動を引き起こす原因となります。多くの場合、脆弱性は周知された情報に基づいて分類されています。周知された脆弱性は、世界中のサイバーセキュリティコミュニティによって広く認識されており、この情報は関連する利害関係者と共有されます。これにより、影響を受けるシステムのセキュリティを担当する者が、脆弱性を迅速に修復することが可能になります。一方で、対応前に暴露される「ゼロデイ脆弱性」の場合は、守備側が認識する前に攻撃者によって発見され、悪用されるリスクがあります。このような脆弱性は、サプライチェーン全体にも大きなリスクをもたらします。
本稿では、自動車業界に特有の脆弱性のタイプを取り上げています。これらの脆弱性は他業界のものと共通点があるかもしれませんが、現代のコネクテッドカーの複雑化に伴って進化する脅威状況をより深く理解することが求められています。そうした中、Pwn2Own Automotiveのようなイニシアチブは、まだ周知されていない脆弱性を明らかにし、それらに積極的に対処する上で欠かせない役割を果たしています。
自動車業界における一般的な脆弱性とそれに関連する具体例を以下に紹介します。
- 情報漏えい関連の脆弱性:情報漏えいとは、意図的であってもなくても、機密情報が露出してしまうことを指します。それほど重大な問題には見えないかもしれませんが、車両識別番号(VIN)、ユーザのメールアドレス、タイムゾーンなどの小規模な漏えいでも結果的に大きな影響を及ぼすことがあります。例えば、2022年には、サービスプロバイダーのクラウドサービスに存在する脆弱性を悪用して窃取したVINのみを使用して車両を解錠する攻撃がリサーチャーによって実証されました。
- DoS攻撃関連の脆弱性:サービス拒否(DoS)は、大量の通信を送り込み、システムのリソースが圧倒されてしまい、本来のユーザが使用できなくなる状況を指します。自動車の場合、DoS攻撃の脆弱性が悪用されることで、システム設計の不備や容量不足が発生してしまうことになります。例えば、2023年初旬、特別に作成されたメディアファイルが含まれるUSBペンドライブをインフォテインメントシステムに挿入することで、システムをシャットダウンさせることが可能となるDoS攻撃関連の脆弱性が、リサーチャーによって明らかにされました。
- ハードコードされた認証情報の脆弱性:ハードコードされた認証情報とは、システム内に組み込まれて変更不可能な認証情報のことを指します。こうした情報の悪用によってセキュリティリスクを生じる可能性があり、特に車両内の高度なデバイスで一般的に見られます。例えば、デバッグや開発者向け機能に使われるパスワードやキーがあり、これらはしばしばデバイスや製品ライン全体で同じものが使用されます。多くのデバイスで同じアクセス方法が使われることは、セキュリティ意識の不足に起因し、さまざまなセキュリティ侵害の原因となります。
- スタックオーバーフローの脆弱性:スタックオーバーフローは、プログラムがスタックと呼ばれるメモリ構造に、割り当てられた容量以上のデータを書き込むプログラミングエラーのことを指します。このような状況では、プログラムが割り当てられたメモリを超過し、予測不可能な動作をしたり、不正なスクリプトが実行されたりすることがあります。スタックオーバーフローの脆弱性は、不適切なソフトウェア設計によって生じることが多く、例として、VicOneのリサーチチームは、自動車のヘッドユニットにおけるスタックオーバーフローを悪用して任意のコードを実行する手口を実証をしました。
- コマンドインジェクションの脆弱性:コマンドインジェクションは、攻撃者が脆弱なアプリケーションを通じてホストオペレーティングシステム上で任意のコマンドを実行できるようにする手法です。コマンドインジェクションによる脆弱性悪用が行使されると、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability )というCIAの基本原則を支えるセキュリティメカニズムが不十分となり、深刻な結果を招くことがあります。例として、攻撃者が車のヘッドライトを経由してCANバスの脆弱性を悪用するCANバスインジェクション攻撃の手法が挙げられます。
これらの脆弱性は、コネクテッドカーを様々なサイバー攻撃から保護する上で堅牢かつレジリエントな自動車サイバーセキュリティの重要性を際立たせています。これらの脆弱性への対応は、自動車システムやネットワークの安全性とセキュリティを確保するために欠かせません。
コネクテッドカーにおけるその他の脆弱性悪用に関するさらなる調査や、適切なセキュリティのベストプラクティスを学ぶため、ぜひVicOne公式ページのリソースセクションをご参照ください。