キーフォブからUWBまで:ハッカーが車両の入力システムを乗っ取る方法

2024年6月7日
CyberThreat Research Lab
キーフォブからUWBまで:ハッカーが車両の入力システムを乗っ取る方法

By Omar Yang (Senior Threat Researcher, Automotive)

従来型のキーから高度なリモートキーレスエントリ(RKE)システムやスマートキーシステム(パッシブキーレスエントリ(PKE)システムやパッシブエントリパッシブスタート(PEPS)としても知られています)への車両入力システムの進化は、利便性と新しいセキュリティ上の課題の両方をもたらしました。 堅牢なセキュリティソリューションは、自動車泥棒がより高度な手法を開発するにつれ、重要になっています。

超広帯域(UWB)技術は、自動車セキュリティにおけるゲームチェンジャーとして注目されています。 BluetoothやRFIDとは異なり、UWBは正確な距離測定を提供し、自動車盗難でよく使われるリレー攻撃に対して高い耐性を持っています。

2回に分けたこのブログシリーズの第1回では、自動車の入力技術の歴史を調べ、リプレイ攻撃、ローリング攻撃、リレー攻撃などの悪名高いセキュリティ侵害の種類と、その効果的な緩和策を探ります。この議論の一環として、Teslaのキーレスエントリシステムが特定の攻撃に対して脆弱である可能性があることを取り上げた最近のレポートを取り上げます。 アンロックプロセスのメカニズムと、攻撃者によってそれがどのように悪用される可能性があるかを明らかにします。 このシリーズの後半では、UWB技術、その用途、および潜在的な脆弱性について詳しく見ていきます。

自動入力システムとそのセキュリティ上の課題の歴史

自動入力システムの進化は、利便性とセキュリティの向上を目的とした大幅な進歩によって特徴付けられています。 当初、車は単純な機械式のキーを使用して固定されていましたが、熟練した泥棒によって簡単に複製できました。 1980年代後半のリモートキーレスエントリ(RKE)システムの導入は大きな飛躍を遂げ、ドライバーはボタンを押すだけで車のロックを解除できるようになりました。 しかし、技術が進歩するにつれ、自動車泥棒の巧妙さも向上しました。 RKEシステムは、信号のジャミング、再生、および傍受攻撃に対して脆弱になりました。

次の大きなイノベーションは、キーレスエントリとプッシュボタンスタート機能を可能にするスマートキーシステムの開発でした。 キーフォブからの信号を車に延長する盗難犯が、特に物理的なキーへのアクセスを必要としないため、車両を盗む際の一般的な手口になりました。 高級車の窃盗件数の急増により、高級車はこのような攻撃に特に脆弱であり、魅力的なターゲットであったため、自動車保険料が急騰しました。 これらの脅威が進化するにつれて、より安全な入力システムの必要性が明らかになりました。 これにより、これらの高度な攻撃に効果的に対抗するための高度な精度とセキュリティを提供する超広帯域(UWB)技術の採用が促進されました。

上記のワイヤレス技術に加えて、RFIDは物理カードまたは携帯電話に保存された仮想カードの形で、現代の車両で一般的に使用されています。 RFIDシステムは、ユーザーとの直接の対話中に数センチメートル以内でのみ車のロックを解除するため、より安全です。 ただし、RFIDには独自の脆弱性があります。 同じ周波数でより強い無線信号によってジャミングされ、RFIDタグとリーダー間の通信中に傍受(「スニッフィング」)され、元のものと同じ識別コードを持つ複製RFIDタグを作成するために使用される可能性があります。

自動入力システムに対する信号攻撃の種類

RKEシステムに対するいくつかの信号攻撃の可能性について言及しました。 このセクションでは、それらがどのように機能するかについての概要を説明します。

ジャミング攻撃では、ハッカーはより高いエネルギーで電波を送信するため、車両は正しい信号を受信できなくなります。 これは、サービス拒否(DoS)攻撃の一種といえます。

Figure 1. A jamming attack

図1:ジャミング攻撃

リプレイ攻撃では、ハッカーは車の所有者から送信された信号を傍受します。 キャプチャされた固定コード信号を使用して、車両への不正アクセスを得ることができます。

リプレイ攻撃

図2:リプレイ攻撃

ローリングジャム攻撃は、信号の傍受とジャミングを組み合わせたものです。 このシナリオでは、ハッカーは送信された信号を傍受すると同時に、車の近くの信号をジャミングして、正しい信号を受信できないようにします。 彼らの目標は、車の所有者にキーフォブを2回以上押させることです。 そうすることで、ハッカーは将来の攻撃に使用できる信号をキャプチャできます。 この手法は、ローリングコード機能を備えた車を標的としています。

ローリングジャム攻撃

図3:ローリングジャム攻撃

リレー攻撃では、ハッカーは1つの無線デバイスを車の近くに、もう1つを本物のキーの近くに配置します。 これらの無線デバイスは、キーが近くにあると車に信じ込ませ、車のロックを解除して始動できるようにするために、信号を本質的に拡張します。

リレー攻撃

図4:リレー攻撃

これらの攻撃手法は、前のセクションで解説した自動車エントリーシステムを回避するのに有効であることが実証されています。表1は、自動車エントリーシステムの各種方式と、それぞれに対して適用可能な攻撃手法をまとめたものです。

自動入力システム潜在的な攻撃
物理キーホットワイヤー
リモートキーレスエントリ(RKE)ジャミング、リプレイ、ローリングジャム
パッシブキーレスエントリ(PKE)リレー
RFID(キーカード)ジャミング、スニッフィング、クローニング

表1:自動入力システムとそれらに対する可能性のある攻撃の概要

Tesla Model 3に対する攻撃

UWBは、自動車エントリーシステムの革新的な技術として登場し、次世代の主要な方式となりつつあります。これにより、現在の無線ハッキング手法に対するUWBの有効性が問われています。最新のTesla Model 3におけるUWBの採用に関する近年の報告は、その答えの手がかりを与えてくれます。

GoGoByteの研究者による調査結果を引用したこの報告によると、Tesla Model 3はUWBをサポートしているものの、現時点ではリレー攻撃を防ぐ可能性のある距離チェックに UWBを効果的に活用していないとのことです。これは、TeslaのキーレスエントリーシステムがBluetoothを主に使用して車両のロック解除とイモビライザーの制御を行っているためです。その結果、以前のモデルと同様に、Bluetoothを介したリレー攻撃が引き続き成功しています。

Teslaはこの問題を認識しており、UWBの信頼性とセキュリティの向上に取り組んでいると述べています。必要な改善が展開されるまで、Tesla車両はリレー攻撃に対して脆弱なままですが、デフォルトのGPS追跡機能のおかげで、Tesla車両は米国で最も盗難が少ないと報告されていることは公平に留意すべきでしょう

この問題への対策として、Tesla車両の所有者は「PIN-to-drive」と呼ばれる多要素認証(MFA)の一形態である機能を利用することが推奨されます。この機能では、キーフォブやスマートフォンを使って車両のロックを解除した後でも、ドライバーが4桁のPINコードを入力しなければ車両を始動できません。PIN-to-driveは2段階の保護を提供し、泥棒がリレー攻撃で車両のロックを解除しても、PINを知らなければ始動できないようにします。この機能は、より堅牢なUWBセキュリティ対策が実装されるまでの間、現在のセキュリティの弱点に対する効果的な保護策となります。

この報告は、UWBの現状と、その利点を完全に発揮するためにさらなる改善が必要であることを示唆しています。このブログシリーズの後半の第2回では、UWB技術とその自動車におけるセキュリティへの影響について詳しく見ていきます。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼