By Jason Yuan (Engineer, Automotive)
セキュリティリサーチャーのWillem Melching氏が主催し、3月下旬に開催された最近の自動車向けキャプチャ・ザ・フラッグ(CTF)イベントで、参加者は以前から知られていながらも依然として重要な脆弱性を持つHitag2について改めて検証しました。Hitag2は、複数の研究論文(2012年と2018年の論文を含む)の題材となってきたキーレスエントリーシステムのプロトコルであり、このCTFイベントでは、攻撃者がいかに素早く当該脆弱性を悪用してキーを複製できるかが実証されました。
参加者の一人であるStephan DB氏は、詳細な報告書の中で、彼がこの脆弱性を悪用するために使用した手順を説明しています。本稿では、技術的なステップを要約し、このタイプのスマートキーのステルス複製がなぜ驚くほど簡単なのかを説明します。
定番だが時代遅れのシステム
Hitag2は、自動車のキーフォブやイモビライザーに広く使用されているRFIDベースのトランスポンダーシステムです。2000年代から2010年代にかけて、その手頃な価格とシンプルさにより、数多くのブランドの自動車向けキーレスエントリーシステムに広く採用され、大きな人気を博しました。市場に投入されてから数十年が経つにもかかわらず、2023年モデルの一部にはまだ搭載されており、レガシーテクノロジーが期待される寿命をはるかに超えて存続する場合があることを思い知らされます。
かつては信頼性が高いものと考えられていたHitag2ですが、実証実験により、そのセキュリティ上の欠陥が単なる理論上のものではないことが明らかになりました。攻撃者は、目立たないソフトウェア無線(SDR: Software-Defined Radio)デバイスを使用して、離れた場所からHitag2ベースのキーフォブの信号を傍受し、その後、48ビットの短い暗号を悪用して機能するクローンを偽造することができます。これらの技法を組み合わせた盗難キットがダークウェブ市場に出回っており、最低限の技術スキルさえあれば、犯罪者も攻撃を再現できてしまうという危険が身近に迫っています。
この現実のシナリオは、最新の自動車が時代遅れのセキュリティ対策に頼るリスクを浮き彫りにしています。ステルスデータ収集とスピーディな暗号解析により、同一テクノロジーを使ったキーのクローニングが一般的になり実行も比較的容易になっているからです。
フォブのクローン:生信号の収集から秘密鍵の複合化まで
Hitag2ベースのキーフォブのクローンを作るには、まず無線通信をキャプチャし、基礎となるプロトコルをデコードします。最近のCTFチャレンジでは、参加者がこのプロセスがいかに簡単であるかを実証しました。
攻撃者はまず、HackRF OneのようなSDRを使って生の信号を収集します。ほとんどの自動車用リモコンが発信する特定の周波数帯域をリスニングすることで、ドライバーが 「ロック」や 「ロック解除」を押すたびにフォブから送信される短いバーストをキャプチャすることができます。これらの信号は通常、信頼性を高めるために複数回繰り返されるようになっているため、有効なサンプルを取得するのにそれほど時間はかかりません。
下記の画面はこの記事のために攻撃を再現した際のスクリーンショットです。
画像1.キーフォブからキャプチャされた無線信号
サンプル取得後、Universal Radio Hacker(URH)のようなツールでパラメータを微調整します。キーフォブの送信には通常、オン・オフ・キーイング(OOK)または振幅シフト・キーイング(ASK)変調とマンチェスター符号と呼ばれるエンコーディング方式が使用されます。URHの「復調」ビューは、正しいサンプルレートと逆マンチェスター方式が使用されているかどうかを確認するのに役立ちます。キャプチャに成功したかどうかの頼りとなる指標は、デコードされた出力の"FFFF"で始まる13バイトのフレームで、これは通常有効なHitag2パケットを表します。このパケットフォーマットには通常、フォブの固有識別子(UID)、カウンタ、ボタンコード、暗号出力が含まれています。信号にノイズがある場合でも、チェックサムが正しければ、有効なデータが十分にキャプチャされていることが確認できます。
画像2.デコードされた信号
これらのパケットを最大限に活用して攻略するために、リサーチャーは "Hitag 2 Hell - Brutally Optimizing Guess-and-Determine Attacks "と題された2018年の研究論文で概説されているような、洗練された推測と判定技法に頼っています。最新のクラッキングツールは、GPUアクセラレーションを活用し、部分的な推測を系統的にテストすることで、基本的なブルートフォース攻撃に比べて労力を大幅に削減します。48ビットのキーの正しい部分が特定されると、暗号内に組み込まれた依存関係により、残りのビットを素早く推測することができます。通常、別々の信号から2組のパラメータ(各組のnRxとaRx)を収集すれば、攻撃を開始するのに十分な情報が得られます。これらの値が手元にあれば、残りの不明ビットはすぐに判明し、攻撃者はHitag2キーを完全に復元することができます。攻撃者がここまで到達すれば、後は簡単で、機能するキーフォブのクローンを作成して車両のロック、ロック解除、さらには始動も行うことができるようになります。
画像3.秘密鍵のデコード
実社会への影響
Hitag2の弱点は何年も前から学術研究で議論されてきましたが、実際にあった盗難事例から、この脆弱性が深刻な問題として着目されるようになりました。犯罪者は、駐車場や住宅街で所有者が車の施錠や解錠をするのを待つことで、キーフォブの信号を静かに記録することができます。記録されたわずか数個の信号があれば、彼らは市販のクラッキングツールを適用して、1分以内に完全に機能する「合鍵」を作成することができ、改ざんの痕跡は一切残りません。
この脅威が特に懸念されるのは、最近の生産年式のものも含め、多くの車種がいまだにキーフォブにHitag2を使用しているためです。マイカー所有者は、まさか自分の車が時代遅れの暗号化方式を使用しているとは知らず、不正侵入の兆候もないまま車のロックが解除されたり、盗難されたりするリスクが生じてしまいます。レガシーテクノロジーがセキュリティに影を落とし続けてしまう一例を示すものです。
