By Jason Yuan (Engineer, Automotive)
セキュリティリサーチャーのサム・カリー氏は、先頃、2024年11月に同僚のリサーチャーであるシュバム・シャー氏とともに発見した、SUBARUのIVI(車載インフォテインメント)インフラの脆弱性に関する情報を公開しました。この脆弱性は、同月にSUBARUに報告され、既に修正済みです。この脆弱性は、顧客データ、車両制御、および履歴記録へのフルアクセスを提供する管理システムに起因するものでした。これらのシステムは外部からアクセス可能であるにもかかわらず、充分な認証機能を備えていなかったため、個人情報へのアクセスから車両のリモートロック解除に至るまで、機密性の高い一連の機能が危険にさらされることになりました。本記事では、この脆弱性の性質、それがどのようにして発生したのか、またその理由、そしてコネクテッドカーがますます普及する現代においてどのような意味を持つのかを検証します。
リモート管理の流れに乗って
近年、自動車メーカー(OEM)がユーザーがどこからでも車両とやりとりできるようにリモート管理機能を搭載するケースが増えており、その多くはモバイルアプリやウェブダッシュボードを介して行われます。例えば、SUBARUのSTARLINKシステムでは、遠隔操作によるロック/ロック解除、エンジン始動、診断チェックなどの機能が利用できるようになっています。
STARLINKのようなシステムが提供する24時間体制の接続性は、ユーザーの利便性を高めると同時に、リアルタイムのパフォーマンスデータの収集、より効果的なフリート管理、OTA(オーバー・ザ・エア)アップデートの展開など、OEMにも具体的なメリットをもたらします。しかし、これらのシステムの管理ポータルのセキュリティは、そのシステムへの依存度の高まりに必ずしも追いついていないのが実情です。
ポータルのボンネット(内部)を開けて調査してみると
カリー氏とシャー氏の調査によると、SUBARUは手練れのセキュリティリサーチャーであれば簡単に発見できるような形で、機密性の高いサービスを無防備なままにしていたとのことです。ドメインファジングとサブドメインの認識を行うことで、リサーチャーはSTARLINKシステムに関わる管理ポータルを発見しました。このポータル内の主要スクリプトは外部からアクセス可能で、適切なセキュリティ保護が施されていませんでした。
これらのスクリプトの1つは、認証を必要とせずに管理者がパスワードをリセットすることを可能にしていました。唯一認証で求められるのは管理者の有効なメールアドレスであり、これはオープンソースインテリジェンス(OSINT)の方法で特定することができました。つまり、OSINTのスキルを多少持っている攻撃者は、管理者のパスワードをリセットし、そのアカウントを事実上乗っ取ることができるのです。
これにより、リサーチャーは、たった一枚のナンバープレートから、その車の所有者の身元を特定し、車両のGPS履歴から走行ルートを閲覧し、さらにはコマンドを発行してドアロックを解除できることを実証して、私たちにこの脆弱性の深刻さを教えることになります。
攻撃者は最小限の労力で車の位置を追跡し、個人情報を収集し、重要な車両機能を操作することが可能でした。必要な特権への限定的なアクセスでさえもセキュリティ上の脅威となりました。しかし、この脆弱性が意味するところはさらに深刻で、無防備な形で公開されたポータルには、本来は一般公開されることを想定していなかった広範な管理機能が提供されていました。
図1. セキュリティリサーチャーがIVIシステム「STARLINK」の完全な管理者アクセス権を獲得した攻撃の流れ
幸いにも、SUBARUは迅速に脆弱性を修正しました。また、リサーチャーは攻撃が再現できなくなったことを確認しました。
つながり続ける世界で自動車サイバーセキュリティを確保するには
車両がますますコネクテッド化し、ソフトウェアで制御されるようになるにつれ、その複雑性と攻撃対象領域は従来のITネットワークを超えて、自動車自体にまで拡大しています。この相互接続性はリスクを拡大させる可能性があり、管理者権限による遠隔操作での車両ロック解除や機密データへのアクセスなどの侵害は特に深刻な問題となります。
自動車メーカー(OEM)は、消費者向けアプリケーション以外のすべてのバックエンドシステムと管理ポータルを厳格にテストすることで、自動車サイバーセキュリティを強化する必要があります。APIとウェブサイトのセキュリティ脆弱性を特定するには、定期的な第三者による侵入テストが不可欠です。
原則である「権限付与は必要最小現とする」セキュリティ規範を遵守すること、そしてバックエンドシステムへのユーザーデータの送信を適切に制限することで、リスクを軽減することができます。さらに、これらの取り組みをITセキュリティオペレーションセンター(SOC)と車両専用セキュリティオペレーションセンター(VSOC)全体にわたる継続的な監視と統合することで、自動車のサイバーセキュリティが強化されます。OEMは、APIセキュリティイベントと車両データを関連付けることで、コンテクスト化されたリスクの可視性を獲得し、より効果的なリスク評価と新たな脅威に対するより適切なリソース配分が可能になります。
未来への一歩
この事例は、車載システムが当初からセキュリティを考慮して設計されていない場合、利便性がすぐに欠点となる可能性があることを如実に示しています。世界中で、ドライバーの安全とデータのプライバシーを保護するために、標準規格や規制はますます厳格化されています。同時に、自動運転やV2X(Vehicle-to-Everything)通信などの新技術は、従来のネットワークやアプリケーションのセキュリティ上の課題を超えた新たな脅威をもたらします。
この変化の激しい状況において、先見性のあるアプローチとセキュリティ専門家の協力により、コネクテッドモビリティの安全性を損なうことなく、その革新性を維持することが可能になります。 自動車サイバーセキュリティは、後付けで対応するものであってはなりません。 個々の欠陥を修正するのではなく、設計から廃車までの車両の全ライフサイクルを通じて、車両を保護していく必要があります。
