起亜（キア）にナンバープレート情報だけで車両を遠隔操作可能な脆弱性が発見される

2024年9月30日

CyberThreat Research Lab

By Omar Yang (Senior Threat Researcher, Automotive) and Ling Cheng (Senior Product Marketing Manager)

現代（ヒョンデ）グループ傘下の自動車メーカー「起亜（キア）」は、ナンバープレート番号だけあれば、わずか30秒で、車両のロック解除や始動など、車両の主要な機能を遠隔操作できてしまう可能性があった一連の脆弱性を修正したことを発表しました。

この脆弱性は、Neiko Rivera、Sam Curry、Justin Rhinehart、Ian Carrollらセキュリティ研究者のチームによって発見されました。この脆弱性により、攻撃者は車両所有者の氏名、電話番号、メールアドレス、自宅住所などの個人情報を入手することが可能でした。これにより、攻撃者は車両所有者に知られることなく、もう一人の車両ユーザーとして自分のスマートフォンやコンピューターから車両にアクセスすることが可能となります。

この脆弱性は2024年6月に公表され、8月までに修正されました。影響を受けるキアの車両には2013年以降のモデルも含まれますが、韓国の自動車メーカーは、この脆弱性が実環境で悪用されたことはないと主張しています。

攻撃の流れ

潜在的に悪用される危険性があった攻撃の流れは、キアのディーラー専用サイトの認証プロセスにおける脆弱性を突くところから始まります。これにより、攻撃者は正規の新規ディーラーとして登録し、キアのサーバーから機密情報にアクセスできるようになります。さらに、このシステムでは、ログインしたユーザー（攻撃者）が新しいアカウントを作成したりユーザー権限を変更したりする行為に対して充分な権限確認がありませんでした。

攻撃を実行するために、攻撃者はまずディーラーとして登録し、この後必要となるすべての機密情報を取得するためのAPIコールに必要なアクセストークンを取得します。次に攻撃者はサードパーティの「ナンバープレートから車両識別番号（VIN）を検索する」サービスを使用して、ナンバープレート番号から対象車両の車両識別番号（VIN）を特定します。VINとアクセストークンがあれば、攻撃者は車両所有者のメールアドレスや電話番号などの機密情報を照会することができます。この情報を利用して、攻撃者は自身のキアアカウントを車両に紐付け、本来の所有者をセカンダリユーザーに降格し、所有者に知られることなく自分をプライマリユーザーとして設定します。プライマリユーザーとして一度設定されると、攻撃者は車両のドアのロック解除やエンジン始動などの車両機能を制御できるようになります。

図1. 潜在的な攻撃の連鎖

セキュリティに関する考察

今回のケースのような脆弱性は、車両を盗難や不正アクセスなどの潜在的なリスクにさらすことになり、自動車のオーナーに被害をもたらします。その結果、キアのような自動車メーカーは、評判の低下や法的リスクに直面し、自動車のサイバーセキュリティを改善する必要に迫られます。また、保険会社や規制当局などの他の利害関係者は、このような脆弱性に対応して、ポリシーや関連法規を調整する必要があるかもしれません。

この場合、重要な問題はバックエンドAPIの脆弱性、特に車両識別番号（VIN）情報に関連する部分にあります。自動車メーカーは、強固なセキュリティを維持しながら顧客に便利なサービスを提供するために、以下の方法でセキュリティを強化することができます。

積極的なリスク軽減のためのシフトレフト戦略：設計段階から継続的なAPI脆弱性評価を組み込むことにより、メーカーは潜在的なAPIの問題が重大化する前に、問題を特定し対処できるようになります。このアプローチにより、将来的なリスクを最小限に抑え、全体的なセキュリティ対策を強化することができます。
ダークウェブの監視による早期警告：信頼できるソリューションプロバイダーによるディープウェブやダークウェブの継続的な監視により、影響を受ける可能性のあるベンダーやコンポーネントに関する情報との相関関係を把握し、対策に役立つ情報を入手することができます。例えば、このアプローチにより、VINの流出を早期に発見することが可能となり、自動車メーカーは、流出したVINに関連する異常な行動を追跡することで、リスクを軽減するための時間を確保することができます。
効率性を高める統合的なリスク可視化：APIの脆弱性とセキュリティイベントに関するデータを統合プラットフォームに集約することで、自動車メーカーは包括的なリスクの可視化を実現できます。生成AI（GenAI）を含む高度な分析により、これらのイベントを過去のインシデントやダークウェブの調査データと相関させることができます。その結果、自動車メーカーは潜在的な攻撃者の悪用を予測し、対抗するための実用的な分析結果を活用できるようになります。

自動車 API のセキュリティリスクについて、実例や緩和策としての拡張された体系的なアプローチなど、さらに詳しく知りたい方は、当社のホワイトペーパーをダウンロードしてください。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

ブログ
起亜（キア）にナンバープレート情報だけで車両を遠隔操作可能な脆弱性が発見される

2024年9月30日
現代（ヒョンデ）グループ傘下の自動車メーカー「起亜（キア）」が運営するウェブポータルに存在した一連の脆弱性により、ナンバープレート番号さえ入手すれば、車両の主要な機能や個人情報に遠隔からアクセスすることが可能となり、車両の不正操作や盗難の危険性があったことが明らかとなりました。これらの脆弱性はすでに修正されていますが、自動車メーカー各社がより強固なサイバーセキュリティ対策を講じる必要性があることが浮き彫りとなりました。
続きを読む 
ブログ
Pwn2Own Automotive 2025開催決定！ルールとターゲットをチェック

2024年9月25日
Pwn2Own Automotiveが2025年１月に東京で開催されるオートモーティブワールドに帰ってきます。昨年、自動車業界に焦点を当て大変好評を博したこのハッキングコンテストの第２回大会のルールとカテゴリー・ターゲットについて概説します。
続きを読む 
ブログ
「つながる車」に関する米国の新たな規制を読み解く

2024年9月24日
米国政府は、中国やロシアなどの国々からの自動車技術の輸入を禁止する新たな規則を提案しています。この規則がメーカーやサプライヤにどのような影響を及ぼす可能性があるか、また、コネクテッドカーの将来にどのような影響が及ぶ可能性があるかを探ります。
続きを読む 
ブログ
Automotive CTF 2024: 日本のトップ2チームがデトロイトで開催されるグローバル決勝へ進出

2024年9月23日
デトロイトで開催される世界最終予選に向け、日本のトップチームが始動
続きを読む 

ブログを読む

起亜（キア）にナンバープレート情報だけで車両を遠隔操作可能な脆弱性が発見される

攻撃の流れ

セキュリティに関する考察

リソースからもっと知る

起亜（キア）にナンバープレート情報だけで車両を遠隔操作可能な脆弱性が発見される

Pwn2Own Automotive 2025開催決定！ルールとターゲットをチェック

「つながる車」に関する米国の新たな規制を読み解く

Automotive CTF 2024: 日本のトップ2チームがデトロイトで開催されるグローバル決勝へ進出

自動車業界のお客さまのサイバーセキュリティを加速させるために