ブログ

Pwn2Own Automotive 2024コンテストでは、Alpine Halo9 IVIシステムに重大なゼロクリック型リモートコード実行のBluetooth脆弱性が発見され、コネクテッドカーにおける独自実装のリスクがクローズアップされました。 本稿では、この発見、攻略検証技法、および新たな脅威から自動車技術を保護するための重要な教訓について考察します。

Qualcommは、次世代のOryonプロセッサを車両内システムに統合することで、生成AI（GenAI）を車両に導入する大きな一歩を踏み出しました。本稿では、生成AIを動かすテクノロジーを探り、その変革的な要素をクローズアップするとともに、生成AIがもたらすセキュリティ上の課題についても取り上げます。

ZDIは、車載インフォテインメント（IVI）システムに6つのゼロデイ脆弱性を特定しました。現状、これらの脆弱性は修正プログラムが提供されていないことから、潜在的なリスクを最小限に抑え、コネクテッドカーのIVIシステムを強化するためのセキュリティ対策を提言します。

電気自動車（EV）充電器のシリアルインターフェースが露出していると、攻撃者がハードウェアやファームウェアを改ざんできるという重大な脆弱性が生じます。こうした脆弱性は更なる悪意ある行為のきっかけとなってしまうため、悪用を防ぐ強力なセキュリティ対策の導入が望まれます。

GoogleのProject Zeroは最近、Al支援フレームワークを応用してゼロデイ脆弱性を特定することに成功し、脆弱性検出における期待の持てるブレークスルーと位置づけました。自動車サイバーセキュリティへのより包括的なアプローチを確保する上で、AI技術やその他の戦略の重要性を検証します。

仮想化されたコンテナは、、ソフトウェアデファインドビークル（SDV）の開発を効率化しますが、同時に新たなセキュリティリスクをもたらします。 SDVシステムの完全性を確保するためには、これらのリスクへの対処が不可欠です。

Pwn2Own Automotive 2024でTesla（テスラ）の車載インフォテインメント（IVI）システムを巧みに攻略したSynacktivのバグ連鎖攻撃を検証し、自動車サイバーセキュリティの対策強化に繋がるセキュリティ上の教訓を振り返ります。

VicOneとBlock HarborによるAutomotive CTF 2024はミシガン州デトロイトで開催された第8回Auto-ISACサイバーセキュリティサミットにて幕を閉じました。

今回は、Pwn2Own Automotive 2024で発見されたAutel MaxiChargerのさらに2つの脆弱性、CVE-2024-23967とCVE-2024-23957について詳しく見ていきます。 いずれもスタックベースのバッファオーバーフローに分類され、リモートコード実行につながる可能性がある古典的でありながら回避可能なプログラミングエラーです。

脆弱な認証方式やAPIサービスの脆弱性は、機密性の高い車両データをリスクにさらします。車両管理システムとEVシステムを保護するために、暗号化やAPI保護などの主要なセキュリティ対策を検証します。

現代（ヒョンデ）グループ傘下の自動車メーカー「起亜（キア）」が運営するウェブポータルに存在した一連の脆弱性により、ナンバープレート番号さえ入手すれば、車両の主要な機能や個人情報に遠隔からアクセスすることが可能となり、車両の不正操作や盗難の危険性があったことが明らかとなりました。これらの脆弱性はすでに修正されていますが、自動車メーカー各社がより強固なサイバーセキュリティ対策を講じる必要性があることが浮き彫りとなりました。

Pwn2Own Automotiveが2025年１月に東京で開催されるオートモーティブ ワールドに帰ってきます。昨年、自動車業界に焦点を当て大変好評を博したこのハッキングコンテストの第２回大会のルールとカテゴリー・ターゲットについて概説します。