By Jason Yuan (VicOne) & Steven Yu (Trend Micro)
公共交通機関では、乗客体験をよりスムーズなものにするため、先進運転支援システム(ADAS)、クラウド配車プラットフォーム、「スマートシティ」との連携が急速に導入されています。しかしながら、DEF CON 33で実施された最近のデモでは、このコネクテッドインフラがどれほど脆弱であるかが露呈しました。セキュリティリサーチャーであるトレンドマイクロ台湾支社のChiao-Lin Yu氏とCHT Security Co, Ltd.のKai-Ching Wang氏は、その実態を明快に指摘しました。バスの無料Wi-Fiに接続する者は誰でも、制御機能に関連するシステムを含む車載システムにアクセスできる可能性があるというのです。
この指摘は単なるデモンストレーションとしてではなく、現代の車両フリートを支える現行技術スタックを反映したものと捉える必要があるでしょう。SDV(ソフトウェアデファインドビークル)やV2X(Vehicle-to-Everything)が俊敏性とスマートシティを約束する一方で、現実は大きく異なります。多くのフリートは依然としてレガシーなWebサーバー、デフォルトの認証情報、平文プロトコル、セグメント化されていないフラットなネットワークに依存しており、これが現実のサイバーセキュリティリスクを生み出す要因となっています。
シームレスに連携する利便性に隠れた代償
スマートシティは現代のバス運行をより予測可能なものにしました。停留所では明るいデジタル画面にリアルタイムの到着情報が表示されます。旅程計画アプリは地図上で車両を追跡し、正確な到着予定時刻(ETA)を提供します。運行管理者はリアルタイムで車両群を監視し、スケジュールを調整し、アナウンスを送信します。車載タブレットは運行ルートや運転手交代ポイントを同期し、カメラは動画クリップをアップロードし、乗客カウンターは将来の時刻表再構築に役立つ需要モデルにデータを供給します。
車両が単独で走行することは決してないため、交通体験全体が円滑でつなぎ目なく連携しているように感じられます。車両はコネクテッドなエコシステムの一部であり、道路脇のスクリーン、公開API、車両基地システム、ベンダーのクラウドが位置情報・稼働状況・状態データを絶え間なく交換するネットワークを構成しています。
この利便性の基盤には、シンプルな仕組みが存在します。インビークルルーターがGPS、診断データ、カメラ映像、乗客システムを集約し、セルラーネットワーク経由で都市やベンダーのバックエンドへ送信します。これらのバックエンドは同一のデータを複数の利用先に配信します。アプリ内のリアルタイムAPI、歩道沿いの到着案内板、車両基地の分析システム、さらにはカメラ保守業者に至るまでです。これら全てを結びつけるのは、数種類のプロトコルとウェブサービスであり、これらは数百台の車両と数十のインテグレーターにまたがって同じものが使用されることが多く、それぞれが独自のポータルや管理コンソールを有しています。
隠れた代償として、このインフラの多くは過去10年のIoTブーム期に構築されたものであり、当時の古い慣習を今なお多く引き継いでいる点が挙げられます。
- 平坦でセグメント化されていないネットワーク 乗客用Wi-Fiトラフィックが重要な車両システムと同じネットワーク上で動作しているケースが多く、攻撃者が悪用可能なアーキテクチャになっています
- Webコンソールがデータを平文のまま送信している 認証情報を含む機密データが暗号化されずに露呈する可能性があります
- デフォルトの認証情報が導入後も残存している 工場出荷時のアカウントのユーザー名やシステムのパスワードが変更されずに残ったまま導入されています
- 一時的なデバッグ経路が恒久的なインターフェースとなってしまっている テスト用インターフェースが有効なまま放置されることが多く、隠れた侵入経路を生み出しています
- データの延長コードのごとく振る舞うゲートウェイ 認証やポリシーを適用せず、適切なチェックなしに全トラフィックを通過させてしまっている
これらの問題は、歩道やアプリケーションから見えるものではありませんが、改めて考えてみると体験がシームレスに感じられていたのは、内部境界が曖昧だったからかもしれないのです。
これが現代のスマートシティ交通システムの核心にある矛盾です。高度なシステムが人々の期待する利便性を提供する一方で、2010年代のセキュリティ上の過ちの上に構築されているケースが多すぎます。システム間で情報を伝送し、到着予定時刻(ETA)やライブマップを駆動する同じデータ「パイプ」やデジタル経路が、偽造された位置情報や漏洩した識別子、認証されていないコマンドも伝送する可能性があります。そして都市のモビリティがそれらのパイプに依存する時、脆弱性は単なる煩わしさではなく運用リスクへと変貌します。
Wi-Fiから完全制御へ
リサーチャーたちが先日のDEF CONで実証したように、これは単なる魔法のようなゼロデイ攻撃ではなく、予測可能な脆弱性を連鎖させて完全な侵害に至る、入念に計画された一連の手順でした。
バスのゲストWi-Fiを起点に、彼らは直截的な攻撃シーケンスを実行しました。まず、ローカルルーター(192.168.0.254)を特定し、2022年に発見されたNデイ脆弱性であるCVE-2022-45956を利用してウェブ認証をバイパス。そこから、ルーターの設定ページから認証情報を取得し、SSHアクセスを開通させ、組み込みユーティリティを悪用してコマンドを実行しました。コネクテッドカメラやベンダーシステムの脆弱なパスワード、さらにADASバックエンド上の平文サービスや閲覧可能なディレクトリが相まって、各段階は短く再現性の高いステップとなりました。
図1. デモ攻撃チェーンの可視化。リサーチャーがバスのゲストWi-Fiネットワークから足掛かりを得て、より広範なアクセス権を取得し、重要なシステムを侵害するまでの流れを示す
本デモで、攻撃者はバス乗車中に以下の操作すべてをゲストWi-Fiネットワーク経由で実行可能であることを実証したのです。
- ライブカメラ映像の閲覧
- MQTTブローカーからのGPS情報の取得
- バックエンドの車両管理システムの閲覧
- 運行ページの閲覧・平文APTS(Advanced Public Transportation System)からの車両状態データの復号
- ベンダーのリモートサーバーへのログイン
スマート交通システムのセキュリティ確保
リサーチャーの発見は、リアルタイムの到着予定時刻(ETA)、路線更新、コネクテッドサービス、その他の利便性を支えるデータを運ぶ「デジタルパイプ」そのものにも信頼性が求められることを改めて認識させます。そして現行システムでは、その信頼があまりにも安易に取り扱われているのです。
幸いなことに、これらの課題への対応には、月面着陸計画のような研究や5年単位の全面的な見直しは不要です。主な解決策は、前提条件の再考とゼロトラストの考え方の採用にあります。つまり、ユーザー、デバイス、ネットワークのいずれも本質的に信頼できるとはみなさないという前提で構築することです。これらのシステムとのあらゆるやり取りは検証され、運用を支えるデータは単なる情報ではなく、安全上極めて重要であるものとして扱われるべきです。
必要なのは、単なる障害対策ではなく、悪用を想定した設計へのマインドセットの転換です。例えば、到着案内板や旅程計画アプリは、これまで停電や不安定なネットワーク環境への耐性を設計してきましたが、今後は意図的な操作にも耐えうる必要があります。この転換により、従来の優先順位が再定義されます。
- 認証(アイデンティティの確保)は単なるログイン画面ではなくなります。デバイスやメッセージそのもののプロパティのひとつとなります
- 完全性は単なる伝送チェック項目ではなくなります。データペイロードが分析システムや配車システムに到達するまで追跡する、暗号学的保証となるのです
- セグメンテーションは単なるトポロジー図ではなくなります。乗客ネットワークが管理インターフェースを絶対に閲覧できないよう強制される境界でなければなりません
この文化的な転換が具体化される場が調達プロセスです。認証や機能リストは有用ですが、交通システムが実際に依存する特性を保証するものではありません。車両運用事業者やその他の業界関係者は、ベンダーに対し、導入前にテスト環境で以下の具体的な動作を要求すべきです。例をあげるならば、ハードウェアに紐付いた固有の認証情報、ブローカー間の相互認証、シェルコマンド実行可能な診断エンドポイントの排除、平文の管理インターフェースの排除、再現可能なソフトウェア部品表(SBOM)、迅速なセキュリティパッチ提供を保証するサービスレベル契約(SLA)などです。
スマート交通システムのセキュリティ確保は、全てを一から再構築することではありません。それは「デジタルパイプ」を強化し、あらゆる接続とデータフローを検証することです。設計段階からのセキュリティ原則を採用し、交通データを安全上重要な情報として扱うことで、スマートシティは乗客が求めるシームレスな利便性を強化しつつ、進化する脅威環境に対処し続けることができます。
DEF CONにおけるバスハッキングの実演は、こうした対策の重要性を浮き彫りにするとともに、攻撃者が悪用する前に脆弱性を検知する自動車向けサイバーセキュリティツールの必要性を示しています。VicOneの脆弱性およびSBOM管理ソリューションであるxZETAは、スマート交通システムや車両フリート運営事業者に対し、新興脅威やゼロデイ攻撃、ならびに実演で使用された既知の脆弱性(CVE-2022-45956など)に対する深い可視性を提供します。
_Risk-EN/JP/vicone_agentic-ai_banner-500_JPjpg.jpg)
