ここから本文です

Bluetoothを使って車をハッキング

5/26(金) 14:18配信

THE ZERO/ONE

我々はこの数年の間にコネクテッドカー技術の市場の大きな成長を既に目にしてきたが、この市場はさらに拡大するだろう。しかしハッカーが悪用すれば、遠隔操作で標的の自動車をシャットダウンできるというコネクテッドカーのユーザーを脅かす潜在的な脅威が存在する。

4月13日、サイバーセキュリティ企業Argusはこれらの脅威について発表した。同社は、 Bosch Drivelog Connector OBD-II dongleがBluetooth接続だけで簡単に被害に遭う可能性があることを実証している。このセキュリティの欠陥は、Drivelog Connect application 1.1.1かそれ以前のもの、およびドングルのファームウェアバージョン4.8.0から4.9.2に存在する。

ダッシュボードの下にある「ドングル」

ドングルを知らない人たちのために説明すると、ドングルとは自動車のダッシュボードの下にあるポートに接続される一般的なデバイスの事である。一部の国でドングルは、自動車の運転パターンを収集するために保険会社によって取り付けられる。また、自動車の所有者自身が車内Wi-Fiを利用したいと思い自分で接続する場合もある。

セキュリティの欠陥を証明するために、ArgusはDrivelog Connectorというデバイスを使用した。Drivelog ConnectorはBluetooth経由で自動車に接続するデバイスで、車両の状態の参照や走行距離の記録等ができる。同社はこのデバイスを利用して、ハッカーがセキュリティシステム上のサービスIDの制限を回避できた場合に何ができるかを実証した。

Argusのブログ記事によると、ひとつ目の脆弱性ではメッセージフィルターのセキュリティ上の欠陥のせいで、攻撃者がドングルとペアリングしたスマートフォンのroot権限を持っている場合、悪意のあるCANメッセージを送信することができる。これは、診断メッセージ(OBDII PIDs)のサブセットの範囲を超えるもので、自動車に物理的な被害を及ぼす可能性がある。

そして二つ目の脆弱性を利用すれば攻撃者は自分のスマートフォンをドングルとペアリングできるため、脅威はさらに増大する。

被害が出た車種は公開されていないが、Bluetooth対応の Drivelog Connector Dongleが接続されているなら容易に攻撃できる、とArgusの社員はメディアに説明した。

「我々の調査では、Bluetoothの範囲内であれば動いている車のエンジンを停止することができた。それが厄介なのもさることながら、さらに一般的な意味では、CAN busに悪意のあるメッセージを注入するためにドングルを使用できるため、ネットワーク上の他のECU(電子制御ユニット)を操作することができるようになるかもしれない。もしこの攻撃手法が出回って、攻撃が実際にそれを行った場合、現在道路を走っているほとんどの車両に物理的な影響を与える可能性があると我々は考えている」

1/2ページ

最終更新:5/26(金) 14:18
THE ZERO/ONE

Yahoo!ニュースからのお知らせ