• TOP
  • 特集一覧
  • 自動車のキーフォブに存在する脆弱性が公開:問われるスマートカーのセキュリティ
2017/11/22

自動車のキーフォブに存在する脆弱性が公開:問われるスマートカーのセキュリティ

メイン画像

エレクトロニクス設計者のTom Wimmenhove氏は、自動車メーカーのスバルが同社のいくつかの車種で使用しているキーフォブシステムに脆弱性があることを発表しました。この脆弱性がハッカーや自動車の窃盗犯に悪用された場合、キーフォブを複製して自動車のドアを開錠されてしまうことになります。

Wimmenhove氏は、「fobrob」と呼ばれるエクスプロイトを使用することで、このスバル車の脆弱性が比較的容易に悪用できると指摘しています。通常キーフォブはローリングコード方式またはホッピングコード方式とよばれる仕組みを利用して、IDコードを都度生成して送信し、キーレスエントリー車はこのコードを処理することでドアを解錠します。

このIDコードは通常ランダムに生成することで再利用できないように設計されていますが、ランダムなものではなく予測可能なコードや連続したコードが使用されているという点で、スバルのキーのコード生成アルゴリズムの実装には欠陥があるとWimmenhove氏は指摘しています。

報道によると、わずか25ドルのデバイスで自動車のキーから送信されるデータパケットを捕捉し、データが生成する解錠/施錠のローリングコードを取得でき、これらのコードはRaspberry Piで複製できるとされています。

この脆弱性の影響を受ける車種には、スバルバハ(2006)、スバルフォレスター(2005-2010)、スバルインプレッサ(2004-2011)、スバルレガシー(2005-2010)、およびスバルアウトバック(2005-2010)が含まれており、Wimmenhove氏は、スバルフォレスターを対象とした本脆弱性攻撃のデモを公開しています。

2017年10月16日時点では、スバル社はまだ問題を公式に認定しておらず、コメントも発表していません。報道によるとWimmenhove氏はスバル社に既に脆弱性の存在を伝えており、情報も共有しているが、スバル社からは「パートナーシップ」ページで質問表に記入するよう依頼を受けたとコメントしています。

自動車のスマート化が進み、様々なテクノロジーを駆使して利用者にさまざまな機能が提供されるようになると、自動車のハッキングは急速な勢いで問題になりました。今回の脆弱性の報告もその事例の1つにすぎません。

すでに2015年の時点で、インフォテイメントWi-Fi、およびモバイル接続サービスなどのスマートカー機能や、その他のデジタル/オンライン機能キーレスエントリーで使用される無電装置など)が自動車のハッキング事例として報告されています。

2017年の8月には、イタリア国立ミラノ工科大学、Linklayer Labs、トレンドマイクロのForward-looking Threat Research(FTR)チームによる共同リサーチにより、CAN Bus(コントローラーエリアネットワーク)に影響を与える脆弱性に関するPoC(概念実証)が行なわれました。CANはメッセージベースの車載ネットワークの標準であり、アプリケーションを介したマイクロコントローラーやデバイスの相互通信を可能にします。

このリサーチでは、CANの脆弱性によって、車載ネットワークに接続されているデバイス(エアバッグ、パーキングセンサー、その他の安全システムなど)が無効化される可能性が指摘されています。多くの自動車メーカーがこのプロトコルを使用していることから、セキュリティの欠陥は、自動車の仮想的および物理的セキュリティに大きな影響を与え、多くの機能の基盤となるコンポーネントの完全性を根本から脅かすことが考えられます。同時に、この攻撃に対応するためには、標準規格を設計レベルから刷新する必要があり、“標準規格の世代交代に要するだけの時間”が本問題の根本解決にかかる時間となることも予想されます。

最先端テクノロジーの導入でよりスマートになった自動車において、こうして次々と脆弱性が指摘される中、セキュリティの確保に向けた取り組みの重要性がよりいっそう叫ばれています。各自動車メーカーは車載アプリケーションの更新や脆弱性対応に力を入れ、自動車の脆弱性をより的確に検出するプログラムの開発を進めています。

2016年、米国ではAuto-ISAC(Automotive Information Sharing and Analysis Center)と自動車メーカーが共同で、スマートカーセキュリティのベストプラクティスを策定しました。欧州連合(EU)も、セキュリティ基準の策定や複数プロセスによる認証の概要をまとめることで、スマートカーをはじめとしたIoTデバイスのデータプライバシーの確保に努めています。

国内においては、2017年 3月IPA(独立行政法人情報処理推進機構)が「自動車の情報セキュリティへの取り組みガイド」を4年ぶりに改訂し、第2版が公開されています。

情報セキュリティにおいては、保護すべき情報資産の価値を明確にし、コストバランスの整った対策を実装することが定石ですが、ことIoTのセキュリティでは、セキュリティの不備が人命に関わるなど物理的な安全性を侵害する可能性について、具体的なリスクを把握し、必要な対策を実装していくことが必須となります。従来から継続されている自動車業界での安全性に関する取組みにおいて、サイバー脅威の専門性を踏まえたセキュリティリスクの評価、対策手法の実装が、今後のスマートカーの安全性を担う上での重要な鍵となることは間違いありません。

おすすめの動画

コネクテッドカーのセキュリティリスクとは

運営社情報

セキュリティブログ
is702
PageTop