世界中の42万の企業で使われている150万台の全地球測位システム(GPS: Global Positioning System)デバイスに、緊急の脆弱性が存在することが明らかになった。この脆弱性を悪用されると、攻撃者によって動いている車両の燃料ラインの遮断、車両の位置情報やルート情報へのアクセス、GPSトラッカーとの間の通信の監視などが行われる恐れがあるとされている。
この脆弱性に関しては、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が「MiCODUS MV720 GPS tracker | CISA」において産業用制御システム(ICS: Industrial Control System)アドバイザリとして公開しているほか、この脆弱性を発見したBitSight Technologiesが「Critical Vulnerabilities in Widely Used Vehicle GPS Tracker」において詳細情報を伝えている。
-
MiCODUS MV720 GPS tracker|CISA
脆弱性が発見されたのは中国を拠点とする自動車エレクトロニクスおよびアクセサリメーカおよびサプライヤであるMiCODUSの「MiCODUS MV720 GPS トラッカー」。このデバイスは盗難防止、燃料遮断、リモートコントロール、ジオフェンシング機能を提供するハードワイヤードのGPSトラッカーとされている。
このデバイスを利用している組織には、Fortue1000企業が含まれているほか、政府、軍、法執行機関航空宇宙、エネルギー、エンジニアリング、製造、海運などさまざまな業界で利用されていると考えられており、影響範囲の広大さと脆弱性の深刻さが懸念される。
BitSight Technologiesは、「MiCODUS MV720 GPS トラッカー」の脆弱性を悪用することで、多くの攻撃シナリオが可能になると結論づけており、かつ、この脆弱性は悪用することが難しくないとして、そのリスクに関して注意を促している。
現在、この脆弱性については回避策が存在しないとされている。BitSight Technologiesは修正が利用可能になるまで「MiCODUS MV720 GPS トラッカー」の使用をただちに停止するか、または無効にすることを推奨している。
