サイバーセキュリティ研究者のSam Curry氏は1月3日、同氏のブログ「Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls Royce, Porsche, and More」において、主要な自動車メーカーが車両の制御や監視などの目的で使用しているWeb APIの脆弱性について調査した結果を公表した。
これによると、多くの自動車メーカーが脆弱なAPIを使用しており、悪用するとリモートからエンジンの始動や停止、ロックおよびロック解除、ライトの点滅、クラッションを鳴らすなどといった行為を行えることが判明したという。
-
Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls Royce, Porsche, and More|Sam Curry
Sam Curry氏をはじめとする研究チームは、テレマティクスシステムやWeb APIを持つ自動車や、それをサポートするインフラストラクチャを数カ月にわたって調査し、悪意のある攻撃に利用可能なさまざまな脆弱性を発見したと報告している。レポートのリストには次のメーカーが記されている。
- 起亜
- ホンダ
- インフィニティ
- 日産
- アキュラ
- メルセデスベンツ
- ヒュンダイ
- ジェネシス
- BMW
- ロールスロイス
- フェラーリ
- フォード
- ポルシェ
- トヨタ
- ジャガー
- ランドローバー
また、車両管理サービスを提供する次の3社のサービスにおける脆弱性も報告されている。
- Spireon
- Reviver
- SiriusXM
悪意を持った攻撃者によって利用された場合の影響は脆弱性によって異なる。例えば、起亜やホンダの車両に利用されている脆弱性の場合、VIN番号のみを使用してリモートからロックやロック解除、エンジンの始動、エンジンの停止、ヘッドライトの点滅、クラクションを鳴らすといった制御が可能だという。
メルセデスベンツの場合は、バックエンドのインフラにおけるSSOの構成が不適切であることから、何百ものミッションクリティカルな内部アプリケーションにアクセスすることができると報告されている。
Reviverのシステムでは、複数の脆弱性を悪用することでReviverが提供するナンバープレートサービスにアクセスし、車両のステータスを「STOLEN(盗難)」に変更して当局に通知する方法が紹介されている。
研究チームによれば、発見されたすべての脆弱性が自動車メーカーおよびサービスプロバイダーに報告され、現在は対処が完了しているとのことだ。
