セキュリティ研究者のSam Curry氏は1月23日(米国時間)、「Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel」において、自動車の製造販売を手掛ける「SUBARU(スバル)」のコネクティッドサービス「SUBARU STARLINK」から脆弱性を発見したと伝えた。

この脆弱性を悪用されると、リモートの攻撃者に車両を制御される可能性がある。

  • Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel

    Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel

脆弱性の概要

2024年11月20日、Sam Curry氏はShubham Shah氏と共同で対象の脆弱性を発見した。脆弱性の悪用には被害者の姓に加え、次の情報のいずれか1つを事前に収集する必要があるとされる。

  • 郵便番号
  • 電子メールアドレス
  • 電話番号
  • 車のナンバー

脆弱性はコネクティッドサービス「SUBARU STARLINK」の管理ポータルサイトから発見された。研究者は取得可能なJavaScriptを広範囲に取得・調査し、メールアドレスの入力のみでアカウントをリセットできることを発見。さまざまな情報から有効なメールアドレスを特定し、不十分な多要素認証(MFA: Multi-Factor Authentication)を回避してこのアカウントを乗っ取った。

研究者はこのアカウントを使用し、管理ポータルサイトから自身の所有する車両を操作可能か調査している。その結果、次の操作を実行できることが明らかになった。

  • 車両の始動、停止、ロック、ロック解除および現在位置の取得
  • 過去1年間の車両の位置情報の窃取。この位置情報はエンジン始動時に記録される
  • 緊急連絡先、承認済みユーザー、住所、請求情報(クレジットカードの下4桁を含む)、車両PINコードなどを含む個人識別情報(PII: Personally Identifiable Information)の窃取
  • サポート通話履歴、以前の所有者、走行距離計の読み取り、販売履歴など、さまざまなユーザーデータの窃取

また、友人の所有する車両の調査において、友人の姓と車のナンバーのみで車両のロック解除が可能なこと、所有者に通知されないことを確認している。

影響と対策

管理ポータルサイトにアクセスできる攻撃者は、日本、米国、カナダのすべての車両と顧客アカウントに無制限にアクセス可能とされる。幸いなことに、この脆弱性はSUBARUに報告後、24時間以内に修正され、これまでのところ悪用は確認されていない。

最後に、研究者は管理ポータルサイトから広範囲の個人情報を取得できるシステム設計に疑問を投げかけている。アクセス権を与えられた従業員および関係者の全員が信用に値する人物なのかもしれないが、最小権限の原則を無視したシステムを保護することは困難だと指摘している。