Pen Test Partners の共同創設者 Ken Munro 氏は、このようなクラックにより、ハッカーが車両データや消費者のクレジット カード情報にアクセスできるようになる可能性があると述べています。 しかし、おそらく彼にとって最も懸念すべき弱点は、Concordia のテストと同様に、多くのデバイスがハッカーに自由に充電を停止または開始できることをチームが発見したことでした。 そのため、必要なときにバッテリーが満タンにならず、イライラしたドライバーが残る可能性がありますが、その累積的な影響が本当に壊滅的なものになる可能性があります。
「それはあなたの充電器の問題ではなく、同時に全員の充電器の問題です」と彼は言います。 多くのホームユーザーは、電力を供給していない場合でも、車を充電器に接続したままにしています。 たとえば、仕事後に電源を入れ、価格が安い夜間に車両を充電するようにスケジュールを設定する場合があります。 ハッカーが数千、または数百万の充電器を同時にオンまたはオフにすると、電力ネットワーク全体が不安定になり、ダウンする可能性もあります。
「私たちは、国民国家が我が国の送電網に対して使用できる兵器をうっかり作ってしまったのです」とマンロー氏は言う。 米国は、ハッカーが侵入した 2021 年にそのような攻撃がどのようなものになるかを垣間見ました。 コロニアルパイプラインが乗っ取られ、全米のガソリン供給が混乱した。 同社が数百万ドルの身代金を支払うと、攻撃は終了した。
Munro 氏が消費者に最も推奨しているのは、家庭用の充電器をインターネットに接続しないことです。これにより、ほとんどの脆弱性の悪用を防ぐことができます。 しかし、安全装置の大部分はメーカーが提供する必要があります。
「安全性を確保するのは、これらのサービスを提供する企業の責任です」と、デジタル著作権非営利団体である電子フロンティア財団の上級技術者ジェイコブ・ホフマン・アンドリュース氏は言う。 「接続しているデバイスをある程度信頼する必要があります。」
エレクトリファイ・アメリカは取材要請を拒否した。 マルコム氏とキロワット氏が文書化した問題に関して、広報担当者のオクタビオ・ナバロ氏は電子メールで、インシデントは分離され、修正は迅速に展開されたと述べた。 同社は声明で「エレクトリファイ・アメリカは自社と顧客を守るための対策を常に監視・強化し、リスクを軽減するステーションとネットワークの設計に注力している」と述べた。
Pen Test Partners は調査結果の中で、企業は概して同社が特定した脆弱性の修正に対応しており、ChargePoint などは 24 時間以内にギャップを埋めた(ただし、ある企業は古い脆弱性にパッチを当てようとして新しいホールを作ってしまったが)と書いている。 Project EV はペネトレーション テスト パートナーには応じませんでしたが、最終的には「強力な認証と認可」を実装しました。 しかし専門家らは、業界がサイバーセキュリティに対するこのモグラたたきのアプローチから脱却する時期はとうに過ぎたと主張している。
「これが問題であることは誰もが知っており、多くの人がそれを最もよく解決する方法を見つけようとしています」とジョンソン氏は述べ、進歩が見られると付け加えた。 たとえば、多くの公共充電ステーションは、より安全なデータ送信方法にアップグレードされています。 しかし、調整された一連の基準に関しては、「そこにはあまり規制がありません」と彼は言います。
それを変えようとする動きも出てきている。 2021 年超党派インフラ法 約75億ドルが含まれる 米国全土に電気自動車の充電ネットワークを拡大することを目的としており、バイデン政権はサイバーセキュリティをその取り組みの一環としている。 昨年の秋、ホワイトハウスはメーカーと政策立案者を招集し、ますます重要になっている電気自動車の充電ハードウェアを適切に保護するための方策について話し合った。
ホワイトハウス国家サイバー局長室の首席戦略官ハリー・クレイサ氏は、「我が国の重要インフラは、セキュリティーと回復力のベースラインレベルを満たす必要がある」と語る。 同氏はまた、EVのサイバーセキュリティの強化はリスクを軽減するだけでなく信頼を構築することも重要だと主張した。 セキュアなシステムは、「次世代のデジタル基盤が、他の方法では達成できなかった可能性よりも高い目標を達成できるという自信を私たちに与えてくれます。」と彼は言います。