コネクテッドカーを夢見ている人にとっては、車が少しコネクテッドすぎるのが現実かもしれません。
フランスのサイバーセキュリティ企業 Synacktiv の倫理的ハッカーが 2 分もかからずに、Tesla Model 3 のゲートウェイとインフォテインメント サブシステムに侵入しました。 Synacktiv チームは、インフォテインメント画面でテスラのロゴを自社のロゴに置き換えることで、その成果を際立たせました。
さらに、彼らはイーサネット ネットワークを使用して車に完全にアクセスすることができました。 安全上の理由から、完全な車両ではなく、ナビゲーションとエンターテイメント システムを制御するテスラのヘッド ユニットが侵害されました。
しかし、これは怠惰な運動ではありませんでした。 チームは $350,000 を獲得し、ご想像のとおり、真新しい Tesla Model 3 を獲得しました。このイベントは先週、ブリティッシュ コロンビア州バンクーバーで開催された Pwn2Own 2023 ハッキング カンファレンスで開催されました。 日本のサイバーセキュリティ企業であるトレンドマイクロがこのイベントを主催し、脆弱性を探して自動車メーカーやサプライヤーに不具合を警告するホワイトハットハッカーに報酬を支払うバグ報奨金プログラムを運営しています。
ハッキングの悪さは?
Synacktiv のホワイト ハット ハッカーは、Tesla と Tesla Powerwall バックアップ電気システム間の通信を調整する Model 3 のエネルギー管理システムを侵害しました。 テスラのヘッド ユニットは違反によって完全にハッキングされ、Synacktiv は走行中に車のドアとトランクのロックを解除できました。
ハッキングを監視していたバンクーバーのテスラ セキュリティ レスポンス チームは、侵入を確認しました。 EV メーカーは、今後の無線アップデートでバグを修正する予定です。 ネット報道によると.
もちろん、このハックは新しいものではありません。 セキュリティの専門家は、2022 年にテスラ S および Y モデルのドアを開けて電気モーターをオンにすることができました。
テスラだけではない
しかし、すべての自動車メーカーがハッキングの危険にさらされています。 フェラーリを考えてみましょう。
顧客データを明らかにするランサムウェア攻撃が、イタリアのスポーツカー メーカーであるフェラーリを襲いました。 ハッカーがいつフェラーリに身代金を要求したかは不明であり、フェラーリはその金額を明らかにしていません。 メーカーは法執行機関に警告し、主要なサイバーセキュリティ会社と共に事件を調査しています.
しかし、問題は広範囲に及びます。 今年初め、7 人のセキュリティ研究者が 16 の自動車メーカーのシステムをハッキングし、自動車の操作だけでなく、エンジンの始動と停止の権限も与えました。 ハッキングされたシステムには、テレマティクス システム、自動車 API (アプリと自動車が相互にチャットできるようにする)、およびインフラストラクチャが含まれていました。
アキュラ、BMW、フェラーリ、フォード、ジェネシス、ホンダ、ヒュンダイ、インフィニティ、ジャガー、起亜、ランドローバー、メルセデス・ベンツ、日産、ポルシェ、ロールスロイス、トヨタの自動車が影響を受けた。 システムが侵害されると、自動車メーカーに連絡が入り、ソフトウェアの更新によってソフトウェアの穴が修正されました。
しかし、彼らが成し遂げたことは気になるものでした。 エンジンの始動と停止、ドアの施錠と解錠、クラクションの鳴動、ヘッドライトの点滅、そしてアキュラ、ホンダ、起亜、インフィニティ、日産の車の正確な位置を特定し、車の所有者の名前、住所、電話番号、電子メール アドレスを取得しました。 車の所有権を変更することさえできます。 これらは見つかった問題のほんの一部であり、言及されているすべてのメイクには弱点がありました。
また、フロントガラスを通してはっきりと見える各車の車両識別番号を使用して行われました。
しかし、すべての脆弱性が自動車メーカーのソフトウェアに起因するわけではなく、衛星ラジオ会社 Sirius XM の Connected Vehicle Services に起因するものもありました。 さらに、研究者は Spireon のフリート管理ソフトウェアを侵害し、ハッカーが救急車や警察車両のスターターを停止できるようにしました。
研究者は企業に連絡を取り、問題を修正するためのパッチを発行しました。
簡単なターゲット
自動車業界は、インフォテインメントからパワートレインまであらゆるものを実行するソフトウェア プログラム、接続機能、センサー、コンピューターの数を増やしているため、自動車はハッカーにとって格好の標的であることが証明されています。 懸念されるのは、自動車メーカーがソフトウェアの脆弱性を見つけるためのフレンドリーなハッカーへの支出が、他のセクターよりもかなり少ないことです。
2022 Hacker-Powered Security Report によると、2022 年にインターネット サービスとオンライン サービスは友好的なハッカーに 1,310 万ドルを支払いましたが、コンピューター ソフトウェア企業は 870 万ドル、金融サービス プロバイダーは 340 万ドル、小売業者は 140 万ドルを支払いました。 自動車メーカーは、比較的わずかな 483,809 ドルを費やしました。
おそらくこれが、イスラエルのサイバーセキュリティ会社 Upstream によると、2018 年に比べて 2022 年に自動車のハッキングが 239% 急増したと公表されている理由です。
これは、自動車メーカーがもっと注目するのが待ち遠しい問題です。