【コラム】10代によるテスラ車のハックを教訓にするべきだ

Tesla(テスラ)をハックした19歳のDavid Colombo(デビッド・コロンボ)が騒がれるのは、当然といえば当然の話だ。彼はサードパーティソフトウェアの欠陥を利用して、13カ国にわたる世界的EVメーカーの車両25台にリモートアクセスした。ハッカーは、遠隔操作でドアのロックを解除し、窓を開け、音楽を流し、それぞれの車両を始動させることができたと話している。

関連記事:100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

コロンボ氏が悪用した脆弱性はTeslaのソフトウェアのものではなく、サードパーティのアプリに存在するもので、そのためできることに限界があり、ハンドルやアクセルそして加速も減速もできなかった。しかし彼はドアを開け、クラクションを鳴らし、ライトを制御し、ハッキングした車両から個人情報を収集した。

サイバーセキュリティのプロにとって、このようなリモートでのコードの実行や、アプリキーを盗むのは日常茶飯事だが、私が恐れるのは、情報漏洩の開示に慣れてしまい、今回の件がコネクテッドカーのエコシステム全体の関係者にとって貴重な学習の機会であることが見逃されてしまうことだ。

今回のハッキングは、サイバーセキュリティの初歩的な問題であり、率直にいって起きてはならない過ちだ。コロンボ氏がTwitterのスレッドを投稿して通知した翌日に、Teslaが突然数千の認証トークンを非推奨にしたことから、問題のサードパーティ製ソフトウェアは、セルフホスティングのデータロガーだった可能性があるのだという。一部のTwitterユーザーの中にはこの説を支持する人もおり、アプリの初期設定によって、誰でも車両にリモートアクセスできる可能性が残されていることを指摘している。これは、コロンボ氏による最初のツイートで、脆弱性は「Teslaではなく、所有者の責任」と主張したこととも符合する。

最近の自動車サイバーセキュリティ規格SAE/ISO-21434と国連規則155は、自動車メーカー(通称、OEM)に車両アーキテクチャ全体に対する脅威分析とリスク評価(threat analysis and risk assessment、TARA)の実施を義務化している。これらの規制により、OEMは車両のサイバーリスクと暴露の責任を負う。つまり、そこが最終責任になる。

Teslaのような洗練されたOEM企業が、サードパーティのアプリケーションにAPIを開放するリスクを看過していたのは、少々らしくないような気もする。しかし低品質のアプリは十分に保護されていない可能性があり、今回のケースのように、ハッカーがその弱点を突いてアプリを車内への橋渡しとして使用することが可能になる。サードパーティ製アプリの信頼性は、自動車メーカーに委ねられている。自動車メーカーの責任として、アプリを審査するか、少なくとも認証されていないサードパーティアプリプロバイダーとのAPIのインターフェイスをブロックする必要がある。

たしかに、OEMが検査し承認したアプリストアからアプリをダウンロードし、アップデートすることは消費者の責任でもある。しかしOEMの責任の一部は、そのTARAプロセスでそうしたリスクを特定し、未承認アプリの車両へのアクセスをブロックすることにある。

私たちKaramba Securityは、2021年に数十件のTARAプロジェクトを実施したが、OEMのセキュリティ対策には大きなばらつきが散見された。しかながらOEMは、顧客の安全性を維持し、新しい規格や規制に対応するためにできるだけ多くのリスクを特定し、生産前に対処することを最重要視している点で共通している。

ここでは、私たちが推奨するOEMメーカーが採用すべきベストプラクティスを紹介する。

  1. 秘密と証明書を保護する – 広義のなりすましや身分詐称を確実に失敗させる(ファームウェアを置き換える、認証情報を詐称するなど)
  2. アクセスや機能をセグメント化する(ユーザーに対して透過的な方法で) – たとえ1つのポイントが失敗しても、被害は限定的になる
  3. 自分自身で継続的にテストする(あるいは他の人にやってもらうために報奨金プログラムを立ち上げる) – 見つけたものはすぐに修正する
  4. インフォテインメント、テレマティクス、車載充電器などの外部接続システムを堅牢化し、リモートコード実行攻撃から保護する
  5. APIをクローズアップする。未許可の第三者には使用させないこと。このような習慣があれば、今回の攻撃は免れたはずだ

消費者に対しては、OEMのストア以外からアプリを絶対にダウンロードしないことをアドバイスしている。どんなに魅力的に見えても、非公認アプリは運転者や乗客のプライバシーを危険にさらしていることがある。

EVは楽しいものだ。高度な接続性を有し、常に更新されすばらしいユーザー体験を提供しれくれる。しかし、EVは自動車であり、スマートフォンではない。自動車がハッキングされると、ドライバーの安全とプライバシーを危険にさらすことになる。

編集部注:本稿の執筆者Assaf Harel(アサフ・アレル)氏は、Karamba Securityで研究とイノベーション活動を指揮し、革新的な製品とサービスの広範なIPポートフォリオを監督している。

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Assaf Harel、翻訳:Hiroshi Iwatani)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。