この車載ガジェットに外部から攻撃を仕掛けると、攻撃者が走行中にエンジンを止めることができる

いまや、スマートダッシュカム(多機能ドライブレコーダー)からヘッドアップディスプレイ、そしてBluetoohで通信する診断ドングルといった、多くのデバイスが、あなたの車の組み込み診断ポート(別名OBD-II)に、データと電源へのアクセスを求めて接続されようとしている。

問題なのは、実はこのポートは…こうした用途に利用することが想定されていなかったということだ。元々は、ときどき接続が行われて漠然とした「チェックエンジン」を簡単に行うことを主目的にデザインされていたもので、車両がオンになっているときに、様々な無線プロトコルを発信する常時接続の機器を接続することは、決して考えられてはいなかった。

事例。Argus Securityの研究者たちは、市販されているBluetooth接続診断用のドングルが、Bluetoothの圏内にいるならば車が動いている最中に、車両のエンジンをオフにしてしまうことに使えることを発見した。

問題のドングルは、Bosch Drivelog Connectというデバイスで、あなたの運転行動に対する洞察を与え、診断情報を対応スマーフォンアプリにBluetoothを経由して送るというものだ。Boschの名誉のために言い添えると、同社は警告を受けて1日以内に問題に対する対処を開始し、問題のアウトラインとそれへの対処方法をここに公開した

「誰が気にするってんだ?そんなデバイス、名前も聞いたことが無いね」とあなたは言うかもしれない。

それはもっともな態度だが、このような欠陥を持つのがこのデバイスだけだと考えているのだろう。実は似たような結果は、他のデバイスでも発見されている。一方、より多くのガジェットが、これまで以上にOBD-IIポートに接続しようとしている。2、3週間に1つは新しい商品の案内がメールボックスに届いている状況だ。私がチェックしたものの多くが、明らかにユーザーから見えるバグを持っているので…見えないところで働いているもの全てが、欠陥のないものだとは考えないほうがおそらく安全である。

そのピカピカの新しいダッシュカムやスマートディスプレイを車から持ち出す必要があるだろうか?おそらくはない — しかしあなたが乗り回す4000ポンド(約1800キロ)の金属の箱に、攻撃を可能にする要素を追加する際には十分留意すべきだ。デバイスのセキュリティに関する最新レポートに目を通しておくことや、デバイス自身を最新の状態に保つ(こうしたデバイスは簡単にセットアップできてその後完全に忘れられてしまう)ことは所有者の責任だ。

もっと深刻なのは、デバイスを徹底的にテストすることや、外部の会社に依頼してセキュリティホールを突く検証を行ったり、バグに対して可能な限り素早く対応していくかどうかは、結局デバイスメーカー次第ということだ。最悪のケースに備えて、「最重要警告」通知/強制アップデートをアプリに組み込むことを検討して欲しい。

もし上記のドングルに関する研究の詳細に興味があるなら、Argusはその手法の詳細をここに公開している。対応アプリを逆アセンブルし、デバイスのセキュリティの穴を突き、彼らの所有する動いている車を本当にシャットダウンした手法が説明されている。

[ 原文へ ]
(翻訳:Sako)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。