Teslaは最新のModel 3セダンを今年のPwn2Ownにエントリーする。この毎年恒例の著名なハッキングコンテストに自動車が参加するのははじめてだ。
優勝したセキュリティー研究者に与えられる賞品は…Model 3だ。
Pwn2OwnはTrend MicroのZero Day Initiative(ZDI)が主催する今年で12回目になる業界最強のハッキングコンテストだ。ZDIはこれまでにこのプログラムを通じて400万ドル以上の賞金を提供してきた。
春の脆弱性研究コンテストPwn2Own Vacouverは、3月20~22日に開催され、ウェブブラウザー、バーチャル化ソフトウエア、エンタープライズアプリケーション、サーバーサイド・ソフトウェア、および新設された自動車部門の5部門からなる。ターゲットはZDIが選び、Apple、Google、Microsoft、Mozilla、Oracle、VMwareなどのソフトウェア製品も含まれている。そして、もちろん、Teslaも。Pwn2Ownは、CanSec Westカンファレンスと同時開催される。
Teslaは2014年に同社がバグ懸賞プログラムを開催して以来ハッカーコミュニティーとは公な関係がある。
昨年同社は最大報酬額を1万ドルから1万5000ドルに引き上げ、エネルギー製品も対象に含めた。現在はTeslaの自動車およびホストしているサーバー、サービス、アプリケーションなどすべてが懸賞プログラムのターゲットになっている。
昨年同社はバグ懸賞プログラムに重要な変更を加え、車のオーナーがルールの範囲内で自分の車をハックすることを許可する「セーフハーバー」を採用した。現在Tesla製品のセキュリティー・ポリシーには、「善意のセキュリティー研究」の結果、所有する車が文鎮化した場合、サーバーセンターからネットワーク経由でソフトウェアを再書き込みすると書かれている。ソフトウェアをハックした場合も保証は無効にならないと同社は言っている。
Tesla(今は他の自動車メーカーも)がバグ懸賞プログラムを始めたのには理由がある。Tesla車はソフトウェア主導であり、ネットワーク経由のソフトウェア・アップデートによってバグやセキュリティー問題を修正したり、性能改善や新機能追加などを行うなどさまざまな形で業界を変えてきた。そうすることでTeslaは、時間とともに車が良くなっていくというアイデアを消費者に理解させた。
しかしそこには潜在的なセキュリティー問題がある。2014年以来、懸賞プログラムがきっかけとなってTeslaはいくつものセキュリティーアップデートを発行し、暗号化によるソフトウェアの検証、キーリモコンの暗号化の強化、リモコンのクローン攻撃を防止するためのPIN-to-Drive[暗証番号による解錠]などを実施してきた。
もちろん、Pwn2Own Vancouverに参加するハッカーたちが脆弱性を見つけるという保証はない。TechCrunchはTrend Microの広報担当から、ハッキング成功のパーセンテージはまちまちだが、通常は対象ターゲットの50%前後だと言われている。
また、自動車カテゴリーは今年が初めてなので、参加する研究者がいるかどうかは不明だと広報担当者は言っている。担当者は「自動車の最先端研究がどんなものかを見るのが大いに楽しみ」なので、多くの参加を期待しているとも話した。
[原文へ]
(翻訳:Nob Takahashi / facebook )
