コネクテッドカーのインフラ:サイバー犯罪者が狙う格好の標的になる

Cybercriminals Take Aim at Connected Car Infrastructure

2021/10/30 DarkReading — 自動車のコネクテッド化が進む中、さまざまな攻撃が発生している。自動車盗難者はキーレス・エントリー・システムを悪用し、ハッカーは自動車の部品を悪用する新たな方法を見つけだし、自動車金融を狙った詐欺行為が行われていると、自動車サイバー・セキュリティの専門家が、今週のインタビューで語っている。

この9月に、ニューヨーク市の警察は自動車窃盗団を捜索した。この窃盗団は、オンラインで購入したセキュリティ・コードをもとに、地元の鍵屋がクローンキーを作り、車を盗んでいたとされる。通常は整備士が使用する、アフター・マーケットのスキャンツールを悪用して、対象となる車のイグニッションを再プログラムし、すべてのキーが失われたように見せかけていたようだ。

自動車業界向けにサイバー・セキュリティ・サービスを提供している Upstream の VP of Products Guy Molho は、「電子機器を利用した盗難の増加は、自動車業界におけるコネクテッド・ソフトウェアもたらした、急速な普及による予期せぬ結果の一つに過ぎない」と述べている。

自動車メーカーは、顧客に多くの新しい機能を提供しようとするが、それはハッカーにとっては新しい攻撃の表面/ベクターとなる。自動車は、もはや単なる車ではなく、車輪のついたソフトウェア・プラットフォームであり、その攻撃表面は拡大する一方である。

コネクテッドカーの未来にける潜在的な危険性は、デジタル技術を駆使したニューヨークの自動車窃盗犯の例には留まらない。イギリスでは、ゲームボーイに似たデバイスを使ってキーレス・エントリー・システムを騙し、3ヵ月足らずで30台以上の Mitsubishi Outlanders を盗んだグループがいたようだ。

他にも、Renault や Honda などの自動車を停止させるランサムウェアから、Tesla を限定的に遠隔操作するホワイトハット研究者にいたるまで、さまざまな攻撃が行われ、また、研究されている。したがって、ハイテクカーが新機能を提供するためのコネクティビティは、その攻撃対象の大幅な増加も意味していると考えられる。

Upstream の 2020年のデータによると、このような事件の 54.6% にブラックハット・ハッカーが関与しており、残りの大半にホワイトハット研究者が関与していた。少数ではあるが、所有者による自分の車の調査も増加している。

コネクテッドカーの数は増え続けている。現時点において、自動車の4分の1ほどが、何らかの形でネットワーク接続されている。そして 2025年には、8台中の7台がコネクテッドカーになると言われている。

Upstream の年次報告書である Global Automotive Cybersecurity Report では、「自動車エコシステムにおけるサイバー脅威は、道路利用者の安全とセキュリティに直接的な影響を与える可能性があるため、特に懸念される。自動車は、それ自体が危険なものだが、コネクティビティと相まって、現代の自動車は特に危険なものとなっている」と指摘されている。

自動車に関わるセキュリティ事件としては、Charlie Miller と Chris Valasek が自動車を制御してみせた、2015年の Jeep Cherokee ハッキングが最も有名だ。しかし、最も多い攻撃は、自動車サービスをホストするサーバーの侵害 (40%)、キーレス・エントリーを利用する攻撃 (25%)、モバイル機器向けの自動車用アプリを標的とする攻撃 (9%) となっている。また、インフォテインメント・システムを狙った攻撃や、OBD (Onboard Diagnostics0 ポートを利用した攻撃、メーカーの IT ネットワークを狙った攻撃は、それぞれ 6% ずつとなっている。

Upstream の Lead Analyst である Tomer Porat は、「今後、大量の情報漏洩を狙う試みは、より一般的になり、コネクテッド・インフラのコンポーネントが標的になるだろう。攻撃の手段としては、サーバーや、OEM の IT インフラを介した脆弱性の利用が考えられる」と述べている。

これらの問題の中には、設計上の不備によるものもあるが、人為的なミスが原因となるものもあると Porat は述べている。彼は、「開発者は、しばしばミスを犯し、GitHub などのパブリックな場に機密情報を投稿し、インフラを公開してしまう」と付け加えている。

自動車のエコシステムは、金融詐欺も多発させる。金融詐欺に対抗するツールを提供している Point Predictive の Chief Fraud Strategist である Frank McKenna は、「詐欺師や、消費者だけではなく、ディーラーまでもが、販売契約を確定させるために、自動車ローンの申請を早回しにすることがよく分かる。金融詐欺の約80%は、消費者が自動車ローンの資格を得るために行われ、 残りの約20%は、犯罪者が利益を得ようとするために行われる」と述べている。

McKenna は、「消費者が、実際の収入の2倍を稼いでいると言う場合や、重要な事実について嘘をつく場合は詐欺である。自動車ローン会社が適切な管理を行っていない場合、不正行為 により最大で 3% の損失をもたらされる可能性がある」と付け加えている。

最後になるが、コネクテッドカーで生成/消費されるデータの量は著しく増加している。Upstream の Molho は、「最新のコネクテッドカーでは、1日あたりギガ・バイトのデータが生成されるが、それによりセキュリティ管理上の問題を引き起こされる。自動車は非常に多くのデータを生成するため、ほとんどのコネクテッド・ビークルは、データ量をサポートするために 5G接続を備えている。無線の能力がアップデートされることで、常に新しい機能が追加されて、また、データは増え続ける」と述べている。

コネクテッドカーへの攻撃に関しては、「Mercedes-Benz のインフォテインメント・システムはハッキングの対象になる?」と、「Mercedes-Benz のデータ侵害により 1000人の個人情報が流出した?」というポストがありました。また、「Audi と Volkswagen の顧客データ 330万件が流出した」もありますが、こちらはコネクテッドカーとは無関係のようです。カテゴリ Transportation もありますので、よろしければ ご利用ください。

%d bloggers like this: