Honda の車両にバグ:リプレイ攻撃によりロック解除からエンジン始動まで

Honda bug lets a hacker unlock and start your car via replay attack

2022/03/25 BleepingComputer — 研究者たちは、Honda と Acura の一部の車種に影響をおよぼすリプレイ攻撃の脆弱性を公表した。この脆弱性により、車両の近くにいるハッカーは車のロックを解除し、エンジンを始動させることさえ可能になる。この攻撃は、キーフォブから車に送信される RF 信号を脅威者が捕捉し、その信号を再送信して車のリモート・キーレス・エントリー・システムを制御するものだ。研究者たちによると、この脆弱性は、ほとんどの古いモデルでは修正されていないとのことだ。しかし、ホンダのオーナーは、この攻撃から身を守るために、何らかの行動を起こすことができるかもしれない。

ワイヤレス・ロック解除からキーレス・エンジン始動まで

今週に、複数の研究者が Honda と Acura の車両について、近くにいる攻撃者が一部の車種のロックを解除し、ワイヤレスでエンジンを始動させる脆弱性を公開した。この中間者攻撃 (MitM) の脆弱性 CVE-2022-27254 は、通常はリモート・キーフォブから車両に送られる RF 信号を攻撃者が傍受し、その信号を操作し、その後に、対象となる車両を自由にアンロックする信号を再送信できるリプレイ攻撃である。

研究者たちが公開したビデオでは、この欠陥のリモート・エンジン・スタートの側面も示されているが、現時点では技術的な詳細や PoC エクスプロイト・コードは公開されていない。

この脆弱性を発見した研究者は、コンピュータ科学者の Blake Berry と、マサチューセッツ大学の Hong Liu と Ruolin Zhou、および Cybereason CSO である Sam Curry である。研究者たちによると、このバグの影響を受ける車両は、主に2016年〜2020年の Honda Civic (LX/EX/EX-L/Touring/Si/Type R) の車両が含まれるとのことだ。

Blake Berry は、GitHub リポジトリで、キャプチャしたコマンドを操作/再送信し、まったく別の結果を得ることが可能であることも共有している。たとえば、あるテストで Berry は、キーフォブから送信されたロック・コマンドを記録したが、それは以下のビットで構成されていた。

653-656/667-668/677-680/683-684/823-826/837-838/847-850/853-854

Berry は、これらのビットを反転させて車両に再送信し、その結果、車両のロックを解除する効果を得ている。このような欠陥が自動車で報告されるのは、今回が初めてではない。2020年に Berry は、Honda と Acura の以下のモデルに影響を与える、同様の欠陥 CVE-2019-20626 を報告していたが、ホンダは彼の報告を無視し、この単純なリプレイ攻撃に対するセキュリティ対策を怠り続けたと主張している。

  • 2009 Acura TSX
  • 2016 Honda Accord V6 Touring Sedan
  • 2017 Honda HR-V (CVE-2019-20626)
  • 2018 Honda Civic Hatchback
  • 2020 Honda Civic LX

研究者が自動車メーカーに推奨するのは、ローリング・コード (ホッピング・コードとも呼ばれる) の実装だ。このセキュリティ技術は、認証要求ごとに新しいコードを提供する。そのため、これらのコードは、攻撃者により後に再生されることはない。

2022年1月に、研究者である Kevin2600 は、同様の脆弱性を CVE-2021-46145 を公開していたが、特定のキーレス・システムがローリング・コードを使用しているため、攻撃の成功率がはるかに低いと述べている。

Honda には旧モデルを更新する計画がない

この脆弱性の影響と、Honda の対応計画を理解するために、BleepingComputer は同社に連絡を取った。Honda は、「複数の自動車メーカーが、リモート・ロック/アンロック機能の実装にレガシー技術を使用しており、技術的に洗練された泥棒に対して脆弱な可能性がある」と述べている。

Honda の担当者は、「現時点において、このデバイスは、ターゲット車両に物理的に取り付けられているとき、および、近接しているときのみに動作するようだ。車両のドアを開きエンジンを始動するには、その車両の所有者のキーフォブからの無線信号のローカル受信が必要になる」と BleepingComputer に語っている。

なお、Honda は、我々への声明の中で、研究者たにが報告した情報を検証していないため、この種の攻撃に対して、実際に脆弱であるかどうかについて確認できないと明言している。同社は、「車両に脆弱性があったとしても、現時点で、Honda は古い車両を更新する予定はない」とも述べている。

研究者たちは、「重要なのは、Honda が新型車の導入に伴い、定期的にセキュリティ機能を向上させている一方で、技術的に洗練された窃盗団も、それらの機能を克服しようと取り組んでいることだ」と述べている。

さらに同社は、「泥棒は、このようなハイテク・ハッキングに依存するのではなく、他の手段を用いて車両にアクセスできると主張しており、問題の傍受デバイスのタイプが広く使用されているという兆候はない」と述べている。しかし、この欠陥のリモート・エンジン始動という側面は、単純なドアロック解除のハッキングをはるかに超えているため、問題が残されている。

研究者たちは、「車両の所有者がキーフォブを使用しないときは、信号を遮断するファラデー・ポーチに保管することを提案しているが、この方法では、キーフォブを使用するときに、攻撃者による信号の盗聴を防げない。

また、リモート・キーレス・エントリーではなく、パッシブ・キーレス・エントリーを選択することも提案されている。このケースで、攻撃者が信号を複製/読取するためには、車両に近接する必要があるため、その行動は著しく困難になることが予想される。

研究者たちは、「あなたが、この攻撃の犠牲者であると思うときに、現在における唯一の緩和策は、ディーラーでキーフォブをリセットすることだ」と結論付けている。

似たような話としては、2021年11月19日の「Tesla の Web サーバーに障害:スマホによるロック解除ができないという報告が続出」があります。新しい機能やサービスが登場すると、そこには必ず欠陥がつきまといます。車両の安全で確実なロック/アンロックが求められますが、何らかのカギが用いられるのなら、それを複製する者がでてきます。この分野でも、終わりのない戦いが続くはずです。