Vulnerabilities in Honda eCommerce Platform Exposed Customer, Dealer Data
2023/06/08 SecurityWeek — 各種の機器や美品などの販売に利用されている、ホンダの eコマース・プラットフォームで発見された深刻な脆弱性の詳細が、ある研究者により公開された。この欠陥の悪用に成功した攻撃者は、顧客やディーラーの情報にアクセスできる可能性があったという。このセキュリティ・ホールとデータ流出の可能性は、米国在住の研究者 Eaton Zveare により、今年の初めに発見された後に、3月中旬にはホンダに通知された。同社は直ちに問題に対処するための措置を講じ、このホワイトハット・ハッカーに感謝の意を表したが、バグバウンティ・プログラムを設けていないため、報酬は与えなられなかった。なお、ホンダは、悪用の証拠は見つからなかったと述べている。
Continue reading “ホンダの機器類を販売する e コマース・サイトに脆弱性:甚大な被害が発生する可能性があった”Toyota, Mercedes, BMW API flaws exposed owners’ personal info
2023/01/04 BleepingComputer — 約20社の自動車メーカーおよび自動車サービスに影響を及ぼす、API の脆弱性が存在する。それにより、車両のロック解除/始動/追跡から顧客の個人情報の流出にいたるまで、悪意の行為をハッカーに許す可能性があることが判明した。この脆弱性は、BMW/Roll Royce/Mercedes-Benz/Ferrari/Porsche/Jaguar/Land Rover/Ford/KIA/Honda/Infiniti/Nissan/Acura/Hyundai/Toyota/Genesis といった有名ブランドに影響を及ぼしている。また、この脆弱性は、車両技術ブランドである Spireon および Reviver と、ストリーミングサービスの SiriusXM にも影響を与える。
Continue reading “Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘”Experts demonstrate how to unlock several Honda models via Rolling-PWN attack
2022/07/10 SecurityAffairs — Star-V Lab のセキュリティ研究者 Kevin2600 と Wesley Li のチームが、脆弱性 CVE-2021-46145 に対する Rolling-PWN 攻撃により、Honda 車両のロック解除や発進を可能になることを発見した。研究者たちが、車両の解錠/発進を遠隔操作で可能にする Remote Keyless Entry System (RKE) をテストしたところ、リモートで車両の解錠/施錠ができる Rolling-PWN 攻撃の問題が発見された。専門家たちによると、この問題は、2012年〜2022年に販売された全ての Honda 車に影響するとのことだ。
Continue reading “Honda 車両のロック解除/エンジン始動を可能にする Rolling-PWN 攻撃とは?”Honda bug lets a hacker unlock and start your car via replay attack
2022/03/25 BleepingComputer — 研究者たちは、Honda と Acura の一部の車種に影響をおよぼすリプレイ攻撃の脆弱性を公表した。この脆弱性により、車両の近くにいるハッカーは車のロックを解除し、エンジンを始動させることさえ可能になる。この攻撃は、キーフォブから車に送信される RF 信号を脅威者が捕捉し、その信号を再送信して車のリモート・キーレス・エントリー・システムを制御するものだ。研究者たちによると、この脆弱性は、ほとんどの古いモデルでは修正されていないとのことだ。しかし、ホンダのオーナーは、この攻撃から身を守るために、何らかの行動を起こすことができるかもしれない。
Continue reading “Honda の車両にバグ:リプレイ攻撃によりロック解除からエンジン始動まで”Automotive giant DENSO hit by new Pandora ransomware gang
2022/03/14 BleepingComputer — 自動車部品メーカーの DENSO は、3月10日に新たなランサムウェア Pandora のサイバー攻撃を受け、その際に盗み出されたとされるデータの流出が開始されたことを認めた。DENSO は、世界最大級の自動車部品メーカーであり、Toyota/Mercedes-Benz/Ford/Honda/Volvo/Fiat/General Motors などのブランドに対して、電気/電子/パワートレイン制御などの様々な専用部品を供給している。同社は日本で事業を展開しているが、世界中に 200社以上の子会社と、168,391人の従業員を擁し、2021年の売上高は $44.6 billion となっている。
Continue reading “DENSO が Pandora ランサムウェア攻撃に遭遇:Rook/NightSky のリブランドか?”SonicWall: Y2K22 bug hits Email Security, firewall products
2022/01/07 BleepingComputer — 今日、SonicWall は、同社のメール・セキュリティ製品およびファイアウォール製品の一部が Y2K22 バグに見舞われ、2022年1月1日以降のメッセージログ更新やジャンクボックス操作に障害が発生していたことを確認した。同社によると、影響を受けたシステムでは、メールユーザーおよび管理者により、ジャンク・ボックスへのアクセスや、新たに受信したメールのジャンク解除などが不能になるという。また、メッセージログ更新が不能であることから、メッセージログを介した送受信メールを追跡も不可能になるという。
Continue reading “SonicWall の Y2K22 問題:メールセキュリティとファイアウォールに障害が発生”Honda, Acura cars hit by Y2K22 bug that rolls back clocks to 2002
2022/01/05 BleepingComputer — Honda Acura の車両だが、ナビゲーション・システムの時計が 2002年1月1日にリセットされ、変更する方法がないという、2022年問題のバグである、通称 Y2K22 に見舞われている。2022年1月1日以降、Honda と Acura の車両に搭載されたナビゲーション・システムの日付が、自動的に2002年1月1日に変更され、おそらく車が位置する地域に応じてだと思われるが、時刻は 12時/2時/4時などにリセットされた。
Continue reading “Honda と Acura の車両に Y2K22 バグが発生:ナビが 2002 年にリセットされた”Cybercriminals Take Aim at Connected Car Infrastructure
2021/10/30 DarkReading — 自動車のコネクテッド化が進む中、さまざまな攻撃が発生している。自動車盗難者はキーレス・エントリー・システムを悪用し、ハッカーは自動車の部品を悪用する新たな方法を見つけだし、自動車金融を狙った詐欺行為が行われていると、自動車サイバー・セキュリティの専門家が、今週のインタビューで語っている。
Continue reading “コネクテッドカーのインフラ:サイバー犯罪者が狙う格好の標的になる”
IoT OT Security News 