走行中のクルマ乗っ取りに成功:「コネクテッドカー」のバグ(動画あり)

写真拡大

フィアット クライスラーの車載インターネット接続システムの脆弱性を利用して、ハッカーが事実上どこからでも、走行中の車両を「乗っ取れる」ことが実証された。実験の様子を動画で紹介。

「走行中のクルマ乗っ取りに成功:「コネクテッドカー」のバグ(動画あり)」の写真・リンク付きの記事はこちら

ミズーリ州セントルイスを本拠として活動する2人のコンピューターセキュリティ研究者が、全米で471,000台ものクルマにインストールされている、携帯電話網を利用した車載インターネット接続システムの弱点を実証してみせた。

2人の研究者、チャーリー・ミラーとクリス・ヴァラセクは、US版『WIRED』記者のアンディ・グリーンバーグが運転する「Uconnect」システム装備の「ジープ チェロキー」に遠隔攻撃を仕掛け、同システムの脆弱性を浮き彫りにした

Uconnectは、フィアット クライスラーが米国市場向けに生産し、販売した車両の一部に搭載されている「コネクテッドカー」システムだ。スプリント社の携帯電話ネットワークを利用してインターネットに接続するもので、オーナーは自分のスマートフォンを使って、離れた場所からエンジンをかける、GPSで車両の現在位置を把握する、各種の盗難防止機能を起動するといった操作ができる。

しかし、このUconnectに存在する脆弱性のため、ハッカーがスプリント社の携帯電話ネットワークからUconnectを装備したクルマを探し出し、その位置情報と車両識別情報を手に入れることが可能になっていた(フィアット クライスラーは、すでにこれを修正するパッチを公開している)。

さらにミラー氏とヴァラセク氏は、その車両のIPアドレスから車載システムへの攻撃が可能なことを実証した。具体的には、遠隔地から、走行中の車両のエンジンを止める、ブレーキを操作する、ワイパーを作動させる、情報ディスプレイやオーディオシステムを乗っ取るといった操作だ。また、両氏によると、このテストに使ったジープ チェロキーの場合、バックギアに入れたときに限られるとはいえ、クルマのハンドル操作にまで干渉できたという(文末に掲載したUS版『WIRED』の動画では、高速道路走行中に数マイル離れたところからエンジンを切ったり、ブレーキを操作したりしている)。

この2人の研究者は、2013年に米国防高等研究計画局(DARPA)の資金提供を受けて自動車のセキュリティの研究を行い、多くの自動車メーカーの車両に利用しうる脆弱性があることを証明している。だが、その研究での「攻撃」は、車両への直接的な接続が必要だった。これに対して、Uconnectの脆弱性の最大の特徴は、Sprint社の携帯電話ネットワークへの接続を利用して、事実上どこからでも車両への攻撃ができるという点にある。

フィアット クライスラーは、同社のウェブサイトに掲載した7月16日付けの通知で、顧客に対してこの脆弱性に関する注意を促している。ただし、同社がリリースしたパッチは、車両のオーナーまたはディーラーが、USBメモリーから手動操作でインストールする必要がある。

関連記事2040年、運転は完全自動化され、人は幸福になる

TAG

Arstechnica USCarHackingVideo