Malwarebytesは9月27日(米国時間)、「Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes」において、起亜(KIA)が2013年以降に製造したほぼすべての自動車に脆弱性が存在したと報じた。この脆弱性を悪用されると、自動車の主要な機能を遠隔操作される可能性がある。

Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes

○脆弱性の概要

この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Kia: Remotely Controlling Cars With Just a License Plate」にて公開されている。

脆弱性は自動車自体ではなく、ディーラー専用サイト「kiaconnect.kdealer[.]com」に存在した。研究者は簡単なHTTPリクエストを介して新規ディーラーとして自身を登録し、Webサイトへのログインに成功している。

ログインに成功すると、車両識別番号(VIN: Vehicle Identification Number)を使用して車両情報の検索が可能になる。この検索から所有者の氏名、電話番号、メールアドレスが取得できるという。

研究者はディーラー専用サイトのAPI(Application Programming Interface)の調査から、本来の所有者を降格して研究者を主要な所有者として登録することに成功している。その結果、攻撃者は2013年以降に製造された標的車両にコマンドを送信できるようになる。

侵害手順 引用:研究者Webページ

なお、車両情報の検索、所有者の降格、所有者の追加など、一連の操作は元の所有者に通知されることはない。攻撃者は標的車両の車両識別番号を入手するだけで、所有者に気づかれることなくエンジン始動やロック解除などの操作ができる。

○影響と対策

この脆弱性を悪用するには車両識別番号を入手する必要がある。一般的に第三者が車両識別番号を入手するには車両に打刻された番号を目視で確認しなければならない。

研究者はこの問題をナンバープレートから車両識別番号に変換するサードパーティーAPIを使用して解決した。Malwarebytesによると、米国や英国など一部の国ではナンバープレートから車両識別番号を検索できる車両データベースが存在するという。

研究者は起亜に脆弱性を報告後、概念実証(PoC: Proof of Concept)ツールを開発している。このツールはナンバープレートの番号を入力するだけで、所有者の個人情報を窃取して車両にコマンドを送信できるとされる。

研究者が開発した概念実証(PoC)ツール 引用:研究者Webページ

このセキュリティ脆弱性は、9月26日(協定世界時)までに起亜により修正されたことが確認された。Malwarebytesによると、起亜は脆弱性の悪用を確認していないと報告したという。

研究者およびMalwarebytesは、自動車メーカーの主眼がセキュリティよりも新機能の開発にあるため、今後も脆弱性が発見されることになるだろうと指摘している。