BMWのネット対応車にロック解除などリモートアクセス脆弱性、220万台に影響。パッチ配信中
アップデートしていない場合、偽の携帯ネットワークを使ったリモートアクセスにより悪意のある第三者がドアロック解除やエアコン操作、位置情報の確認などができてしまうおそれがあります。
BMWのConnectedDriveは車載の通信モジュールを使った各種サービスの総称。Googleマップや天気情報などのネット情報を利用したり、Twitter等ソーシャルメディア連携などさまざまなサービスがあります。
BMWのリリースによると、 ドイツ自動車連盟ADACが実施したシミュレーションにより、偽の携帯ネットワークを使ったリモートアクセスが可能になる脆弱性が発見されたとのこと。影響を受けるのはConnectedDrive対応車 約220万台。
BMWではこの問題について、
・実際に攻撃を実行するには大掛かりな準備が必要になり、現実的ではない。
・シミュレーション環境で発見されたもので、実際の被害は報告されていない。
・リモートアクセスはドアロック解除等が可能だが、ステアリングやアクセル・ブレーキなど運転機能自体は隔離されており影響を受けない。
・すでにこの穴をHTTPS通信で塞ぐパッチを配信しており、対応車はならば次回ネットワーク接続時に自動的にアップデートされる。
としています。 影響を受ける車種の一覧は以下。ミニやロールスロイスなどBMW以外のブランドも含め、原則的には通信モジュール搭載のConnectedDriveサービス対応車全体が対象です。
