ハッキング
昨年、遠隔操作でコネクテッドカーの乗っ取りが可能であることがわかりました。でも、遠くにいるハッカーに操られている自動車を路上で見かけたことはありません。これは現実の脅威なのでしょうか?それとも仮説としてあり得るだけの話なのでしょうか?
RSA 2016での討論から判断すると、答えは簡単ではないようです。今のところ脅威の規模は小さなものですが、時間の経過とともに増していきます。数年もすれば今よりもずっと危険な状況になるでしょう。さらに悪いことに、今の自動車業界の構造では、メーカーがこのような根本的な問題を解決するのにおそらく何十年もかかります。今の勢いをすっかり失いたくなければ、今こそ行動すべきです。幸いにも、多くのメーカーもこのことを理解しています。
パニックになる必要はない…
…のですが、スリルを味わいたいなら、WIREDチームと有名な自動車ハッカーコンビ、チャーリー・ミラー(Charlie Miller)氏とクリス・ヴァラセク(Chris Valasek)氏が撮影した動画をご覧ください。
この動画では、WIRED記者のアンディ・グリーンバーグ(Andy Greenberg)氏が最新型のジープを運転しています。同時に、ミラー氏とヴァラセク氏はグリーンバーグ氏の運転しているジープに遠隔操作でハッキングを仕掛けています。ラジオやワイパーのスイッチを入れたり、ブレーキをかけたりするほか、ハンドル、車輪、ペダル、ブレーキを別々に操る様子を見せてくれました。なぜこのようなことが可能かというと、個々のパーツは直接接続されていないからです。つまり、ある制御要素と他の制御要素との間には、数多くのコンピューターシステムが内蔵されていて、ハッカーに狙われやすい環境になっているのです。
ともあれ、このように乗っ取られる可能性のある自動車はそれほど多くありません。RSA 2016でこの問題を報告したKelley Blue Bookのエキスパートによると、米国の車道を走行している自動車の平均使用年数は11年です。つまり、大半の自動車にはハッキングされるようなインターネット接続やBluetooth接続もなければ、各種機器も搭載されていません。まるで「ダムフォン(低機能携帯電話)」とスマートフォンの関係のようです。「ダムカー」が大多数を占めているために、私たちはハッカーから守られているのです。
ジープをリモートからコントロール下に置くことに成功したというショッキングな実験、その詳細が #BlackHat で明らかにされました。https://t.co/zSDqwmCLBu pic.twitter.com/sYjMmRGpKW
— Kaspersky Labs Japan (@kaspersky_japan) August 18, 2015
コネクテッドカーをハッキングするには、あらゆるテクノロジーと機器を研究しつくす必要があります。それほど大掛かりで複雑な作業です。それだけではありません。自動車や何らかの特殊な装置に投資する必要もあるでしょう。たとえば、ミラー氏とヴァラセク氏はこの研究に4年を費やしましたが、ハッキングの方法を突き止めた車種は、たったの数種類です。
ほとんどのPCで同じタイプのプロセッサーユニット(Intel)が使われていますし、搭載されているOSもほんの数種類(Windows、OS X、Linuxなど)です。自動車のコンピューターシステムは、CANbusを介して相互接続された、さまざまな専用コンピューターで構成されています。
このようなアーキテクチャは標準的なセキュリティ対策の導入が難しいため、マイナス面がありますが、犯罪者の手から守られているとも言えます。犯罪者は膨大な時間をかけて自動車のコンピューターシステムを理解しなければならないのですから。
産業施設もサイバー攻撃の対象となり得ます。化学工場がハッキングを受けた場合、攻撃者の意図はどこにあると考えられるでしょうか。また、ハッキングはどう進行するでしょうか。https://t.co/g6u2Gv6Mn7 pic.twitter.com/hfXS3EIuvY
— Kaspersky Labs Japan (@kaspersky_japan) August 31, 2015
現状に満足している余裕はない
当然、このような安定期が永遠に続くわけがありません。コネクテッドカーの台数は増える一方です。Kelley Blue Bookによれば、標準でネット接続されている車種は、ここ5年間で2種から151種にまで増加しました。
その上、インターネットにアクセス可能な機器はたくさんあり、古い自動車でもCANbusで取り付け可能です。たとえば、保険会社や物流会社は追跡装置を設置していることが多く、ドライバーが安全に運転しているか、どこに、どの程度の頻度で立ち寄っているかなどを監視しています。このような装置もハッキングされ、そこからCANbusや重要な自動車システムに遠隔アクセスされる可能性があります(英語記事)。
自動車のハッキングを可能とする新たな脆弱性が?!どのくらい現実的な脅威なのでしょうか、要チェックです。 http://t.co/83OA3zjkY3 pic.twitter.com/75b9PSt6z6
— Kaspersky Labs Japan (@kaspersky_japan) January 29, 2015
悪い話ばかりではありません。この問題を研究する専門家の数も徐々に増えています。たとえば、Open Garagesプロジェクトでは、安価な、あるいは無料のハードウェア・ソフトウェア製品を研究しており、利用者は自動車ネットワークのデータを分析したり、研究内容に意見を述べたりすることができます。OpenGaragesはまた、自動車修理工場と連携しており、新しいソフトウェアやアイデアをテストするための自動車、ツールなどの基本設備を調達できます。
CANbus研究用機器のうち最も単純なものは、Raspberry PiやArduinoを基盤としています。アクセサリも含め、かかる費用は約100ドルです。さまざまな機能を持ったオープンソースのアプリも提供されており、一部のアプリは無料です。これはつまり、既知の脆弱性や解読されるサブネットワークの制御プロトコルの数が今後増えていくということであり、短期間で十分に実現可能な話です。この知識を利用した悪質なアプリケーションが登場するのは時間の問題です。
行動する時
この問題については、「メインのコンピューターシステムへアンチウイルスをインストールする」といったような簡単な解決策はありません。CANbusは80年代に生まれた標準プロトコルであり、CANbusを使用することで、あらゆるシステムを認証なしで相互接続できます。このプロトコルを改良するとなると、自動車システムのほぼすべてを変える必要がありますが、この取り組みが行われる可能性は大いにあります。現時点では、車のハッキングの事例は1、2件しかありませんが、車のリコールによってすでに製造業者は莫大なダメージを受けています。チェロキーがハッキングされてから、Fiat Chryslerは140万台をリコールしました(英語記事)。
メーカーが動かざるを得ない要因は他にもあります。Kelley Blue Bookの報告によれば、調査対象の大半が、セキュリティシステムを提供するのは自動車ディーラーやサードパーティの組織ではなく、メーカーだと考えています。
そうは言っても、自動車業界には自動車の保護技術を開発した経験がほとんどありません。同じ問題に直面している自動車部品メーカーも、状況は同じです。
幸いにも、セキュリティの専門家や企業はこの問題に精通しています。この10年で、すでに同じ道を歩んでいるからです。IAmTheCavalryプロジェクトでは、5つ星安全性プログラムに対応するよう推奨しています(英語記事)。このプログラムでは、1つ1つのセキュリティ対策が適切に実施されているかどうかを星で評価します。ここから、解決すべき主要な問題は以下の5つに集約できます。
1. 安全性を重視したソフトウェア開発ライフサイクル(セキュリティに配慮した設計)
セキュリティの基本原則に従って自動車を開発する、ということです。具体的には、プロジェクトを規格に準拠させ、予測可能かつ標準化され、包括的な作業を行えるようにします。ハードウェアとソフトウェアの供給プロセスをすべて適切に管理し、追跡可能にすることで、すぐに問題に対処できるようにします。コードの攻撃対象領域と複雑さを体系的に減らします。最後は、専門家を定期的に招き、攻撃に対する耐性テストを実施してもらいます。
フォルクスワーゲンの排ガス不正問題はメディアを大きく賑わしました。実際にどんなことが行われていたのかが、明らかに。 https://t.co/OiztfkNuLs pic.twitter.com/J6r2rUbjJU
— Kaspersky Labs Japan (@kaspersky_japan) January 19, 2016
2. サードパーティとの連携
脆弱性を発見したリサーチャーは、発見したことを報告した後に何が起きるのかを知っておくべきです。裁判所に脅されるようなことがあってはなりません。むしろ、発見した人に報酬を支払う制度は大歓迎です。たとえば、TeslaではTesla車の脆弱性を発見した人には報酬を支払う制度を導入していますが、自動車業界にはまだ広がっていません。
#DEFCON レポート第2弾。クライスラー社のジープ チェロキーに続き、テスラ社のモデルSにもハッキング可能な脆弱性が。ただし、状況は異なるようです。https://t.co/uwrrjuezRx pic.twitter.com/zMfnnQ4LKM
— Kaspersky Labs Japan (@kaspersky_japan) August 24, 2015
3. 証拠の収集
自動車に「ブラックボックス」が装備されるまでは、インシデントの調査やハッキングの証拠を収集するのは難しいでしょう。ブラックボックスでは、CANbusのデータ交換の記録を保持するべきです。一方で、プライバシー問題を考慮し、このデータの流用は避けなければなりません。
飛行機事故が発生すると必ず出てくるキーワードは「フライトレコーダー」です。フライトレコーダーには、どんな情報が保管されているのでしょう?https://t.co/ggxjHIE0xE pic.twitter.com/9obDhYBcTs
— Kaspersky Labs Japan (@kaspersky_japan) December 1, 2015
4. セキュリティのアップデート
自分の自動車がハッカーに狙われやすい車種である場合、カーケアセンターに頼るしか解決方法がありません。当然ながら、これではアップデートプロセスが面倒になってしまいます。アップデートプログラムをインストールしなかった人が大勢いたことは明らかです。このため、OpenGaragesでは、AppleのiPhoneで実装されているように、「オンザフライ方式」のアップデートシステムを作成するように勧めています。
このようなアップデートシステムに必要なのは、安全なアップデートプログラム、適切なサービス品質保証契約(SLA)、車の所有者に対する通知プログラムです。
5. 分割および分離
重要なシステムと重要でないシステムとは分離しておく必要があります。こうすることで、インフォテインメントアプリがハッキングされても、自動車をまるごと壊されることはないでしょう。システムに不正アクセスされた場合、それを知らせる技術を導入する必要もあります。
残念ながら、ここに挙げた対策はすべて自動車に実装可能ですが、開発されるのはよくても2、3年後でしょう。ですから、保護された自動車の第1号が登場するのは、もっと後です。そうこうしている間に、脆弱な自動車の数は増加し続け、10年以上は路上を行き来していることでしょう。なので、現時点では心配無用でも、遠からず心配の種がでてくるはずです。だからこそメーカーは今すぐ行動に移す必要があります。
Kaspersky Labも開発プロセスに携わっています。大規模な自動車の部品メーカーと自動車メーカーと協力し、安全に設計された自動車を開発できるよう支援しています。Kaspersky LabのセキュアOSは、この課題の克服に一役買っています(英語記事)。
