コネクティッドカー:便利さとリスク

インターネットに常時接続された「コネクティッドカー」。スマホなどとの連携も注目を浴びていますが、そのセキュリティ上のリスクは?Kaspersky Labが評価に協力しました。

cars.min

「スマートホーム」や「モノのインターネット」といった未来的なコンセプトについては、ある程度ご存知の方も多いことでしょう。しかし、このような最新のスマート環境を最も包括的に取り入れているのは、…驚くなかれ、実のところ自動車です。

一般的な自動車には、ブレーキやハンドル、空調などのさまざまな機能を制御する何十ものコンピューターが搭載されています。もちろん、自動車メーカーは最近のトレンドを取り入れており、さまざまなオンラインサービスを利用できるようにするべく、新車種をインターネットに「接続」しています。ネット接続によって、離れた場所からスマートフォンを使って自動車のエアコンを調整したり、YelpやGoogleマップを自動車のダッシュボードで直接確認したり。事故現場のGPS座標とともに救助や緊急医療を要請する、自動の非常通報システムを設定しておくことも可能です。

こうしたサービスがすでに普及していることは、インタラクティブ広告協議会(IAB)のスペイン支部が実施した最近の調査で示されています。Audi、BMW、Ford、Lexus、Opel、Renault、Volvoといった有名ブランド15社の既存の自動車に搭載された「接続」機能に関する分析では、どのメーカーも何かしらの接続ソリューションを用意していることが明らかになりました。あるメーカーは「車載」ソリューションを重視し、また別のメーカーはスマートフォンとの統合に高い関心を寄せています。このようなネット接続機能を搭載する自動車を「コネクティッドカー」と呼びます。最先端をいくのはBMWで、20個のスマートフォンアプリと14種類の車載アプリが、Spotifyから遠隔車両診断まで、さまざまな機能を提供しています。「コネクティッドカー」がどのようなセキュリティ上のリスクを抱えているか、IABがBMWの実装例を基にした評価をKaspersky Labに依頼したのも、不思議なことではありません。

当然ながら、最も懸念すべきはハンドルやブレーキのハッキングです。Kaspersky Labのエキスパートは以前、別の自動車ブランドではあるものの、コネクティッドカーの「通常」機能の悪用に焦点を置いた調査でその危険性を実証しています。また、「My BMW Remote」と呼ばれる専用アプリを使い、鍵を使わずにスマートフォンでドアロックを解除する機能も気になるところです。

BMWの名誉のためにお伝えすると、BMWの開発者たちは2段階認証を実装してスマートフォンへの「仮想キー」のインストールを必須とするなど、やるべきことをやっています。ただし、バンキング型トロイの木馬を取り扱ったことのあるエキスパートなら、この手の対策をかいくぐるための手口をすぐにいくつも挙げることができます。フィッシングキー入力の監視中間者攻撃ソーシャルエンジニアリングと組み合わせて使えば、最新式の保護機能でも回避できるのです。実地試験では、リサーチャーは「被害者」の認証情報を盗み取り、自分のスマートフォンに鍵のアプリをインストールすることに成功しました。これを使い、正規オーナーの手を借りずにドアを開けることができたのです。

Kaspersky Labのプリンシパルセキュリティリサーチャーのヴィセンテ・ディアス(Vicente Diaz)は、次のように述べています。「コネクティッドカーを持つ人は、パスワードや位置情報が盗まれる、不正に遠隔操作される、ドアをロック解除される、などさまざまなリスクに直面する可能性があります。コンピューターの世界に特有の脅威は、自動車業界でも同じく脅威となり得るのです。次世代自動車を所有するならば、こうしたリスクを考慮する必要があります。」

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?