2018年5月2日

スマートカー:快適さに支払うのは費用か代償か

テクノロジー 脅威

「安かろう悪かろう」。よく耳にしますが、大金をはたいてスマートカーを手に入れた後では聞きたくない言葉です。スマートカーの基本価格が高いことを考えると、ディーラーが勧めてくる値の張るオプションには手を出したくないと思う人がいても無理はありません。オプションに高額をかける代わりに、同じことができる非公式のツールをネットで探す人もいますが、そこに潜む危険に気付く人はどれほどいるでしょうか。

スマートカーの機能制限を解除する方法

最新のスマートカーでは、実にいろいろなことができます。インターネットに接続する、地図などの情報をダウンロードする、近くのサービスセンターとデータをやり取りする、リモート診断やメンテナンスサービスを受ける…。自宅の居間にいながら車のエンジンをかけて空調を調節しておき、乗るときには快適な状態になっているようにすることも可能です。

1つ問題があります。こうした機能は安くはありません。大手メーカーの最も高額なモデルであれば、こういった快適さ向上の機能は標準装備されています。しかし、価格を抑えたモデルになると、そのような追加機能にはロックがかかっている(特別なデジタル署名で保護されている)ことが多く、利用するには追加料金が必要です。

では、ハッカーがスマートカーの脆弱性を見つけて、こうした機能を制限しているデジタル証明書にアクセスできるようになったとしたらどうでしょうか。実は、そうしたことはすでに現実となっており(USBインターフェイス内に脆弱性がある場合がほとんど)、セキュリティ証明書を差し替えて追加機能を使えるようにするツールやアクセサリが販売されています。こうした「第2の選択肢」は、いまや数多くオンラインに出回っています。

Kaspersky Labのエキスパートは、スマートカーの機能制限を解除するためのさまざまなツールやプログラムを提供する場となっているフォーラムおよび販売プラットフォームを調査し、サンフランシスコで開催されたRSA 2018で結果を発表しました。調査では、走行距離をリセットするもの、事故後にエアバッグを再装着するもの、メンテナンス費用を抑える目的のものなど、さまざまな用途のモジュールの存在が明らかになりました。また、診断用のツール、有料機能の制限を解除するツール、ナビゲーションアプリの海賊版、無認可のアクセサリも見つかりました。これらは総じて、メーカー提供の正規品よりもかなり安価です。それならどうして、わざわざ正規品にお金を払う必要があるのでしょうか?

ルノー、BMW、メルセデス・ベンツ、フォード、フィアットの走行距離をリセットするツール

このストアではさまざまな診断ツールとプログラミングツールが販売されている

トロイの木馬型ファームウェア

なぜ正規品にお金を払うべきなのか?「安かろう悪かろう」が当てはまるからです。支出を渋った人は、予想外の理由で結局はお金を出さなければならなくなるでしょう。非公式ツールの問題点は、接続すると、そのツールから車のシステム全体にアクセスできるようになることです。それこそ、オーナーの重要情報や各種制御機能にもアクセスできます。非公式のAndroidアプリの場合と同様に、違法なファームウェアは、利用者に利便性をもたらすと同時に、サイバー犯罪者にも新たな可能性をもたらします。

スマートカーのオーナーというのは、魅力的な標的です。ハイテクで人目をひく車を持っているなら、お金もたくさん持っているに違いありません。ダークネット市場では、ハッキングされたスマートカーに世界のどこからでもアクセスできるアカウントが売買されています。

機能制限を解除できる「便利な」プログラムを作成する者たちは、ファームウェアにしかるべきコードを組み込むことで、車をほぼ完全に制御できるようになります。車の動向を監視できますし、会話も盗聴可能、システムに接続されているスマートフォンにアクセスすることもできます。セキュリティアラームをオフにしてドアを解錠することもできるかもしれません。

進取の気性に富んだサイバー犯罪者であれば、ランサムウェアを組み込んで、オーナーが暗号通貨を支払うまで車を動かせないようにする可能性もあります。

安全の対策

サイバー犯罪者から車を守りたいのであれば、残念ながら自分で何とかするしかありません。初めてジープのスマートカーがハッキングされたのは2015年、2016年には当社のエキスパートがサードパーティ製のコネクテッドカー用アプリの危険性について注意喚起しました(英語記事)。しかし自動車メーカーは、脆弱性を修正することの重要性を今なお低く見積もっており、現在も多数の脅威が存在しています。この現状が根本的に変わらない限り、車のセキュリティはオーナー自身が責任を負わねばなりません。

  • 公式のアプリとアクセサリ以外は使わないようにしましょう。安いものは、悪いのです。
  • 車を適切にメンテナンスし、ファームウェアを定期的にアップデートしましょう。アップデートでは何らかの問題が修正されるはずなので、後で何か問題が起きてから慌てることのないように、自分の車のモデルに該当するファームウェアアップデートが出たら、無視せず適用してください。
  • セキュリティ製品を利用して、コネクテッドカー向けのモバイルアプリをチェックしましょう。スマートフォン経由で侵入者に登録データを盗まれ、闇市場で売買されることのないように、アプリの安全性を確認してください。