コネクテッドデバイスのハッキングの話ならもう出尽くしただろうと思っていたところでBlack Hatが始まり、今までで一番変わったもののハッキングといえば何だろうか、と改めて考えさせられることになりました。
ハッキングされる「モノ」の中で一番へんなもの、と言われて想像するのは、最新式のウェアラブルか、Google Glassのようなちょっと変わったものあたりでしょうか。悪くはない予想ですが、ハズレです。まあ、この記事のタイトルを見ていただければ一目瞭然なのですが。
ビリー・リオス(Billy Rios)氏とジョナサン・バッツ(Jonathan Butts)氏は、洗車機がハッキング可能なことを発見しました。そうですね、特にエキサイティングに聞こえないのは認めましょう。しかし、この2人のリサーチャーは、人に物理的な危害を及ぼしかねない最初のエクスプロイトを発見した可能性がある、と述べています(編者注:ジープをハッキングした人たちは異論があるかもしれませんが)。
経験豊かなリサーチャーであるリオス氏とバッツ氏は、誤設定された機械がアームでどのように自動車を襲い、車内の人にどんなふうに水を浴びせたのかを耳にして、PDQ LaserWashを詳しく調べることにしました。
多くのIoTデバイスや機械と同様、洗車機も、「ネットにつなぐ必要性など思いつきもしなかったモノ」の1つに数えてよいでしょう。そして、多くのデバイスと同じく、LaserWashの既定のパスワードは、彼ら曰く、簡単に推測できるものでした。
ハッキングによってシステム内に侵入した彼らは、洗車室のドアの開閉、水の噴射、赤外線センサーの無効化など、操作可能な部分を探し出すことができました。こうした操作をされても特に害がなさそうな気がしますが、彼らはデモ動画の中で洗車室のドアを車に激突させる様子を示し、車と車内の人間に深刻な害をもたらす可能性を示唆しました。しかも、ハッカーがその気になれば、この災難を詳しく報告するメールを送ることや、Facebookに投稿することも可能でした。
メール機能については、洗車機のオーナーや技術者が洗車機の問題や利用状況を追跡するときに便利かもしれません。が、Facebookに投稿する機能がどうして洗車機に必要なのか、どうにも理解できません。
この脆弱性は製造元に報告済みですが、Black Hat 2017の開催時点でパッチは適用されていないとのことです。
リオス氏とバッツ氏による調査は、既定のパスワードを変更することの必要性と、デバイスをネット接続する前にもう一度よく考えることの必要性を強調するものでした。洗車機は産業用制御システム(ICS)の小型版です。間違った使われ方をすることで、罪のない人に苦痛を与えかねません。
この洗車機のハッキングが、Black Hatの発表の中で一番へんなハッキングであることを願いたいものです。