ハッキングされるスマートカーのアラームシステム

2019年3月27日

Pen Test Partnersの情報セキュリティ専門家チームが、自動車の盗難防止アラームを使った自動車のハッキングに成功しました(英語記事)。ハッキング対象となったPandoraとViper SmartStartは広く使用されている自動車セキュリティシステムであり、調査チームの推定では、このシステムが取り付けられている自動車の数は約300万台に上ります。


確かに便利。でも安全?

盗難防止用のスマートシステムは、単なるアラームではありません。自動車が盗まれた後でも役に立ちます。たとえば、盗まれた自動車を追跡し、エンジンを停止し、ドアをロックして警察の到着を待つことができます。これがすべて、スマートフォンのアプリひとつでできるのです。確かに便利ですが、セキュリティ面はどうでしょうか?メーカーの主張によれば、このようなシステムは自動車のセキュリティを何倍にも強化するように設計されています。

しかし、今や盗まれる可能性があるのは自動車だけではないのです。

Pen Test Partnersの調査では、アプリのアカウントの乗っ取りを許す脆弱性が判明しました。サイバー犯罪者は、あなたのアカウントを乗っ取り、あなたの名前でアプリにログインすることで、大量のデータと、スマートアラームの全機能にアクセスできるようになります。パスワードを変更してしまえば、正規のアカウント所有者であるあなたをシステムから閉め出すことが可能です。こうなると、サイバー犯罪者は以下のようなことが可能となります。

  • 自動車の位置情報をすべて追跡する。
  • アラームシステムのオン、オフを切り替える。
  • 自動車のドアをロック、またはロック解除する。
  • イモビライザー(エンジンの始動を阻止して自動車を盗難から守る機能)を有効または無効にする。
  • エンジンを停止する。場合によっては、走行中の停止も可能。

Pandoraアラームの場合、緊急時の通話のために盗難防止用システムに付属しているマイクを通じて、車内での会話を傍受することも可能です。アカウントにアクセスできなくなっている以上、あなたはこうした行為を阻止できません。

秒でハッキング可能

調査チームは、スマートアラームの利用者アカウントが乗っ取り可能なことだけでなく、乗っ取りがそれほど難しくないことも発見しました。ViperまたはPandoraのアカウントを窃取するのに、アラーム自体を購入する必要はありません(価格は5,000ドルとかなりの高額です)。この調査の時点では、Webサイトまたはアプリ内でアカウントを登録すればシステムにアクセス可能となり、このアカウントを使って他のアカウントにもアクセス可能でした。

両システムの問題は、アプリとサーバーとの通信方法に関連した問題である点で似ていますが、攻撃のメカニズムは多少異なります。Viperの場合、データが保存されているサーバーに特別なリクエストを送信することで、ユーザー認証情報を変更できます。

Pandoraシステムの場合、誰にでもパスワードのリセットを許可するわけではないという点で多少優れています。しかし、利用者のプロファイルと関連付けられているメールアドレスを無許可で変更可能であり、変更後のメールアドレスを使用して(システムの立場から見ると)正当にパスワードのリセットを要求できます。

対策は?

まずは落ち着きましょう。当然ながら調査チームは、この問題をメーカーに伝えました。メーカーはすばやく対応し、わずか数日のうちにすべての問題を解決しました。

しかし、調査が実施されるまでの間、スマートなカーアラーム付きの自動車のセキュリティが、付いていない自動車よりも低かったのは事実です。また、サイバーセキュリティ専門家からの勧告に対し、すべてのIoT開発元が同じように迅速かつ効率よく対応してくれるとは限りません。したがって、スマート機能を持つ製品には十分注意しましょう。特に、セキュリティシステムが有効になっているときには。