自転車をハッキングする方法

＊シマノはセキュリティを強化するために、2024年8月30日ファームウェアのアップデートを公開しています。この日本語記事ではその点を2024年9月4日に修正いたしました。

サイバー犯罪者たちは時々、私たちが日々の生活で使用する思いもよらないものをハッキングするときがあります。赤ちゃんの寝室を監視するベビーモニター、ロボット掃除機、自動車… これらのものはこれまでに繰り返し犯罪者にハッキングされています。 自動車だけではありません。洗車場までもです。さらには、おもちゃのロボット、ペットの餌入れ、テレビのリモコン…　では金魚鉢はどうでしょう？実は金魚鉢までハッキングされた事例があるのをご存じでしょうか？

最近のデジタル化された自転車はどうでしょう？ つい最近まで、自転車がハッキングされるなどという考えは思い浮かびませんでした。しかし 2024年8月中旬、アメリカの大学の研究者たちは自転車へのサイバー攻撃を成功させたという論文を発表しました。正確に言うと、ワイヤレス変速対応のシマノDi2システムを搭載したロードレース用の自転車です。

電動のギア – シマノDi2など

まず、自転車競技にはあまり親しみがない人のために、自転車技術の最新トレンドを少し説明しましょう。 日本企業のシマノは、世界最大手の自転車部品メーカーです。同社が製造する主要部品は、ドライブトレイン、ブレーキシステムなど、自転車を構成するためにフレームに追加される高性能な部品です。同社は主に、昔からある伝統的な機械式の部品を専門としていますが、2001年以降は電動式の部品も開発し続けています。

昔からある多くの自転車の変速システムは、ディレイラー（自転車の後輪にあるギアのスプロケットをまたぐ自転車用チェーンガイド）とハンドル上のギアシフターを物理的に接続するケーブルで作動します。 しかし、電動システムの場合、ディレイラーとシフターは物理的に繋がっていません。シフターが通常、ディレイラーに無線でコマンドを送り、小型電気モーターの助けを借りてギアを変えます。

電子変速システムには、有線式のものもあります。 この場合、ケーブルの代わりにワイヤーがシフターとディレイラーを結び、そのワイヤーを介してコマンドが送信されます。 しかし、最近のトレンドはワイヤレスシステムで、シフターからディレイラーに無線でコマンドを送信します。

シマノの電子変速システムDi2は現在、同社の製品ラインの中でも最先端技術を使用したコンポーネントで、プロの選手はもちろん、趣味でロードサイクリングを楽しむ一般の人まで幅広く使用しています。このような電子変速システムの技術は、アメリカのSRAM（ワイヤレス変速機を最初に導入）やイタリアのカンパニョーロなど、シマノの主な競合他社も開発、改良を続けています。

言い換えれば、高価格帯の人気メーカーのロードバイク、未舗装路も走れるグラベルバイク、マウンテンバイクの多くは、すでにかなり以前から電子変速システムを採用しており、ワイヤレス化が進んでいます。

シマノDi2は、実はそれほど「ワイヤレス」ではありません。 自転車のフレーム内部には、かなりの数のワイヤーが通っています。例えば、図の AとBは、それぞれバッテリーとフロントディレイラー、リアディレイラーを繋ぐワイヤーを表しています。 出典

メカニック（機械式）からエレクトロニクス（電動式）への移行は、理にかなっているといえます。とりわけ、電動式システムは、より優れたスピード、精度、使いやすさが期待されます。 とはいえ、ワイヤレス化は革新のための革新のように見え、サイクリストにとっての実用的なメリットが何か、あまり明らかではありません。 同時に、システムがより「スマート」になればなるほど、より多くのトラブルが発生する可能性があります。

次に、自転車が実際どのようにハッキングされるのかを説明します。

シマノDi2ワイヤレス変速システムの安全性に関する研究

アメリカのノースイースタン大学（ボストン）とカリフォルニア大学（サンディエゴ）の研究チームが、シマノDi2システムの安全性を分析しました。 彼らが調査したのは、シマノ105 Di2（中級ロードバイク用）とシマノDURA-ACE Di2（プロサイクリスト用の最高級品）です。

通信機能に関して、これら2つのシステムは同一であり、完全に互換性があります。どちらもBluetooth Low Energy (BLE)を使用してシマノのスマートフォンアプリと通信し、ANT+プロトコルを使用してバイクのコンピューターと接続します。しかし、より重要なのは、シフターとディレイラーが2.478GHzの固定周波数でシマノ独自のプロトコルを使って通信することです。

調査した結果、この通信機能は実はかなり古典的なものだということがわかりました。シフターがディレイラーにギアを上げるか下げるかコマンドを送信し、ディレイラーがそのコマンドを受け取ったことを確認します。もし、受信したことを確認できなければ、もう一度コマンドが送信されます。 すべてのコマンドは暗号化されており、暗号化キーはシフターとディレイラーのペアごとに一意であるようです。しかしここに問題点があります。送信されるパケットには、タイムスタンプもワンタイムコードもなく、コマンドはシフターとディレイラーのペアごとに常に同じであるため、リプレイ攻撃に対して脆弱であると言えます。 つまり、攻撃者は送信されたメッセージを解読する必要すらなく、暗号化されたコマンドを傍受し、それを使って被害者のバイクの変速を行うことが可能になることを示しています。

コマンドを傍受し再生するために、研究者たちは市販のソフトウェア無線を使用しました。 出典

ソフトウエア無線（SDR）を使うことで、研究者たちはコマンドを傍受し、再生することができ、その結果、電子変速システムの制御を乗っ取ることに成功しました。さらに驚くことに、機器を改造したり、アンプや指向性アンテナを使用しなくても、有効な攻撃範囲は10メートルであることも明らかになりました。これは現実の世界では十分すぎるほどです。

シマノDi2攻撃はなぜ危険か

研究者たちが指摘するように、プロサイクリングは大金が動く競争の激しいスポーツです。 不正行為、特に禁止薬物の使用は、過去何度もニュースになりました。また、サイクリストが使う用具や部品の脆弱性を利用することで、勝利のために競争相手を貶めることも可能です。したがって、プロの自転車競技の世界におけるサイバー攻撃は、現実のものとなる可能性があります。

このような攻撃に使用される機器はより小型化され、他のサイクリストが直接不正行為を行ったり、サポート車両に隠したり、レーストラックやレースコースのどこかに設置することも可能です。さらに、悪意のあるコマンドをサポートグループから遠隔操作で送信することもできます。

例えば、急な上り坂やスプリント中にシフトアップを命じれば、相手のパフォーマンスに深刻な影響を与えます。 また、突然ギアチェンジを行うフロントディレイラーへの攻撃は、バイクを停止させる可能性もあります。 最悪の場合、予期せぬ急激なギアチェンジによってチェーンが破損したり、チェーンが飛んでサイクリストが大けがをする可能性もあります。

シマノDi2の脆弱性が悪用されると、攻撃者が自転車のギアチェンジを遠隔操作したり、DoS攻撃を行ったりすることが可能になります。 出典

悪意のあるギアチェンジの他に、研究者たちは、彼らが「標的型妨害」と呼ぶ、シフターとディレイラー間の通信妨害の可能性も調査しました。 これは、被害者のバイクに特定の周波数で連続的に繰り返しコマンドを送信するというものです。 例えば、シフトアップコマンドが何度も繰り返されると、ギアシフターはトップギアに入り、そこに留まり、サイクリスト自身がシフターで変速しようとしても反応しなくなります。これは本質的に、変速システムに対するDoS攻撃です。

結果

研究者らがシマノを調査対象に選んだのは、同社が最大の市場シェアを誇っているからにほかなりません。 彼らはシマノの競争相手であるSRAMとカンパニョーロのワイヤレスシステムは調査していませんが、これらもこのような攻撃に対して脆弱である可能性があることは認めています。

研究者らはこの脆弱性についてシマノに報告しました。同社はこの脆弱性を深刻に受け止め、すでに対応し、アップデートを送信しています。バイクはE-TUBE PROJECT Cyclistアプリ経由でアップデートすることができます。詳しくは、シマノのWebサイトをご覧ください。

プロでないサイクリストにとって朗報なのは、悪用されるリスクはごくわずかだということです。 しかし、もしあなたの自転車にシマノDi2が装着されているのであれば、万が一に備えて、アップデートが提供された際には必ずインストールしておくことを推奨します。