『ゾルタン★星人』という映画をご存知ですか?パーティではしゃぎ過ぎ、車をどこに停めたのか思い出せなくなった2人の男性が繰り広げるコメディです。この映画ほどではないとしても、コンサート会場やショッピングモールで、車をどこに停めたか忘れてしまったことはありませんか?
この映画から早17年。いろいろなものに対応アプリが開発される時代になりました。アプリがあれば便利なのに、と誰かが思えば、そのうち誰かがアプリを開発し、そのうち大勢の人がそのアプリを使うようになるような世の中です。車も例外ではありません。
コネクテッドカーのコンセプトはこの数年で進化を続け、今や現実のものとなりました。サンフランシスコで開催された今年のRSA Conferenceでは、当社のアンチマルウェアリサーチャー、ヴィクトル・チェビシェフ(Victor Chebyshev)とミハイル・クージン(Mikhail Kuzin)が、自動車向けの人気アプリ7つを対象にした調査結果を発表しました。
これらはAndroidデバイスと自動車を連携させるアプリです。便利そうな感じがしますが、職業柄、考えずにはおれません。「その便利さはセキュリティと引き換えなのでは?」この問いに対する答えは、こうです。「多くのIoTデバイスと同じように、開発者やメーカーはセキュリティの優先順位をもっと引き上げなければならない」
これらアプリの主な機能はドアの解錠で、車の発進機能も多くのアプリが備えています。しかし、以下のような弱点も抱えていて、悪用される懸念があります。
- アプリのリバースエンジニアリングを阻止する機能がない:このため、よからぬことを企む者がアプリの構造を調べ上げて脆弱性を発見し、サーバー側のインフラや車のマルチメディアシステムにアクセスしてしまうかもしれません。
- コードの完全性がチェックされない:そのため、誰かがアプリに独自のコードを組み込んで悪意ある機能を追加し、元々のプログラムを偽のプログラムに置き換えることができてしまいます。
- Root化を検知する技術がない:システムで何でもできる最高位の権限がRoot権限で、この権限を手に入れることをRoot化と言います。Root権限を得たトロイの木馬(マルウェア)は、ほぼ無制限に何でもできるようになってしまいます。
- オーバーレイ表示を防げない:悪意あるアプリが元のアプリの画面の上に偽物の画面を重ねて表示できるということです。つまり、アプリの利用者は正しいアプリ画面にログイン認証情報を入力したつもりでも、実際には偽画面に入力してしまい、その情報が犯罪者の元へ送られてしまう可能性があります。
- ログインIDとパスワードが平文で保存される:暗号化されていない状態で保存されているということです。このデータが盗まれたとき、IDとパスワードが簡単にわかってしまいます。
こうした弱点の悪用に成功すれば、車をコントロールできるようになり、ドアを解錠したり警報器の電源を切ったりするのはもちろん、理論上、車を盗むことも可能になります。
当社のリサーチャーは、開発元へ調査結果を開示するとともに、実際に悪用された例は確認されていないことを伝えました(アプリ名は公表していません)。各アプリを評価した調査レポートの詳細は、Securelist(英語記事)でご覧いただけます。
「自分はハッキングされないから」「これはSFレベルの話だし」と目を背けるのは楽ですが、自動車が発明以来ずっと犯罪者の標的であり続けてきたのは事実です。自動車アプリに限らず、物事を楽にする手段があれば、それによってどんなことが起こり得るか考えてみてください。
もう1つ忘れてはならないのは、これまでにもさまざまな脆弱性が確認されていて、聡明なホワイトハッカーが「さほど悪性ではない脆弱性」から「車のコントロール」に至った事例があるということです。代表的なのは、チャーリー・ミラー(Charlie Miller)氏とクリス・ヴァラセク(Chris Valasek)氏が脆弱性を突いてジープのコントロールを握った実験でしょう(2015年の実験、2016年の実験)。
ジープをリモートからコントロール下に置くことに成功したというショッキングな実験、その詳細が #BlackHat で明らかにされました。https://t.co/zSDqwmCLBu pic.twitter.com/sYjMmRGpKW
— カスペルスキー 公式 (@kaspersky_japan) August 18, 2015
個人の安全か、アプリの利用か。この問題は、結局のところ個人の選択にかかっています。自分のデータを誰と共有するか、便利さを誰に委ねるかは、私たち次第なのです。それにしても、IoTのデバイスやアプリについては、セキュリティより便利さが重視されすぎているようです。
チェビシェフは次のように締めくくっています。
「コネクテッドカー向けのアプリは、マルウェア攻撃に対する備えができていません。自動車メーカーは、銀行が金融系アプリに関して選んだ道と同じ道を辿らざるを得なくなるでしょう。バンキングアプリに対する攻撃が相次いで発生した後に、多くの銀行が自社製品のセキュリティを強化しました」
「幸い、自動車アプリに対する攻撃例は今のところ確認されていません。すなわち、自動車ベンダーには適切な対策を実施する時間が残されているということです。具体的にどれだけの時間なのかはわかりません。現代のトロイの木馬は、非常に柔軟性に富んでいます。ある時点では普通のアドウェアのようにふるまっていても、しばらくすると新しい設定をダウンロードし、新たなアプリを攻撃できるようになることもあります。この分野の攻撃対象領域は非常に広いのです」