セキュリティリスクの深刻さを理解しない三菱へ願うこと

今回のテストの対象は、三菱のモバイルアプリである。このアプリは、車に備え付けられたアクセスポイントに接続し、充電時間の設定や電灯、エアコン、そして警告システムのオンオフを操作できるものだ。アプリにアクセスするには、車のアクセスポイントのSSIDとパスワードが必要とされるが、ムンロー氏はこれだけで攻撃をしのぐのは不可能だと主張する。

このテストでムンロー氏のチームは、低リソースのクラッキングツールを使い、4日で車のハッキングに成功した。このツールは、すべてのSSIDとパスワードの組み合わせを総当たりで試みるものだ。もし、よりパワフルなツールを使うことができれば、24時間以内にセキュリティを突破することが可能になるだろうと彼は言う。

「もし私が泥棒で、ある車に興味を抱いたとすれば、まずWi-FiデバイスであることからWiggleなどの手段を使って場所を特定する。そして、車を見つけたらWi-Fiのパスワードを解除し、ノートパソコンかモバイルデバイスからアラームを無効化するコードを送りつけ、ドアをこじ開けるか窓を破るかして中に入り、IDBポートにアクセスする。これで車は自分のものになったも同然だ」と彼は語った。

三菱はこの件を問題視していない?

ムンロー氏のチームが最初に三菱と連絡をとった時、彼らはこれを究めて重要なことだと捉えておらず、特に対応も行わないと答えたという。なんと恐ろしい話だ。だが、このハッキングが公になった以上、三菱は来年のアウトランダーの米国展開をうまく運ぶためにも、問題の対応に取り組むことになるだろう。

「過去、Wi-Fiのセキュリティ構成のずさんさが引き起こした有名な問題は他にもあります。たとえば、2015年にUAの機内エンターテイメントシステムが搭乗していたセキュリティ研究者にハッキングされた件、また、2014年にはミシガンのほぼ100基の交通信号が別のセキュリティ研究者にハッキングされ、信号が自由に変えられる状態になったこともあった」と、ウォリックビジネススクールのサイバーセキュリティ教授 マーク・スケルトン氏は言う。

「これらはシステム自体の欠陥によるものではなく、ハッキングによってシステムのセキュリティ設計の粗末さが表面化されたのである。これらすべてのケースではエントリーポイントがきちんと設定されておらず、ハッカーが搭載されている他のシステムにアクセスし、人々の安全を脅かす危険性もあった。車のインターネットとの車内接続性は、車内のエンターテイメントや車自体の動作だけでなく、より多くのことを担うようになってきている。メールやウェブサイトへのアクセスはその1つだが、これがミッションクリティカルなシステム(たとえば建物や手術室、交通機関など)へのアクセスとなると、抱えるリスクやセキュリティの問題は全く異なってくる」と彼は語る。

自動運転車の時代が到来しようとしている中、車のセキュリティはより重要な話題になってきている。ダッシュボードをハッキングされる程度ならまだしも、ハンドルを握られてしまったとしたらどうだろうか?

「コネクテッドデバイス自体はネットワークになるべきではなく、認証やセキュリティが確立されたネットワークに接続されるべきものである。事を簡単にすまそうとして、車自体をWi-Fiアクセスポイントにしてしまうということで販売会社はより複雑な問題に頭を悩ませることになる。現実には、適切な認証を用いないことで大きなセキュリティホールを生む他に、IoTデバイスへのアクセスのために固有のネットワークへの接続をユーザに強いることになり、そのころには他に対する接続性を失うことになるだろう」と、ワイヤレスネットワーキング企業 Xirrusの設立者 ダーク・ゲイツ氏は語る。

幸いにもGoogleやUber、Lyftといった企業は自動運転車に深く関わっており、ゲイツ氏が述べるようなワイヤレス規格が自動車に使われる日がくるだろう。

短期的な解決法として、三菱アウトランダーモバイルアプリ内の『VINレジストレーション』を消すという方法がある。『VINレジストレーション』を消すことで、車のアクセスポイントから全電子端末とのペアリングを解除することができ、車のデータに入りこまれるリスクは格段に減る。世界中で人気を誇る三菱アウトランダーPHEVだからこそ、セキュリティ問題はより深刻なのである。

三菱や、他の自動車メーカーも、コネクテッドカーが提起するセキュリティリスクについて早急に理解を深めることを願う。

（ReadWrite[日本版] 編集部）

ReadWrite［日本版］ 編集部
[原文]