世界のセキュリティ・ベンダーのブログから、興味深い記事を紹介する。今回はInternet of Things(IoT)関連の話題を3本紹介する。このところ、IoTのセキュリティが取り上げられるケースが目立ってきている。
最初に紹介するのは、電気自動車のハッキング実験に関する話題。中国の研究チームが、米テスラモーターズの「Model S」のハッキング実験に成功した。スロバキアのイーセットがブログで紹介している。遠隔操作でドアやサンルーフの開閉、ヘッドライトの点灯、クラクションの鳴動を実行したという。
ブログによると、このハッキングは、セキュリティカンファレンス「SyScan」で行われたコンテストの一環。同研究チームは、ドアロックやワイパー、ライトなどのシステム制御を乗っ取り、賞金の1万ドルを獲得した。同チームは攻撃方法の詳細を明らかにしていない。
テスラはコンテストの公式スポンサーではないが、責任あるセキュリティ研究者の力を借りて潜在的脆弱性を特定するという主旨に賛同し、「今後、問題の脆弱性を調査する」としている。これまでも複数のセキュリティ研究者がさまざまなネット接続可能な車両へのハッキングを実証してきたが、動いている車両に対する無線経由の攻撃はほとんどなかった。
Model Sは、コンピュータコンポーネントが組み込まれ、ダッシュボードにインターネット通信対応のタッチパネルを装備する。ドアを開けるなど複数の機能は、タッチパネル上でアプリケーションを操作して実行できる。スポーツカータイプのフラッグシップモデルというだけでなく、セキュリティの点でも注目を集めている。
コンテストの課題は、Model Sの中枢である17インチのタッチパネルを乗っ取ること。ハッキングは遠隔操作で行わなければならない。車両は運転者のモバイル端末を介してインターネットに接続されている。
Model Sはこれまでにも、連携するモバイルアプリケーションから攻撃者がロックを解除できてしまう脆弱性が見つかっている。車の所有者は「iPhone」向けアプリケーションで6ケタのPINコードを使ってドアロックを解除するが、研究者によれば、PINコードはブルートフォース攻撃で入手できるという。
車がますます無線技術や電子制御を備えるにつれ、乗っ取られるリスクは高まる。Edward Markey上院議員(マサチューセッツ州選出、民主党)は、情報の窃盗やマルウエアのインストールといった危険性に直面するおそれがあるとして、大手自動車メーカー20社に強い懸念を示す書簡を昨年送ったという。
Markey議員の書簡では、現在の平均的な車が最大50の電子制御装置を組み込み、一般的なファミリーカーには1億行のコンピュータコードが含まれ、車両コストの最大40%をソフトウエアが占めることなどを指摘している。
