Sponsored Contents

carの最新記事

Image credit:
Save

SMSで自動車を遠隔操作する脆弱性発覚。自己診断用OBD-IIポートのドングル経由

Munenori Taniguchi, @mu_taniguchi
2015年8月13日, 午後01:02 in Car
111シェア
0
111
0
0

連載

注目記事

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

Ittousai, 8月13日
View
 ソニー「WF-1000XM3」が売り切れまくる理由に納得。ノイキャン性能爆上げイヤホンでした

ソニー「WF-1000XM3」が売り切れまくる理由に納得。ノイキャン性能爆上げイヤホンでした

View
 
カリフォルニア大学サンディエゴ校のセキュリティ研究者が、SMS メッセージで自動車をコントロールするカーハッキング事例を公開しました。

これは車そのものではなく、すべての車に搭載される自己診断機能用インターフェースに接続するデバイスの脆弱性を突いたもの。研究者らは8月12~14日にワシントンDC で開催されるセキュリティカンファレンス USENIX で発表する予定です。

続きの掲載した動画では、スマートフォンから赤いコルベットのワイパーを動かしたり、ブレーキを操作するデモが見られます。




動画ではスマートフォンと車がテキストメッセージで会話をしているように見えます。しかし実際は車のダッシュボード裏などにある OBD-II ポートに接続したドングルとスマートフォンが通信しています。

OBD-II ポートは、もともとは車載コンピューター(ECU)の自己故障診断機能のために搭載されるインターフェース。米国では1996年以降に販売されたすべての車に搭載が義務付けられています。日本でも2000年代前半から搭載車が現れ、2010年以降は新規販売車両すべてに搭載が義務付けられています。また欧州や中国、韓国でも新車すべてに OBD-II ポートの搭載が必須となっています。

カリフォルニア大学の研究者によるデモは自動車保険会社 Metromile が提供する OBD-II ドングルを使っています。Metromile は自動車の走行特性から保険料割引率を決定するテレマティクス保険を提供しており、事故のリスク計算のために、契約車両の OBD-II ポートから得られる速度、水温、アクセル開度、エンジン回転数といった情報にくわえ、ドングルに内蔵する GPS や加速度センサー、ジャイロセンサーの情報を利用しています。ドングルにはデータを送信するため携帯電話回線による通信機能も備えます。
研究者らは、このドングルの管理機能に注目しました。Mobile Devices の C4 OBD2 をベースとするこのドングルは管理者から SMS メッセージで操作コマンドを受け付ける仕様となっていました。このため、スマートフォンからテキストメッセージによるコマンドをこのドングルに送れば、たとえばワイパーを動かすといったコマンドに対応する動作をさせられるわけです。研究者らによると、ワイパーのオン/オフ、ブレーキのオン/オフ、ドアロック、ハンドルやトランスミッションの操作までもが可能だったとのこと。

この問題は6月に Metromile に報告されました。そして Mobile Devices が修正プログラムを作成し、Metromile の手によって OTA アップデートも実施されました。Mobile Devices は、現在このドングルでは SMS メッセージによる操作の危険性は取り除かれていると主張しています。

今回のデモは Mobile Devices の C4 OBD2 ドングルの脆弱性、というよりは設計思想の問題を突いたといえるものです。Mobile Devicesの主張どおりなら C4 OBD2 の問題は解決しているものの、市場には Bluetooth や WiFi といった通信機能を備えるなど、さまざまな OBD-II ドングルが出回っています。それらのなかに今回と同様の脆弱性を持つものがないとは言い切れません。

今年は 2月の BMW の事例 から7月のクライスラーの遠隔操作問題、つい先日のテスラの操作事例と、カーハッキングが流行とも言える状況になりつつあります。これまでは外国の高級車が対象でしたが、全車が搭載する OBD-II ポートを使った事例は、我々にとってもかなり身近な問題といえそうです。

ちなみに、日本でも損保ジャパンの「ドラログ」をはじめ、自動車保険各社がテレマティクス保険の提供を始めています。また運送業など業務用としてはドングルから取得した全データを専用のウェブサイトにアップロードし、車ごとの走行状況を分析できる GEOTAB といったサービスも存在します。




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

111シェア
0
111
0
0

Sponsored Contents