ハッカー対スマートカー：失敗したモデルを数える

私たちにとって、車はもはや単なる交通手段ではありません。モバイル テクノロジーの発展により、モノのインターネットと同様に、自動車にも独自の車両のインターネット プラットフォームとテクノロジーが備わりました。車両ネットワーク技術を活用することで、ナビゲーション、道路状況情報の取得、遠隔操作、自動運転、さらには無人運転など、より多くの技術機能を実現できます。

しかし、モノのインターネットと同様に、車両のインターネットもシステムの脆弱性やハッカーの侵入という問題に直面しています。モノのインターネット プラットフォームがハッキングされた場合とは異なり、車両のインターネットが「不純な意図」を持つ人々によって侵入された場合、私たちが被る損失は個人情報や財産といった単純なものではありません。ハッカーは自動車のシステムを制御し、さらにはハンドルやブレーキシステムを乗っ取って、私たちの命を危険にさらす可能性があります。

私たちがこう言うのは誇張ではありません。信じられないなら、新聞に掲載された実際の例を見てみましょう。これらをご覧になれば、皆さんも思わず車のインターネットのセキュリティにもっと注意を払うようになると思います。

ジープがハッカーによる最も大きな被害を受ける

ハッカーのお気に入りの「車の肉」といえば、クライスラー傘下のジープ・ブランドでしょう。セキュリティ研究者の2人、チャーリー・ミラー氏とクリス・ヴァラセク氏は、ジープに対して非常に「興味」を持っているようだった。 2015年、2人のハッカーがアンディ・グリーンバーグ氏が所有するジープ・チェロキーを乗っ取った。

所有者の説明によると、ネットワーク機能をオンにした後、車のエアコンから突然強い冷気が吹き出し、その後オーディオシステムが最大音量で音楽を再生し始めたとのことです。すると温度調整と音量調整の機能がすべて機能しなくなりました。その後、2人のハッカーは車の中央制御ディスプレイに自分たちの写真を表示し、するとフロントガラス洗浄液が噴射され、ワイパーが最大速度で動き始めた。

それから、さらに胸がドキドキするような出来事がありました。 2人のハッカーは実際に車を止め、グリーンバーグ氏が車を運転し続けると、ハッカーはブレーキを無効にし、その後車の制御を完全に乗っ取り、最終的に車を道路脇の斜面で停止させました。幸いなことに、2人のハッカーは車の所有者の命を危険にさらすつもりはなく、新しい技術を搭載した車の安全性を評価していただけだった。この攻撃により、フィアット・クライスラーは米国で140万台の車両をリコールし、昨年のブラックハットカンファレンスの主要な話題の一つとなった。

物議を醸した2015年のテストから間もなく、チャーリー・ミラーとクリス・ヴァラセックは再びジープ・チェロキーに狙いを定め、今度は車のブレーキシステムを完全に制御しました。

2人のハッカーはCANバスを通じてジープのシステムにアクセスし、ジープのブレーキシステムを完全に麻痺させて制御を獲得した。無線接続を備えた隠しデバイスを使用して攻撃するなど、より多くの遠隔制御方法が使用される可能性があると彼らは述べた。ハッカーは攻撃プロセス中に攻撃プログラムを再設計して、新たな標的型攻撃を仕掛けることができます。 、簡単に制御できます。研究者らが開発したUconnectダッシュボード情報システムは、このように簡単にハッキングされました。ブレーキやワイパーのスイッチだけでなく、車のエンジンも制御されました。しかし、ハッカーはまず車との物理的な接続を確立する必要があり、すぐにリモート制御を実現することはできません。

ゼネラルモーターズのオンスターがハッキングされた

また2015年には、別の「ホワイトハットハッカー」であるスメイ・カムカー氏がGMの「OnStar」システムを選択し、同製品のセキュリティ上の脆弱性を悪用して、離れた場所から車のロックを解除し、エンジンを始動できると主張した。

スメイ・カムカー氏は、OnStar Remote Link モバイル アプリと OnStar サービス間の通信を傍受することで、車を「見つけ、ロックを解除し、遠隔で始動する」方法を発見した。

その後、GMの最高サイバーセキュリティ責任者ジェフ・マシミラ氏は、同社はセキュリティ研究者を非常に重視しており、新たな情報開示プログラムを立ち上げたと述べた。このプロジェクトでは、セキュリティ脆弱性報奨金プラットフォームHackerOneと協力し、ホワイトハットハッカーを通じて潜在的なセキュリティ問題について学びます。さらに重要なのは、このプロジェクトの開始により、セキュリティ研究者が起訴を心配することなく GM の車をクラックできるようになることです。

GMによれば、法律に違反したり、同社や顧客に損害を与えたりしない限り、善意のある人なら誰でも、法的措置を受けることなく同社の車をハッキングすることができるという。セキュリティホールが発見されると、ハッカーたちはGMが問題を修正した後にのみ発見内容を公表することができた。

メルセデス・ベンツとBMWも例外ではなかった。

サミー・カムカーがGMオンスターを制覇した後、メルセデス・ベンツやBMWなどの高級車ブランドも例外ではなかった。

カムカー氏は、BMWのRemote、メルセデス・ベンツのmbrace、クライスラーのUconnectなどのアプリはすべてSSL証明書の検証に脆弱性があると述べた。証明書があれば、アプリを模倣してリモート サーバーと通信し、元のアプリが提供する対応する機能を実装できます。さらに、これらの証明書は一度だけ有効であるだけでなく、その有効期間は車の所有者の有効期間と同じです。つまり、この証明書を取得することは、車の所有者の管理者権限を取得することと同じです。

車の所有者がハッキングされると、ハッカーは自宅住所、メールアドレス、クレジットカード情報などを入手します。同時に、一部の車種は遠隔操作で車の始動やロック解除も行えます。

テスラがハッキングされる

2015 DEF CON 23 デジタル セキュリティ カンファレンスで、セキュリティ専門家の Kevin Mahaffey 氏と Marc Rogers 氏が、Model S の脆弱性を悪用してドアを開け、車を始動し、正常に走行させる方法を実演しました。また、モデルSに「自殺」コマンドを送信し、車両が通常運転中にシステムエンジンを突然停止させて車両を停止させることも可能だった。

セキュリティ専門家は、モデルSの本体からゴムやその他の装備を取り外した後、合計2枚の取り外し可能なSDカード、USBポート、診断ポートのセット、そして謎の専用ケーブルを発見した。この謎のポートを使い、マハフィー氏とロジャース氏は、イーサネット ケーブルとスコッチ テープを使って、ついに車両のオンボード ネットワークにアクセスすることができました。車両をネットワークスイッチに接続した後、モデルSのネットワーク接続にさらに接続し、VPNを利用してテスラのサーバーに接続し、ファームウェアをダウンロードして逆コンパイルすることができました。

ファームウェアがクラックされると、セキュリティ担当者がテスラを操作する権限がさらに増えることになります。これら 2 つの脆弱性、つまりワイヤレス接続、SD カード上のデジタル自動車キー データの検出、および Tesla サーバーへの物理的な VPN 接続を組み合わせることで、セキュリティ担当者は QtCarVehicle と呼ばれる自動車サービスにほぼ完全にアクセスでき、自動車のすべての機能を制御できるようになります。

トヨタとフォードも「非常に悲惨」

チャーリー・ミラーとクリス・ヴァラセクは2人のホワイトハットハッカーです。 2013年のDefConハッカー会議で、彼らはコンピューターを使ってトヨタ・プリウスとフォード・エスケープのモデルの電子制御システムに侵入し、ステアリング、ブレーキ、加速、計器表示などの車両の制御を乗っ取る方法を実演した。

ハッキングされる車種がますます増える中、FBIと米国道路交通安全局は今年初め、インターネット接続機能を備えた一部の車両がネットワーク「ハッカー」攻撃を受ける可能性があることを自動車メーカーと自動車所有者に公式に注意喚起する発表を行った。

この注意喚起は「公共広告」の形で発行されました。 2つの政府機関は、自動車における「コネクテッド・ビークル」技術の利用増加が情報セキュリティに対する潜在的な脅威をもたらすと警告した。たとえハッカーが車両の制御を「乗っ取った」としても、その結果生じる事故が個人の安全に危険を及ぼすことはない可能性があり、車の所有者はリスクを最小限に抑える対策を講じる必要があります。

実際、今日の自動車メーカーは外観やファッションに重点を置きすぎて、自動車の安全性の問題を無視しているのかもしれません。特に、自動車のように身体に傷害を負ったり、大きな事故を引き起こしたりする可能性のある製品の場合、安全性の問題をより真剣に受け止める必要があります。

さらに、一部の自動車メーカーは、最新の技術を利用するために、ユーザーデータを「裸の」状態に置くことをいとわないところもあります。今日の自動車会社はインテリジェント自動車システムを精力的に開発しており、自動車システムの安全性には間違いなくさらに注意を払う必要があります。結局のところ、車は携帯電話やコンピューターとは異なります。一度侵略されれば、人々の生活はさらに脅かされるでしょう。したがって、業界全体がインテリジェント車両システムと自動運転車両のセキュリティにさらに注意を払い、より厳格な暗号化メカニズムを提供する必要があります。

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。