エフセキュアブログ

自動車 を含む記事

『WIRED』による自動車乗っ取り実験で浮かび上がる、3つの大きな疑問



US版『WIRED』(Wired.com)が7月21日に発表した記事は衝撃的でしたが、実際に起きても不思議はないことでした。ジープで高速道路を走行中の『WIRED』記者アンディ・グリーンバーグ氏に、奇妙な事が起こり始めたのです。車のエアコンやカーラジオが勝手に作動し出したことに始まり、ついにはエンジンが停止してしまいました。もはや車を運転しているのはグリーンバーグ氏ではなく、2人のハッカー役を務める研究者、チャーリー・ミラー氏とクリス・バラセク氏によって何マイルも離れた場所から遠隔操作されていたのです。2人はグリーンバーグ氏の車に何も手を加えていないどころか、触れたことすらありませんでした。これらはすべて、遠隔操作で車に接続し、車に搭載されたソフトウェアの脆弱性を利用することによって行われたのです。ブレーキとハンドルの遠隔操作については、高速道路で行うのは危険だったため、駐車場に場所を移して引き続き実験が行われました。そうです、「ブレーキとハンドル」の遠隔操作も行われたのです。

ゾッとするのも当然です。この実験は、「モノのインターネット(IoT)」の最近の動向におけるセキュリティ問題を端的に表しています。理論上、インターネットに接続したすべてのものがハッカー攻撃を受け、遠隔操作される可能性があります。「モノのインターネット」というと、通常はトースターや冷蔵庫などの「スマート」な家電製品が思い浮かびますが、インターネットに接続した自動車も、これらの家電と同様に「モノのインターネット」なのです。そしてハッカーに乗っ取られた車のほうが、ハッカーの被害に遭った冷蔵庫よりもずっと恐ろしいものです。今回の自動車乗っ取り実験で浮かび上がった3つの根本的な疑問について、ここで考えてみましょう。

なぜこのようなことが起こり得るのか

今回の実験結果は、自動車メーカーにとっては想定外の出来事でした。自動車メーカーは何十年もの間、安全性といえば変形域やエアバッグなどを念頭に置いていましたが、今やデジタル面のセキュリティも認識していかなければなりません。この分野について自動車メーカーがすでにある程度考慮していることは確かですが、『WIRED』によるジープの実験から明らかなように、彼らは多くのことを学んでいかなければなりません。そもそも私は、今回のような事態を防ぐことだけを考えているわけではありません。完璧なシステムというものは存在しませんし、自動車メーカーは発見された脆弱性に対処することもできるはずです。しかし今回、修正パッチは作成されたものの、パッチ適用のためには車を販売店に持ち込まなければならなかったのです。これは、Windows 更新プログラムの適用のためにわざわざコンピュータを販売店に持っていくようなものです。このことからも、デジタル面のセキュリティ対策が単なるデザインや品質管理の域を超えていることは明らかで、インシデント対応やメンテナンスにおけるプロセスについても対策を講じていくことが重要なのです。自動車メーカーの皆さん、デジタルセキュリティの世界へようこそ。皆さんに学んでいただきたいことは山ほどあります。
 

車の遠隔操作が実行可能なのはわかったけれど、その目的は何なのか

現時点では、車の遠隔操作が可能であることに人々が驚いているレベルですが、今後はそれをどのように利用できるか考える人が出てくるでしょう。ハッカーに車を乗っ取られ、命を落とす可能性についてはマスコミでも盛んに取り上げられています。技術的には可能かもしれませんが、これまでのところ実際にこのようなケースは起きていません。かつてハッカーやウィルス作成者は、好奇心からハッキングを仕掛けたり、能力誇示を目的に悪ふざけをしたりしたものでした。しかし、それも80年代から90年代までの話で、現在のサイバー犯罪者やスパイにとっての動機は、金銭略取と情報収集です。 車を崖から突き落として人を殺すことは、どちらの目的の裏付けにもなりませんが、好奇心をそそるニュースになることは確かです。また車をロックして車中に人を閉じ込め、ロック解除の見返りに身代金を要求するというのも、もっともらしいシナリオです。ハンズフリーマイクをこっそりオンにして、会話を盗聴することもあり得るかもしれません。あるいはドアロックを解除して車を盗むケースも想定できます。いずれにせよ大事なことは、車を狙ったハッカーが何をするかに関するショッキングな見出しの大半は、誇張したものだということです。将来もしこの脅威が現実となったとしても、様相は大きく異なっていることでしょう。それでも、この問題が現実となる前に自動車メーカーが連携して対策を講じることが望ましいことに変わりはありません。

 

一般消費者にとって懸念すべき問題か

あなたの仕事が自動車向けソフトウェアの設計でないならば、この問題を心配する必要はありません。現在マスコミで取り上げられているニュースは自動車業界にとっては重大な警鐘ですが、一般消費者に対する影響はごくわずかです。今回のジープの事例のような初期段階でのインシデントは、顧客に販売店まで車を持ってきてもらい、ソフトウェアをアップデートすれば対応が可能です。しかし長期的に考えると、このようなやり方が持続可能でないことは明らかです。家電製品と同じように自動車の更新プロセスも完全に自動化されるべきです。自動車の更新プロセスは、1年に1度、車両の定期点検の際に最新のソフトウェアを適用するよりももっと速やかに行われる必要があるのですから。インターネットに接続しているすべての自動車において、更新プロセスを自動化するべきなのです。

「でも、車がハッカーに乗っ取られて、崖から突き落とされる問題はどうなのか。それが起きても不思議はないと言うけれど、私は死にたくなんかない」と考える人もいるでしょう。最初にお伝えしたいことは、あなたを殺そうという動機を持つ人間がそもそもいるだろうかということです。幸い、私たちの大半にはそのような敵はいません。もっと重要なことは、それが実行可能かどうかということです。自動車メーカーはハッキングやITセキュリティに関しては経験が浅いかもしれませんが、どんな技術システムでも問題が生じる可能性があることは理解しています。自動車にハードウェアレベルの制御システムが搭載されているのはこのためです。『WIRED』のジープの実験では車を遠隔操作することに成功しましたが、低速時に限ってのことでした。このことは、電子制御のハンドル操作が必要となるのは駐車支援の際であり、高速走行時ではないことを考えると当然のことです。車が一定の速度を超えるとハンドル操作の電子制御機能が作動しないようにすることは安全面からも理にかなっています。その一方で、低速にもかかわらず死亡事故につながるシナリオをいくつか想定することができます。またハッカーが車の速度計をごまかして、実際とは異なる速度を表示させることもあり得るでしょう。ハンドル操作の電子制御機能をオフにするシステムに、ハッカーが偽りの速度数値を入力したらどうなるでしょうか。確かに、ハッカーに乗っ取られた車で命を落とす可能性が絶対ないということはありません。それでも、だれかがあなたの命を狙っている場合は、殺し屋を雇う従来のやり方のほうがまだましな選択だと言えるでしょう。

完全な自動運転車が従来の自動車に取って代わった場合、ソフトウェアとハードウェア(車両)間をまたぐ制御システムは設置されないことも予想されます。このような自動運転車が幅広く利用されるのは当面先のことで、自動運転車のハッキングはさらに先のことになるでしょう。しかし私たちがその方向に向かって進んでいることは明らかであり、過ちをいくつか重ねることで問題が現実となる可能性があるのです。一方で、現在の報道が、デジタル面のセキュリティに対する自動車メーカーの認識を向上させるうえで役立っていることは喜ばしいことと言えるでしょう。

現実的には、ハッカーに車を乗っ取られて殺されるよりも、落下した隕石に当たって命を落とす確率の方がずっと高いのです。ましてや通常の交通事故については言うまでもありません。

 

どうぞ安全運転を、
ミッケ

>>原文へのリンク

スーパーハッカーの祭典、Black Hat USAにおいてエフセキュアの専門家が注目しているテーマ

Black Hatカンファレンスは、「ベンダーの宣伝文句を聞かされることなく、ネットワークセキュリティの最前線にいる人々と直接顔を合わせる」ことのできる機会です。言い換えれば、マーケティング活動を排した最新の業界情報だけが集まる場なのです。
 
ラスベガスで8月2日(土)から始まるBlack Hat USAには、エフセキュアから2人が参加します。
 
エフセキュアのミッコ・ヒッポネンは、NSAのときとは違い、今年のBlack Hatで講演します。ミッコの講演「Governments as Malware Authors: The Next Generation」(マルウェア作成者としての政府:ネクストジェネレーション)は、世界各国の諜報機関にとって興味深い内容となるでしょう。
 
講演の概要には、次のように記載されています。「抗議の意味を込めてRSAでの講演をキャンセルした後、ヒッポネン氏は代わりにTrustyConにてGovernments as Malware Authors(マルウェア作成者としての政府)について講演を行いました。それに続く今回の講演では、その後の変化と、マルウェアを作成する政府に関する新たな情報に注目します。」
 
ティモ・ヒルヴォネンは、今回初めてBlack Hatで講演を行います。講演のタイトルは、「Dynamic Flash Instrumentation for Fun and Profit(楽しさと利益のための動的なFlashの編成法)」です。

ティモは、長年にわたってディープガードテクノロジの開発に取り組んできました。彼は、JavaファイルやPDFといった最も感染の危険性が高い種類のファイルを分析する専門家です。今回の講演では、「悪意のあるFlashファイルの動的分析を可能にする初めてのツール」を紹介し、デモンストレーションを行う予定です。
 
また、出席するかどうかにかかわらず、エフセキュアの専門家たちは各講演からピックアップした情報の評価を行っています。
 
セキュリティ・レスポンス担当ディレクターのアンティ・ティッカネンは、もし今回ラスベガスで開催されるカンファレンスに参加するとしたら出席するであろう講演のリストを提供してくれました。
 
- A SURVEY OF REMOTE AUTOMOTIVE ATTACK SURFACES(自動車への遠隔攻撃対象領域に関する調査):先日テスラ車でニュースにもなった自動車ハッキングについての講演です。
 – COMPUTRACE BACKDOOR REVISITED(Computraceバックドア:改訂版):「我々は、個人用または企業用コンピュータ上のAbsolute Computrace盗難対策ソフトウェアが不正に有効化されていることの証拠を複数発見しました。さらに、このソフトウェアが削除困難なBIOSベースの高度なバックドアとして使用可能であることが判明しました。」
 – DISSECTING SNAKE – A FEDERAL ESPIONAGE TOOLKIT(Snakeの分析−政府によるスパイ活動のツールキット):ミッコの講演につながるテーマです。
 
さて、ミッコが注目しているは何でしょうか?
 
彼は次のように語ってくれました。「BadUSBに関する講演は、興味深いものになるでしょう。そして、毎回私が楽しみにしているのはPwnie賞です。」

ではまた。
Sandra



>>原文へのリンク

Allapleウイルスの作者に判決

  エストニアのウイルス・ライターが、エストニアのハリュで実刑判決を受けた。

  Allapleウイルス・ファミリの作者、44歳のArtur Boiko氏は無罪を主張した。

  とは言え、彼は有罪であるとされ、2年7カ月の懲役を言い渡された。

  Allapleは多型性暗号化を使用した複雑なワームだ。ローカルHTMLファイルを修正することでネットワーク上に広がる。このようなHTMLファイルがパブリックWebサイトにアップロードされると、感染がさらに広がることになる。

  どうやらBoiko氏は、自動車事故に遭い、If Insuranceと保険査定に関して議論となったらしい。その結果、彼のワームが以下のサイトにDDoS攻撃を開始した:

    www.if.ee             (同保険会社のWebサイト)
    www.online.if.ee    (同保険会社のカスタマ・オンライン・インタフェース)
    www.starman.ee    (地元ISPのWebサイト)

  このDDoS攻撃はかなり深刻なものだった。この件については、2007年のISC Diaryの記事をご覧頂きたい。

  我々は2006年から2007年にかけて、Allapleのいくつかの亜種を検出した。問題は、これがボットネットではないということだ。これらのワームには、コマンドおよびコントロール・チャネルが無い。感染したマシンは、クリーンにされるまで標的を攻撃する。世界には現在も、感染したアクティブなコンピュータが何千もあり、攻撃を続けている。そして同ワームはさらに広がり続けている。

Snapshot from F-Secure interface showing new samples on 11th of March 2010
新たなサンプルを示すエフセキュア・インタフェースからの2010年3月11日のスナップショット

  Boikoは実刑判決を受けたが、裁判までには19ヶ月かかった。彼は損害を補填するため、以下の金額の支払いを行う判決も受けている:

If Insuranceに対して:510万エストニア・クローン(約33万ユーロもしくは45万米ドル)
Starman ISPに対して:140万エストニア・クローン(約9万1000ユーロもしくは13万米ドル)

  詳細(エストニア語)はERR Uudisedにある。

SEOポイズニングにより60以上のサイトで障害

  60以上のWebサイトが、SEOポイズニングの温床となっていることが分かった。これらのドメインは、検索キーに対する何百もの候補をホストしている。

  また、1つのドメインのトピックは、他のドメインのトピックと重複しているため、検索結果に双方が浮上する可能性がある。カバーされるトピックは、冬季オリンピックのリュージュの事故から、アレキサンダー・マックィーンの死、全米自動車競争協会のスケジュールにさえ至る。

  不用心なユーザがたまたま、これら障害の起きたサイトが提供しているものに合致する検索キーを入力した場合、検索結果には悪意あるリンクが山のように現れることになる。さらに、結果に不正なリンクがわずかしか含まれなかった頃とは違い、今回は60以上もあり、その多くはトップ10に入っている。この戦略では、ユーザがクリックする可能性が高まる。

search results

  ユーザがリンクをクリックした後、ページが開き、ユーザのシステムをスキャンするように見せかける。その後、偽のシステム感染を表示し、「ソリューション」を提供する…

scanning

  もしそれを実行すれば、システム上に不正なダウンローダを招き入れることになる…

downloading

  そしてその後、その不正物自身が…

security antivirus

  このようなディストリビューションは、ナンバーズ・ゲームをしているかのようだ。より多くのWebサイトを危険にさらし、より多くの検索キーが用いられれば、Scamwareをユーザのシステムに仕込む際に、より多くのユーザが引っかかる可能性があるのだ。これは非常に不正な行いであり、上手くいっているようだ。

  エフセキュア ブラウザ保護は既に、ユーザがこれら障害が起きたドメインを訪問し、そしてその先にある悪意あるサイトにリダイレクトされぬよう保護している。

投稿はChristineとMinaによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード