叡智の三猿

〜森羅万象を情報セキュリティで捉える

スマホで自動車を乗っ取る!?

f:id:slowtrain2013:20220122040616j:plain
これからは電気自動車の普及に伴い、自動運転車が活躍する時代がきます。いまの自動車事故の多くは運転ミスなので、自動運転は安全性を高めることに大いに貢献するはずです。運転免許を返上した高齢者も安心して車に乗れるようになるかもしれません。

しかし、自動運転車は常時通信を行っているので、通信やソフトウエアに対するサイバー攻撃が脅威となります。車は身体と密着しているので、電気自動車が攻撃者に手により通信がハッキングされ、ソフトウエアが改ざんされたりすると、車に乗っている人や、周囲の人に命の危険性があります。

その脅威について考えてみたいと思いました。

自動車のようなハードウエア(モノ)が、インターネットにつながり、監視や遠隔操作ができる技術はIoT(Internet of Things)と称されます。インターネットにつながった自動車がサイバー攻撃を受けるということは、IoTの脆弱性によるものとなります。

自動車へのサイバー攻撃の事例として有名なのが、2015年にセキュリティ研究者による走行中のJeepを乗っ取る操作の実験です。これは実証実験ですので、厳密には攻撃とはいえませんが・・・。

Wiredのアンディ・グリーンバーグ記者は、米セントルイス市内を時速112キロで走行していた。突然、ダッシュボードには一切触れていないのにエアコンから冷たい風が吹き出し、ラジオのチャンネルが勝手に切り替わって大音量の音楽が流れ、窓拭きワイパーが作動。続いてアクセルが効かなくなり、車は減速した。走行中のJeepを乗っ取り操作、セキュリティ研究者が実証実験 - ITmedia エンタープライズ

この実証実験は、コンピュータをOBD(OnBoard Diagnosis)コネクターに物理的に接続した上で、自動車内に置くことが前提となります。

OBDとは車載式故障診断装置のことで、車自身が車の異常を感知するシステムです。OBDコネクターにスキャンツールをつなぎ、スマホからBluetoothによるペアリングを行います。そしてスマホのスキャンアプリ(無料もある)を使えば自分が乗っている車の診断ができます。

OEDで自家用車の健康状態をチェックできるのですから便利です。運送業では燃費をはかる指標にもなります。しかし、インターネットでスマホに接続できるということは、悪意をもった攻撃者によりスマホで自動車を乗っ取れることを意味します。もし、攻撃者がネット経由で自動車の遠隔操作を行い、走行中の車のエンジンを停止させたら重大事故につながる可能性があります。

上に書いたJeepは自動運転車ではありませんが、自動運転車はよりインターネットとの関連が密になるので、セキュリティの脅威は増します。

ただ、自動運転によってもたらせらるドライバーの安全性と、IoTの脆弱性を悪用したサイバー攻撃による危険性を比較した場合、わたしは自動運転による安全性の恩恵がはるかに大きいと思っています。

といいますのは、確かに車が遠隔操作で悪用されるのは危険ですが、それをすることによる攻撃者のメリットをあまり想像できないのです。たとえば、攻撃者が個人的な恨みを持った人物を陥れるために、その人物が乗る車を攻撃する可能性はあるかもしれません。あるいは、自動車文明の発展に警鐘を促したいと考えるサイバーテロのグループがいるかもしれません。そのようなグループは次々と自動運転車を攻撃する可能性もあるかもしれません。ちなみに、このような社会的・政治的な主張を目的としたハッキング活動を行う人をハクティビストと呼びます。

ただ、サイバー攻撃をする人が考えるいちばんのメリットは、それによってお金儲けができることだと思うのです。金にならない攻撃は金になる攻撃よりも優先順位が低いと思うのです。その視点で考えると、自動車の遠隔操作はあまりお金を儲ける攻撃にはならないように思います。というより、そうであって欲しいと願っています・・・。

むしろIoTの脆弱性をついた攻撃で、危険かつお金になりそうで怖いのは、医療システムへの遠隔操作です。医療システムが遠隔操作により患者の記録が暗号化され、暗号を解読したければ、お金を払えというランサム攻撃が成立します。