ナンバープレートから自動車のエンジンを始動できる脆弱性、発見
マイナビニュース / 2024年10月1日 13時5分
Malwarebytesは9月27日(米国時間)、「Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes」において、起亜(KIA)が2013年以降に製造したほぼすべての自動車に脆弱性が存在したと報じた。この脆弱性を悪用されると、自動車の主要な機能を遠隔操作される可能性がある。
○脆弱性の概要
この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Kia: Remotely Controlling Cars With Just a License Plate」にて公開されている。
脆弱性は自動車自体ではなく、ディーラー専用サイト「kiaconnect.kdealer[.]com」に存在した。研究者は簡単なHTTPリクエストを介して新規ディーラーとして自身を登録し、Webサイトへのログインに成功している。
ログインに成功すると、車両識別番号(VIN: Vehicle Identification Number)を使用して車両情報の検索が可能になる。この検索から所有者の氏名、電話番号、メールアドレスが取得できるという。
研究者はディーラー専用サイトのAPI(Application Programming Interface)の調査から、本来の所有者を降格して研究者を主要な所有者として登録することに成功している。その結果、攻撃者は2013年以降に製造された標的車両にコマンドを送信できるようになる。
なお、車両情報の検索、所有者の降格、所有者の追加など、一連の操作は元の所有者に通知されることはない。攻撃者は標的車両の車両識別番号を入手するだけで、所有者に気づかれることなくエンジン始動やロック解除などの操作ができる。
○影響と対策
この脆弱性を悪用するには車両識別番号を入手する必要がある。一般的に第三者が車両識別番号を入手するには車両に打刻された番号を目視で確認しなければならない。
研究者はこの問題をナンバープレートから車両識別番号に変換するサードパーティーAPIを使用して解決した。Malwarebytesによると、米国や英国など一部の国ではナンバープレートから車両識別番号を検索できる車両データベースが存在するという。
研究者は起亜に脆弱性を報告後、概念実証(PoC: Proof of Concept)ツールを開発している。このツールはナンバープレートの番号を入力するだけで、所有者の個人情報を窃取して車両にコマンドを送信できるとされる。
このセキュリティ脆弱性は、9月26日(協定世界時)までに起亜により修正されたことが確認された。Malwarebytesによると、起亜は脆弱性の悪用を確認していないと報告したという。
研究者およびMalwarebytesは、自動車メーカーの主眼がセキュリティよりも新機能の開発にあるため、今後も脆弱性が発見されることになるだろうと指摘している。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Googleアカウント乗っ取りに警戒を、メール送信後にAI音声で電話
マイナビニュース / 2024年10月18日 9時25分
-
「オービスから逃れるため」ナンバープレートを見えないように不正改造した男が逮捕!一体どんな犯罪になる? 元警察官が解説
くるまのニュース / 2024年10月10日 9時10分
-
サイバーセキュリティ最前線 第1回 終わらない戦い、サイバー攻撃に備えるための最新情報
マイナビニュース / 2024年10月9日 9時0分
-
自動運転の時代、車が「カラオケ」「映画館」に…韓国・通信大手が進化させる車載「情報+娯楽」機能
KOREA WAVE / 2024年10月6日 11時0分
-
駐車券入れてないのに…「勝手にゲートが開いた!」なぜ? ナンバー読み取り機能の「自動認識」とは? 今後はどう発展?
くるまのニュース / 2024年9月22日 15時10分
ランキング
-
1Googleアカウント乗っ取りに警戒を、メール送信後にAI音声で電話
マイナビニュース / 2024年10月18日 9時25分
-
2めざましテレビが「まいたけダンス」紹介→元ネタのVTuberに触れずさまざまな意見 「何も紹介が無いのは違う」「フリー素材扱いしたかったのかな?」
ねとらぼ / 2024年10月16日 17時34分
-
3人気VTuberが起こした“とんでもない放送事故”で配信画面がどえらいことになり視聴者爆笑 「うわああああ」「ブラクラかな?」
ねとらぼ / 2024年10月17日 20時15分
-
4AndroidデバイスのPINコード盗むマルウェア登場、日本でも被害
マイナビニュース / 2024年10月17日 17時49分
-
53年ぶり「iPad mini(A17 Pro)」は何が進化した? 「iPad mini(第6世代)」からの変更点まとめ
ITmedia Mobile / 2024年10月17日 10時6分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください