世界最大級の情報セキュリティ国際会議 「DEFCON 26」で行われた 暗号化車載ネットワークのハッキングコンテストで優勝!
PR TIMES / 2018年8月16日 15時1分
~不正処理のバグを発見し自動車の制御を奪うことに成功~
株式会社イエラエセキュリティ(所在地:東京都渋谷区、代表取締役社長:牧田 誠、以下、弊社)の副社長・佐藤勝彦は、2018年8月9日から4日間にわたりアメリカ・ラスベガスで開催された情報セキュリティの国際会議「DEFCON 26※1」内で行われた車載通信ネットワークに関するハッキングコンテスト「Karamba Challenge」に参加し、優勝しました。
[画像1: https://prtimes.jp/i/35020/2/resize/d35020-2-668867-0.jpg ]
今回参加した「Karamba Challenge」は、「DEFCON 26」内で行われた「Car Hacking Village 」のコンテストの1つとしてKaramba Security社※2主催で行われたコンテストです。ラジコンカーを実際の自動車のように見立て、車載制御システムを模した機器を搭載したラジコンカーに対してステアリングやアクセル操作のコントロールを奪うといった課題が、セキュリティレベル別に全5ステージ出題されました。
こうした課題に対し、佐藤はセキュリティ診断用に独自開発したECU(電子制御装置)を専用のポートに接続し、動作中の暗号化されたパケットを解析することでリプレイ攻撃とタイミング攻撃を用いて制御パケットを送ることにより、自動車の制御を奪うことに成功しました。また、同コンテストは開催期間が2日半のところ、1日で全5ステージの問題を解き、見事優勝を飾りました。
[画像2: https://prtimes.jp/i/35020/2/resize/d35020-2-713455-1.jpg ]
今回優勝した佐藤のコメントは以下の通りです。
「Car Hacking Villageは今回が初めての参加でした。最先端の自動車セキュリティの情報収集と自社の技術力の腕試しの場として、他にもいくつか競技がありましたがKaramba Challengeに決めました。1位の賞品が高性能なドローンだったというのも動機として大きかったですね(笑)。
最終的に暗号は解けていませんでしたが、暗号化されたままでも不正なパケットの処理の直後に、以前にキャプチャした同期パケットと制御パケットをインジェクトすると数パケットだけ処理されてしまうバグを発見し、それを利用して自動車の制御を乗っ取ることに成功しました。主催者側もこの攻撃は想定外だったようで、非常に驚いていました。
実車でも、ファームウェアを吸い出されて暗号化の方式や鍵を解析されてしまうこと、または暗号が非常に強固でも同期パケットの処理や電源等入力後の動作、例外処理のシーケンスによっては、暗号化されたままでのリプレイ攻撃が通ってしまうことがあります。そのため、暗号がかかっているからと言ってECUのセキュリティが妥当かどうかについては、一度診断される事をお勧めしたいです。
こうしたハッキングコンテストに参加すると、自身の腕試しの場になるだけでなく、最新のセキュリティの動向にも触れられるので、今後も継続して参加していきたいですね。」
※1 DEFCON 26
ラスベガスにて毎年開催される情報セキュリティ関する世界最大級の国際会議。ハッカーやセキュリティー専門家、研究者、政府関係者など、今年は30,000人近くが参加した。ハッキング技術に関する講演やイベントをはじめ、ハッキングに関係した競技大会が有名なことから「ハッカーの祭典」とも呼ばれている。
※2 Karamba Security社
イスラエルに本社を置く、自動車のセキュリティプロダクトを提供する企業。
【佐藤勝彦プロフィール】
株式会社イエラエセキュリティ 取締役副社長 佐藤 勝彦(さとう かつひこ)
ローランド ディー・ジー株式会社、ソニー・デジタルネットワーク・アプリケーションズ株式会社やフリーランス活動を経て、株式会社ユビラボを設立し代表取締役CEOに就任。その後、株式会社シマンテックで大規模な脆弱性診断にも携わる。2017年10月より現職。IoT製品や自動車のセキュリティ診断を行い、社内外から高い評価を得ている。
【株式会社イエラエセキュリティの企業概要】
商号 :株式会社イエラエセキュリティ
代表取締役:牧田 誠
所在地 :東京都渋谷区本町3-12-1 住友不動産西新宿ビル6号館 7階
設立 :2011年12月
資本金 :5,100万円
事業内容 :Webアプリケーション診断、スマートフォンアプリ診断、ネットワーク診断、IoTセキュリティ診断、自動車セキュリティ診断
URL :https://ierae.co.jp/
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
あなたの愛車は大丈夫!? 新たな「車検の項目」追加に反響殺到! “OBD検査”に「車検受からないかも…」「輸入車は大変そう」などの声も
くるまのニュース / 2024年9月20日 14時50分
-
GMOイエラエ 経産省主催の自動車サイバーセキュリティコンテスト「Automotive CTF Japan」で全国1位に
PR TIMES / 2024年9月18日 12時15分
-
GMOサイバーセキュリティ byイエラエのホワイトハッカーが防衛省・自衛隊に対し実践的なサイバーセキュリティトレーニングを実施
PR TIMES / 2024年9月11日 14時45分
-
キヤノンマーケティングジャパン、広幅印刷に対応した大型デジタル複合機5機種を発売
ITmedia PC USER / 2024年9月6日 15時8分
-
GMOイエラエ 世界最大級のサイバーセキュリティカンファレンス「DEF CON 32」『Cloud Village CTF』で2年連続世界1位に【GMOサイバーセキュリティ byイエラエ】
PR TIMES / 2024年8月28日 15時15分
ランキング
-
1『地面師たち』積水ハウスの“秘密文書”に見る巨額詐欺事件の真相「ずさんな手書き稟議書」「急展開した取引」の背景に派閥争い
NEWSポストセブン / 2024年9月23日 11時13分
-
2出戻り社員「アルムナイ採用」が増えた切実な事情 かつては"裏切り者扱い"も今や大歓迎だが…
東洋経済オンライン / 2024年9月23日 11時0分
-
3なぜ、「パン屋さん」みたいなセブンが増えているのか できたてのカレーパン、ドーナツ、メロンパンを強化する背景
ITmedia ビジネスオンライン / 2024年9月23日 6時15分
-
4有料会員100万人「radiko」のビジネス的伸びしろ 広告ビジネスと新規ビジネスの尖兵として
東洋経済オンライン / 2024年9月23日 10時30分
-
5「効率化で"不要になった社員"」活用する術ある?
東洋経済オンライン / 2024年9月23日 13時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください