数百万台の起亜車が遠隔ハッキングの脆弱性の脅威にさらされる
恐ろしい事実が明らかになった。セキュリティ研究者らは最近、起亜自動車のオンライン システムに重大な脆弱性があることを発見した。この脆弱性により、何百万台もの自動車がリモート ハッキングの危険にさらされることになった。これは、いくつかの重要でない機能にアクセスされるというだけのことではなかった。発見された欠陥により、ハッカーはいくつかの簡単な手順で、自動車の主要機能を制御できる可能性がある。
目次
危険な悪用
想像してみてください。車のナンバープレート番号さえあれば、ハッカーは30秒以内にあなたの車を乗っ取ることができるのです。恐ろしいと思いませんか? サイバーセキュリティ研究者のサム・カリーは、他の3人の専門家チームとともに、車の所有者と車を結びつけるオンラインシステムであるKiaのオーナーズポータルに、この不安な欠陥を発見しました。
この脆弱性は、自動車の遠隔操作を可能にするだけでなく、個人情報の宝庫をさらすものでもあります。自動車所有者の名前、住所、メールアドレス、電話番号などの詳細を簡単に抽出できます。さらに懸念されるのは、攻撃者が所有者に知られることなく 2 番目のユーザー プロファイルを作成し、ドアのロック解除やエンジンの始動などのコマンドを自動車に送信できることです。
技術的な詳細
では、これらの脆弱性はどのようにして発見されたのでしょうか。Curry 氏によると、Kia のオーナー向け Web サイトは、車両情報を確認するためのポータルであるだけでなく、インターネットから車両へのコマンドを実行する機能も備えていました。この機能は、これらのコマンドをアクションの実行を担当する API に誘導するバックエンドのリバース プロキシによって可能になりました。
さらに、Kia ディーラーのインフラストラクチャにも同様のリスクがありました。ディーラー サイトに登録した後、Kia のオーナー ポータル登録に使用されたのと同じリクエストが操作される可能性があります。研究者はアクセス トークンを取得し、バックエンドのディーラー API を呼び出すことができました。
簡単に言えば、このシステムは王国に鍵を渡すことになる。これらの脆弱性を悪用することで、ハッカーは機密の個人データを取得し、所有者の電子メールアドレスを置き換えて、自分自身を主要なアカウント所有者にすることができる。そこから、ハッカーは車両にコマンドを送信することができ、所有者に疑念を抱かせることもない。
広範囲に及ぶ欠陥
この脆弱性の最も不安な点の 1 つは、その範囲です。カリーのチームは、ナンバープレートを入力して所有者の個人情報を取得し、車両にコマンドを発行できる概念実証ダッシュボードを作成することができました。カリーによると、2013 年以降に製造された Kia モデルはすべて、潜在的なリスクにさらされているとのこと。
一度侵入されると、ハッカーは車を追跡し、ドアのロック解除、クラクションの鳴らし方、エンジンの始動方法などの機能を操作できるようになります。これらはすべてキーボードから簡単に実行できます。
おそらく最も衝撃的なのは、所有者の視点から見ると、自分の車両がアクセスされたりアカウントが変更されたりしたことについての通知や警告がなかったことです。これは本質的にはサイレント乗っ取りでした。
Kiaの反応
幸いなことに、2024年6月に起亜自動車に脆弱性が報告された後、同社は対応しました。8月中旬までに、同社は欠陥に対処し、リモート攻撃から車両を保護するための修正プログラムを実装しました。このパッチは多くの人にとって安心感を与えましたが、これは私たちの車両がいかにコネクテッド化され、サイバー攻撃に対していかに脆弱であるかを思い起こさせるものです。
車両セキュリティの今後は?
先進技術とインターネットベースのシステムを自社の自動車に統合する自動車メーカーが増えるにつれ、サイバー脅威のリスクは高まっています。起亜自動車の事件は警鐘となり、現代の自動車における強固なサイバーセキュリティの重要性を浮き彫りにしました。自動車業界が進化するにつれ、自動車とドライバーの両方をデジタル脅威から守るために設計されたセキュリティプロトコルも進化する必要があります。
今回の事件は、自動車メーカー、特に起亜自動車に、セキュリティ対策を常に見直し、更新するよう促すものとなるだろう。自動車の所有者にとっては、情報を入手し、速やかに更新を適用し、コネクテッドカーの時代に起こり得るセキュリティ上の欠陥を認識しておくことが重要だ。
自動車のデジタル化の未来は刺激的ですが、同時に大きなリスクも伴います。道路上のすべての人を物理的脅威とデジタル脅威の両方から安全に保つには、細心の注意が必要です。