カジノサイト 災害に向けて運転中
自動車を購入する際、消費者は市販モデルの物理的安全性に関する多数の参考情報を入手できます。購入希望者は、特定の安全機能について営業スタッフに相談したり、メーカーの Web サイトにアクセスしてエアバッグの数を確認したり、道路安全保険協会の Web サイトを参照したり、YouTube で衝突テストのビデオを見て、時速 30 マイルで壁に衝突したときに車両がどのように反応するかを正確に確認したりすることもできます。
しかし、車内のコンピューター システムについて学ぶとなると、情報を見つけるのはさらに困難になります。 「誰もが Consumer Reports を入手し、衝突テストの安全性評価を得ることができます」と、世界的なセキュリティ コンサルタント会社である IOActive の車両セキュリティ研究ディレクターである Chris Valasek 氏は言います。 「ほとんどの人は、自分の車に搭載されているテクノロジーのすべてを知っているわけではありません。彼らは車を単なる機械だと思っていますが、実際には運転を支援する多数のコンピューターです。」
過去数十年にわたり、メーカーがタイヤ空気圧監視システム、クルーズ コントロール、Bluetooth、GPS、さらには Wi-Fi ホットスポット機能などのテクノロジーをモデルに追加するにつれて、車両のコンピュータ化がますます進んできました。これらのシステムはすべて、コントローラー エリア ネットワーク (CAN) を介して接続された電子制御ユニット (ECU) に依存しています。オフィス ビル内のネットワークと似ていますが、より「原始的でシンプル」であるとヴァラセク氏は説明します。
一部の車両には、最大 100 個の個別の ECU が搭載されており、日中の走行時の「車のライトがオフになっている」など、少量のデータを含むメッセージを絶えず送受信することで相互に通信します。
これらのメッセージは傍受や操作に対して脆弱です。エド・マーキー上院議員(民主党-マサチューセッツ州)のスタッフによる最近のレポート「追跡とハッキング: セキュリティとプライバシーのギャップが米国のドライバーを危険にさらす」によると、「市場に出ている自動車のほぼ 100% に、ハッキングやプライバシー侵害に対する脆弱性をもたらす可能性のある無線技術が搭載されています。」
これらの脆弱性には、車内の Bluetooth または OnStar システムにアクセスして、車内の会話を盗聴したり、車両の動きを追跡したり、ブレーキ、ステアリング、加速などの車両の基本機能を制御したりできることが含まれます。
さらに、マーキーの情報提供要請に応じた自動車メーカー 16 社のうち、リアルタイムで侵入を診断したり、意味のある対応をする能力を説明できたのは 2 社だけで、過去のハッキング事件について報告できたメーカーは 1 社もありませんでした。
これらの脅威が報告されたのはこれが初めてではありません。 MicroStrategy のシニア プログラム マネージャーである Terry Berman 氏は、その多くは以前の研究で取り上げられていたと述べています。
「車両の脆弱性が特定された研究は少なくとも 2010 年に遡ります。したがって、これらのメーカーが実際にこれらの問題に対処するために時間もエネルギーも費やしていないという事実は、本当に残念です。」と彼はセキュリティ管理者に語ります。
それらの研究の 1 つは、Valasek と彼の研究パートナーである Twitter のセキュリティ エンジニアである Charlie Miller によって実施されました。彼らは 2012 年に国防高等研究計画局 (DARPA) を通じて助成金を受け取り、その資金を使って 2010 年型トヨタ プリウスと 2010 年型フォード エスケープを購入しました。
車両に接続されたラップトップを使用して、ヴァラセクとミラーはCAN経由でメッセージを送信し、車両が突然加速、方向転換、ブレーキをかけ、クラクションを鳴らし、ヘッドライトの設定を変更し、速度計とガソリン計の測定値を変更させた。その後、メーカーの車両サイバーセキュリティへの取り組みを改善することを期待して、彼らはその調査結果をトヨタとフォードに共有したが、車両のコンピュータ システムに直接アクセスするためにラップトップを使用していると両社が指摘したため、拒否された。
「企業が注目していないのは、DARPA の調査が、Bluetooth 接続、OnStar システム、同期された Android スマートフォン内のマルウェア、またはステレオの CD 上の悪意のあるファイルを介して、車両の CAN にリモートおよびワイヤレスでアクセスできることを実証した先行研究に基づいているということです」とマーキーの報告書は述べています。
ヴァラセクとミラーは 2014 年に研究を追跡し、21 の異なる車両モデルのハッキング可能性を調査しました。彼らは昨年の Black Hat USA カンファレンスで調査結果を発表し、車両のサイバーセキュリティに対する意識を高めるためにレポート全体を一般に公開しました。
「消費者だけでなく、私たちのようなセキュリティ研究者にも、これらの車両についてさらに詳しく調べてもらいたいと考えています」とヴァラセク氏は説明します。 「この種の資料を公開することで、大手自動車会社やティア 1 サプライヤーにセキュリティについて考えてもらうことができれば幸いです。」
マーキーが調査した企業の1つであるゼネラル・モーターズ(GM)は、報告書の調査結果についてのコメントを拒否した。しかし、広報担当者のローラ・トゥール氏は、同社は車載サイバーセキュリティに対して多面的なアプローチをとっており、潜在的な脅威の進化に合わせて強化されたセキュリティ対策を更新できるように車両システムを設計していると述べた。
GM は、車両および車両サービスのサイバーセキュリティ組織の設立を通じてこの取り組みを主導しています。 「これらの専門家は外部の専門家と協力して、車両や顧客データへの不正アクセスのリスクを最小限に抑えています」とトゥール氏は説明します。 「このチームはまた、サイバーセキュリティのリスクを軽減するための防御策と戦略を開発および実装する業界全体の取り組みへの GM の参加を主導します。」
フォードとトヨタはマーキーの報告書の質問にも答えたが、コメントの要請には応じなかった。
マーキーの報告書では、車両のサイバーセキュリティの脆弱性だけでなく、車両がドライバーに関する情報を収集していることも判明しました。これには、定期的な車両の物理的な位置、車両が最後に駐車された場所、車両の速度、移動距離と移動時間が含まれます。
Markey のレポートによると、顧客は自分のデータが収集されていることを「明示的に」認識されておらず、実際に認識されている場合でも、「ナビゲーションなどの貴重な機能を無効にしないとオプトアウトできないことが多い」
このデータは、ワイヤレスで取得できない車両内や、データがワイヤレスで転送される中央の場所など、さまざまな方法で保存されます。また、調査対象企業 11 社のうち 9 社は、自社が提供するデータ収集機能を提供するためにサードパーティ企業と契約しており、そのうちの 3 社は、その機能に関連するデータの送信と保存をサードパーティ企業にライセンス供与しているとも述べています。
しかし、マーキーの報告書では、ほとんどのメーカーが収集した「データを保護する効果的な手段」について説明していないことが判明しました。 「オンボード ストレージの場合、そのデータを保護するセキュリティ システムについて説明しているメーカーはありませんでした。また、データへのアクセスには有線接続が必要なため、セキュリティ対策は必要ないと述べたメーカーもいくつかありました。」
車両データを無線で送信するメーカーのうち、回答したのは 6 社だけでした。5 社は、暗号化、パスワード、または一般的な IT セキュリティ慣行の名前を曖昧に回答しました。そして「個人を特定できる情報の転送を制限するようにシステムを設計したと特に言及した」のは 1 社だけでした。
11月、マーキーのレポートで調査対象となった企業のうち12社を代表する自動車メーカー同盟は、オーナーマニュアルや企業ウェブサイトを通じたプライバシー慣行に対する消費者の意識の向上、ドライバーの機密情報の保護、ドライバーデータが共有される限定的な状況の概要など、新しいプライバシー原則を発表した。
これらの措置は、メーカーが消費者のプライバシーの保護に取り組んでいることを示しているとマーキーの報告書は述べているが、原則の影響は「メーカーが原則をどのように解釈するかによって部分的に」左右されるという。その理由は、透明性への取り組みが不透明で消費者に気づかれない可能性があること、消費者の選択に関するガイドラインはデータ共有のみに言及しておりデータ収集には言及していないこと、そして「データの使用、セキュリティ、説明責任に関するガイドラインは、これらの問題の大部分がメーカーの裁量に委ねられている」ためである。
これらの措置は、法的措置を防ぐには十分ではない可能性もあります。 3月、ダラスの弁護士マーク・スタンレーは、サイバーセキュリティに関して、車両が欠陥なく適切かつ安全に機能することを保証できなかったとして、カリフォルニア州でトヨタ、フォード、GMを相手取った集団訴訟を起こした。
「被告が車両の基本的な電子セキュリティを確保できなかったため、誰でも車両にハッキングして車両の基本機能を制御でき、それによってドライバーや他の人の安全が危険にさらされる可能性がある」と訴状は主張している。
マーキーはまた、リチャード・ブルーメンソール上院議員(民主党-コネチカット州)と共同提案した法案を提出することによって自動車メーカーに対して行動を取ることを提案した。この法律は、自動車の安全を確保し、ドライバーのプライバシーを保護するための連邦基準を確立するよう、国家道路交通安全局と連邦取引委員会に指示するものです。
「21世紀においてドライバーとその情報を安全に保つには、シートベルトやエアバッグに相当する電子機器が必要です」とマーキー氏は声明で説明した。
彼が提案する標準には、車内のすべての無線アクセス ポイントがハッキングから保護され、侵入テストを通じて評価されること、収集されたすべての情報が安全であり、不当なアクセスを防ぐために暗号化されること、メーカーまたはサードパーティ企業がリアルタイムのハッキング イベントを検出、報告、対応できることなどの要件が含まれています。
マーキーはまた、今日の新車の燃費表示と同様に、自身が提案した最低基準を超えて車両がドライバーをどのように保護しているかを消費者に知らせるためのサイバーダッシュボードの設置も求めた。
一方で、バーマン氏は、幹部や外交官など、価値の高い標的となる個人は、輸送される車両のサイバーセキュリティを考慮する必要があると述べています。車両は、防弾ガラスや装甲で物理的に強化されているのと同じように、デジタル的に強化する必要がある場合があります。
「車両の脆弱性を軽減するために講じられる対策はおそらくあるでしょうが、物理的に強化するのと同じ方法で車両を強化するには、車両に特別な改造を施す必要があります。」と彼は説明します。 「車両が実現できる通信を検討し、高価値の目標を輸送するために使用されている車両について、それらのデバイスを排除または無効にする可能性を検討してください。」
スペイン語で読むには、ここをクリック.