古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

解体工場の廃車を素材に“DIYカーハッキング”、脆弱性を見つける

ザテレビジョン のロゴ ザテレビジョン 2017/08/20
解体工場の廃車を素材に“DIYカーハッキング”、脆弱性を見つける © KADOKAWA CORPORATION 提供 解体工場の廃車を素材に“DIYカーハッキング”、脆弱性を見つける

 カーハッキングの経験はまったくなく、ドライブバイワイヤ(運転制御システムの1つ)もよく分からない。予算もほぼゼロ。でも自動車セキュリティについての知見を深めたい。――そうだ! レッキングヤード(車などの解体工場)で壊れた自動車を見つけて、いじってみよう!  7月29日、ハッカーカンファレンス「DEF CON 25」の101講演(初心者向け講演)で、米マカフィーのミッキー・シュカトフ氏とジェシー・マイケル氏、セキュリティリサーチャーのアレクサンダー・バザニウク氏は、実際にスクラップ寸前の車両を購入し、車載システムに潜む複数の脆弱性を発見したいきさつを面白おかしく紹介した。そこでは、IoT製品開発全体の課題を浮き彫りにする、思いがけない発見にも行き当たったという。 「僕が『素敵なジャンクヤードですね』と言ったら、解体工場のオーナーは不機嫌になった。ジャンクカー探しに行こうと思ってる人は、必ず“レッキングヤード”と呼ぶよう気をつけてほしい(笑)」(ミッキー・シュカトフ氏) 「僕が『素敵なジャンクヤードですね』と言ったら、解体工場のオーナーは不機嫌になった。ジャンクカー探しに行こうと思ってる人は、必ず“レッキングヤード”と呼ぶよう気をつけてほしい(笑)」(ミッキー・シュカトフ氏) カーハッキングの素材は、スクラップ寸前の日産リーフ  冒頭にあるとおり、カーハッキングの素材としてジャンクカーを安く手に入れようと考えたシュカトフ氏、マイケル氏、バザニウク氏の三氏は、早速、オレゴン州にある自動車解体工場、ヒルズボローレッキングヤードへと足を運んだ。 いざ、スクラップ寸前の自動車が並ぶ解体工場へ。素敵なジャ……レッキングヤードですね! いざ、スクラップ寸前の自動車が並ぶ解体工場へ。素敵なジャ……レッキングヤードですね!  そこに並ぶ多数のジャンクカーを見て回り、半壊した2015年製の日産リーフを発見。50ドル以下で買い取ることに成功した。  このリーフから、ダッシュボードや電子制御周りなど、カーハッキングに必要と思われるコンポーネントだけを持ち帰り、ラボ内で組み立て。1週間後にはリーフ全体の「3分の1程度」を再現した。さあ、いよいよカーハッキングの開始だ。 DIYショップで支えとなる木のボードなどを購入し、ラボ内で組み立て DIYショップで支えとなる木のボードなどを購入し、ラボ内で組み立て 謎のURLを発見、ウクライナを走るリーフからのデータを受信  日産リーフには「NissanConnect EV(旧称:NISSAN CARWINGS)」というオーナー向けサービスが提供されている。たとえば、ダッシュボードに組み込まれたIVI(車載インフォテインメント装置)のディスプレイで近隣の充電スポットの場所を教えてくれたり、残充電で到達できるエリアを予測してくれたりする。また、スマートフォンアプリと連携させれば、車を離れていても残充電量がわかるほか、充電が完了したら通知してくれたり、乗車前に遠隔からエアコンを操作して社内を快適な温度にしておいたりすることが可能だ。このサービスは、リーフを所有してから3年間は無償で利用できる。  ということで、まずシュカトフ氏らは、オーナーの名義変更を日産に申請してみた。手元にあるのは、実際にはリーフの完全な中古車ではなく“かつてリーフだった何か”あるいは“3分の1だけリーフ”なのだが、申請は受理された(レッキングヤードの購入レシートだけで通った!)。  サービスへの接続が可能になったので、IVIが搭載する診断メニューを使ってデバッグ用のさまざまなファイルを抽出し、さらに詳細な調査を進める。 リーフのIVIからは、カーナビのデバッグデータやメモリダンプデータなど、さまざまなデータが取得できた リーフのIVIからは、カーナビのデバッグデータやメモリダンプデータなど、さまざまなデータが取得できた  デバッグデータを眺めながら最初に見つけた“面白いもの”は、「http://biz.nissanーgev.com/WARCondelivbas/it-m_gw10/」という謎のURLだった。しかし、このドメインの情報をWHOISで調べたところ、誰も所有していない。そこですぐにこのドメインを取得し、当該URLに対するアクセスを調べるため、ハニーポットサーバーを設置して観察することにした。  誰が、どんなアクセスをしてくるのかを観察してみると、日本の日産社内からのアクセスに次いで、実際に市中を走っている自動車からのアクセスを受け始めた。自動車からは、NissanConnect EVのユーザーIDやパスワードだけでなく、車両識別番号(VIN)、GPSによる位置情報、外部通信に使っているDCM(データコミュニケーションモジュール)のIDや携帯回線のSIM ID、電話番号まで、せっせと送信されてくる。 ハニーポットで受信したデータの一例。自動車から各種ID/パスワードや車両識別番号が送られてきている ハニーポットで受信したデータの一例。自動車から各種ID/パスワードや車両識別番号が送られてきている  多数の自動車のGPSデータを地図上に展開して見ていたところ、ある車が米国東部のデラウェア川に“突っ込んでいる”ところを発見した。これ自体はGPSの誤作動だと思われたが、アクセス元ネットワークを調べるとウクライナの携帯通信事業者経由でのアクセスだった。 GPS位置情報の履歴を見れば、車のオーナーの日常行動パターンが読み取れる。あれ、デラウェア川に突っ込んでる……? GPS位置情報の履歴を見れば、車のオーナーの日常行動パターンが読み取れる。あれ、デラウェア川に突っ込んでる……?  GPS情報では米国内を走っているはずの車が、ウクライナ経由でアクセス――? 面白いと思って、車両識別番号でGoogle検索してみたところ、まず、この車はウクライナでオーナー手続きが行われていることがわかった。こちらも車種は日産リーフだ。  さらに、中古車の履歴情報を検索できるサービス(carfax.com)で調べると、該当車の売買履歴や事故履歴が見つかった。該当車は2015年10月8日に米国で新車として販売されたが、2週間も経たない10月20日には保険会社から全損事故の届けが出ている。そして、その3カ月後には修理届けが出され、翌月にはポーランドに輸出されている。中古車として欧州に渡ったのち、どこかの時点でウクライナのオーナーに買われたのだろう。  ところで、一同がレッキングヤードから入手したリーフをよくよく見てみると、シスコシステムズのIoT基盤クラウドサービス「Jasper Wireless Connected Car Cloud」対応のSIMカードがささっている。Wikipediaによると、Cisco Jasperを利用する自動車メーカーは日産やGE、フォード、テスラ、フォルクスワーゲンなど11社で、各国の携帯通信網をローミングで利用し、自動車からクラウドへ、さらに各自動車メーカーに転送される仕組みになっていると、ジェシー・マイケル氏は説明する。 ささっていたSIMから、バックエンドにシスコのJasperクラウドを利用していることが判明。現在の自動車はIoTデバイスだと再認識させられる ささっていたSIMから、バックエンドにシスコのJasperクラウドを利用していることが判明。現在の自動車はIoTデバイスだと再認識させられる  つまり純正状態のリーフでは、自動車の詳細データはJasperクラウド経由で日産に送信され、そこでさまざまなサービスに活用されている。それならばなぜ、ウクライナを走るリーフは、シュカトフ氏らが仕掛けたハニーポットのほうにデータを送信してきたのだろうか。  マイケル氏は「車のSIMをオリジナルのものから差し替えるユーザーは結構いるので、今回のケースもそういったケースだろう」と推測する。純正のSIMではないためJasperにデータ送信ができず、代わりに前述のURL(おそらく開発時に使われているダミーURL)にデータ送信しているのではないか、という読みだ。それならば、ハニーポット宛てに日本の日産社内からアクセスがあったことも、開発/テスト段階の通信だと考えることができる。 「まあよくあることで、発見としては普通かな(笑)」(ジェシー・マイケル氏) 「まあよくあることで、発見としては普通かな(笑)」(ジェシー・マイケル氏)  ちなみに、なぜウクライナを走るリーフがデラウェア川付近の位置情報を送信してきたのかについてはわからずじまいだったという。地域設定の変更がうまくできておらず、車載システム上ではいまだに米国内を走っていることになっているのかもしれないと推測している。 かつて初代iPhoneで指摘された脆弱性が、自動車の世界でよみがえる?  1つめの発見はささいなものだったが、続く発見は、IoTの普及で生じた“落とし穴”を指摘するものだった。  今回ハッキング素材となったリーフのTCU(テレマティクス制御ユニット)はドイツのコンティネンタル社製で、2Gモデムを搭載していた。通信を解析しやすい脆弱な2Gだと喜んだ一同は早速、TCUの分解に着手した。このTCUはUSB経由で自動車と無線通信していることがわかったところで、MITM(中間者攻撃)の手法を用いて通信内容をチェックした。「GPS座標、通信の確立方法……何だこれ? どっかで見たことあるぞ」。 リーフが搭載していたTCUはコンティネンタル製。写真ではSIMスロットも見える リーフが搭載していたTCUはコンティネンタル製。写真ではSIMスロットも見える  あらためて基板を見た一同は、そこに搭載されているチップの1つ「Infineon S-Gold 2(PMB 8876)」に目を止めた。これは初代iPhoneにも搭載されていたチップであり、2つの脆弱性が存在することが何年も前から報告されている。 「おや、このチップはどこかで見たことがあるぞ?」 「おや、このチップはどこかで見たことがあるぞ?」 ●ATコマンド処理で任意のコード実行を可能にするスタックオーバーフローの脆弱性●TMSI(携帯通信基地局でユーザー認証に使われる一時的なID)で任意のコード実行を可能にするバッファオーバーフローの脆弱性  ATコマンド処理の脆弱性は、2007年頃からすでに指摘されていた問題だ。もうひとつのTMSIに関する脆弱性も、2010年にはCVE(共通脆弱性識別子)が出されており、2012年発売の書籍「iOS Hacker's Handbook」でも取り上げられている。  バザニウク氏は、チップにはASLR(アドレス空間配置のランダム化)やDEP(データ実行防止)といった対策がなされておらず、最初のハッキングプロセスは簡単に通過できたと語る。もっとも、iPhoneの場合とは異なり、ファームウェアを直接入手する手段がなかったため、特に後者の脆弱性を検証するのには苦労したそうだ。さらに7日間にわたる解析の結果、無線からCANバスへのアクセスが可能であることを実証した。 アレクサンダー・バザニウク氏 アレクサンダー・バザニウク氏  「調査したTCUはCANメッセージをCANバスに送信する機能があり、自動車のイモビライザーとの連携で組み込まれたと思われる。もっとも、今回は完全な車で調査していないので、詳細は分からない。知り合いに車を借してくれとお願いしたんだけど、ことごとく断られてね(笑)」(マイケル氏)  なお、これらの脆弱性に対する攻撃は、2Gネットワークを利用することが前提となっている。そもそも米国では、NissanConnectへの2G経由での接続サービスが2016年末で廃止されており、3G以降に接続できる新しいTCUへのアップグレードが呼びかけられている。そのためICS-CERTでは、まだ2G TCUを搭載する車のオーナーは、早急にディーラーに問い合わせるよう呼びかけている。  また日本国内での影響だが、ご存じのとおり国内の携帯通信事業者はすでに2Gネットワークを運用していない。そのため、この攻撃は簡単には実行できない。ただし、攻撃者が違法な2G基地局を一時的に立てるなどすれば、問題のInfineonチップ搭載のTCUで2Gモジュールが無効化されていない場合に、攻撃が成功してしまう可能性はある。標的型攻撃の場合、これくらいの手間暇はいとわないだろう。TCUの設定など詳細に関しては、日産の公式情報を待つしかない。 IoT時代の教訓:モノは違っても、実装される中身や脆弱性は一緒  三氏の報告を受けた米ICS-CERT(産業制御システムの脆弱性報告機関)では、7月27日にアドバイザリを公開した(CVE-2017-9633、CVE-2017-9647)。影響を受ける自動車として、日産リーフ(2011~2015年)のほか、BMW(2009~2010年製造の一部モデル)、フォード(2016年から提供開始した2Gモデムのアップデートを受けられない古いモデル)などが一覧で挙げられている。 ICS-CERTが公開したアドバイザリ ICS-CERTが公開したアドバイザリ  「これはゼロデイの脆弱性ではなく“2441デイ”の脆弱性だ」(マイケル氏)。前述したとおり、このチップに潜在する脆弱性は、スマートフォン業界ではすでに何年も前から知られていたものだ。そうした知識が、自動車の市場にはうまく伝わっていなかったことになる。  実際のところ、他市場で指摘、公開された脆弱性をすべて追うことは難しいだろう。それに自動車の場合、スマートフォンと比べて設計から開発、販売までの期間が長く、実装されるコンポーネントも最新のものではない。致し方ないこととは言えど、5年、10年と買い換えのない自動車は、ファームウェアのアップデートなどの適切な処置ができなければ、リスクを抱えたまま公道を走ることになる。  また今回のように、メーカーや車種は異なっても、同じサプライヤー製のコンポーネントを搭載していれば同じ脆弱性を持つという事態がありうる。その点も、IoT時代には注意しなければならない事象だろう。 マーケットセグメントが異なると、共通コンポーネントの脆弱性に気づきにくいという課題がある マーケットセグメントが異なると、共通コンポーネントの脆弱性に気づきにくいという課題がある  自動車のセキュリティに注目が集まり始めたのは、ここ数年の話だ。今後もこうした報告がさまざまな自動車、あるいはIoT製品から出てくることは間違いない。  三氏による報告に対して、Nissan North Americaはすぐにサプライヤーや他の製造業者に報告、またInfineonを買収したIntelのPSIRTはOEM業者に通達、加えてICS-CERTやAuto-ISAC(自動車業界のセキュリティ情報共有組織)もアドバイザリを公開するなど、速やかに対応してくれたと三氏は感謝する。  「(IoTなどの)製品開発している方は、実装コンポーネントについて他市場でぜい弱性が指摘されているかどうか、願わくば確認してほしい」(マイケル氏) ■関連サイト DEF CON 25 講演資料 ICS-CERTが公開したアドバイザリ(ICSA-17-208-01)

解体工場の廃車を素材に“DIYカーハッキング”、脆弱性を見つける

解体工場の廃車を素材に“DIYカーハッキング”、脆弱性を見つける
© KADOKAWA CORPORATION 提供

ザテレビジョンの関連リンク

ザテレビジョン
ザテレビジョン
image beaconimage beaconimage beacon