ミラー氏とヴァラセック氏は、Black Hat USA 2016のセッションで、2015年に続いてジープ・チェロキーの新たな脆弱性を指摘する発表を行った。
2015年に両氏が指摘したのは、Sprint(スプリント)の回線から車載情報機器「Uconnect」経由で、CANの通信メッセージに悪意あるデータをインジェクションすることにより、車両本体の遠隔操作を可能にするというものだ。先述したリコールによって、既にこの攻撃経路をふさぐ修正パッチが提供されている。
これに対し2016年に発表した脆弱性では、リモートからの制御はできない。自動車を整備する際に用いる診断用の「ODB2」コネクタ経由で、CANバスに直接接続することによって初めて悪用が可能になるタイプの問題だ。
ただしこの脆弱性を用いれば、走行中にセーフガードをかいくぐって整備モードに移行した上で、さまざまなコマンドをECUに送り込み、ステアリングやブレーキ、アクセルなどの操作が可能になる。2015年に発表したリモートでの制御は、セーフガードが働かない時速5マイル以下の低速でなければ実行できなかった。今回は、このセーフガードを無効化して、通常速度での走行中であっても自動車が操作される恐れがある点が大きく異なる。
もちろん、実行するにはかなりの解析スキルと労力が必要だ。この問題は、ECUのファームウェアをリバースエンジニアリングして解析し、もともと実装されていたチェックサムを回避した上で、ECUのリプログラムを実現することによって再現される。両氏らは、制御に成功するまで総当たり式で試行錯誤し、かなりの時間を費やしたという。
これに対してFCAは「自動車をリモートから操作する新しい方法は指摘されていない」とコメントしているという。また、この問題を悪用するには高度なスキルが必要であることも指摘している。
だが、Black Hat USA 2016からDEF CON 24に至る一連のイベントでは、他の研究者が、OBD2コネクタを介して、ECUバスの情報を解析できるツールを開発し、脆弱性の有無を検証できることを示している。こうしたツールを利用すれば、プロトコルを解析し、MITM(中間者)攻撃の可能性も検証可能だ。
ヴァラセック氏はセッションの中で、「攻撃やインジェクションはあり得ると考えた上で緩和策を検討する必要がある」と指摘。単純な暗号化だけでも問題は解決できないとした。そして、何らかのインジェクションを検知し、防御するモジュール(IDS:不正侵入検知システムやIPS:不正侵入予防システム)の実装、チェックサムだけでは検証できないソフトウェアの改ざんを見つけ出すためのコードサイニングといったテクノロジー――多くのITシステムで広く利用されている――を、自動車のシステムにおいても取り入れてく必要があるし、何よりより高い回復力を備えたソフトウェアが必要だと述べ、講演を締めくくっている。
Copyright © ITmedia, Inc. All Rights Reserved.