テンセントのハッキングチームがトヨタ車の脆弱性を報告、トヨタは既に対策済み：車載セキュリティ

[齊藤由希，MONOist]

　トヨタ自動車は2020年3月30日、既に販売された一部のレクサス車とトヨタ車について社外から脆弱性の指摘があり、対策を施したことを発表した。

　サイバーセキュリティを研究するTencent Keen Security Labによるレポートを受けてトヨタ自動車側でも再現評価を実施。一部車種のマルチメディア製品のBluetooth通信を介して、一部の機能を遠隔操作できることを確認した。この脆弱性を利用した走る・曲がる・止まるの制御に関する遠隔操作はできないという。また、この脆弱性を突いた遠隔操作には極めて高度なプログラムや、対象車両と近い距離を保ち続けることが必要となることから、実現性が限定的で困難だとしている。

　現在販売中の車両にはトヨタ自動車側でこの脆弱性に対する対策を既に実施しており、一部の車種についてはソフトウェアのアップデートで対応できる。日本で販売する車両には、この脆弱性は含まれていない。Tencent Keen Security Labはトヨタ自動車の対策を受けて当面は簡単な情報開示にとどめ、2021年にも技術的なレポートの全文を公開する。

　Tencent Keen Security Labがハッキング調査を行ったのは2017年モデルのレクサスNX300だ。同モデルのインフォテインメントシステムに搭載されたBluetoothや車両診断機能が、AVNユニットやCANネットワーク、関連ECU（電子制御ユニット）を危険にさらす可能性があることを発見した。この脆弱性を利用して、ユーザーの操作なしにAVNユニットを無線で操作し、AVNユニットからCANネットワークに悪意のあるCANメッセージを送り、車両に予期せぬ物理的な動作をさせることが可能となった。

2017年モデルのレクサスNX300のシステム概要図（クリックして拡大） 出典：テンセント

　調査で使用したレクサスNX300のインフォテインメントシステムのハードウェア構成についても公表した。テレマティクスサービスのために3G通信を提供するDCM（データコミュニケーションモジュール）はQualcommのMDM6600ベースバンドチップを採用。このDCMは、CANバスを介してエンジンやドアなどのECUの状態を照会し、その結果をバックエンドにアップロードすることができる。

　レクサスNX300のAVNユニットは、ディスプレイコントロールユニット（DCU）とマルチメディアエクステンションユニット（MEU）の2つで構成されており、DCUのメインボードにWi-FiやBluetooth、USBインタフェースなど一般的に攻撃されやすい機能が集まっている。DCUはCANメッセージを介して間接的に他のECUとやり取りすることができる。DCUとMEUはメッセージ通信用のUSBイーサネットケーブルで接続されている。

　レクサスNX300を使ったハッキングの実験では、Linuxで動作するDCUのシステム内で、root権限でリモートコードが実行された。1つ目の脆弱性はヒープメモリの読み出し、2つ目はヒープバッファーのオーバーフローによるものだった。どちらの脆弱性も、ペアリング前にBluetooth接続を作成する過程にあるため、近接した場所からタッチレス、インタラクションレスで利用することが可能だった。

　また、DCUが携帯電話機とペアリングしたことがあれば、「Ubertooth One」というデバイスを用いてBluetooth MACアドレスを取得することもできた。さらに、DCUシステムはセキュアブートをサポートしていないため、カスタムブートアニメーションを通常のように置き換えるといったシステム全体を操作することもできた。しかし、CANメッセージフィルタリング機構が実装されているため、DCUシステムをコントロールした後で任意のCANメッセージを送信することは簡単ではないことが分かった。

テンセントが実施したハッキングの概要（クリックして拡大） 出典：テンセント