私たちは数十億台ものデバイスとの相互接続の時代に突入しています。これにはこれまで接続することのなかった自動車も含まれます。自動車の設計には、コンピュータ・セキュリティの概念がありませんでした。そして、これまでの数十年はそれで問題はありませんでした。
しかし今では、「ハッキング不能」な 1997年型ホンダシビックに OBD-II デバイスを取り付けるなどして脆弱性が生み出されています。それと同時に、Wi-Fi や Blouetooth 機能を搭載した新しいモデルが、暗号化されていないデータを自動車会社のクラウドサーバに送信している時代でもあります。
あらゆるものが接続された世界にセキュリティを考慮しない車両を投入すると厄介なことになります。さして重要ではない機能(例えば Bluetooth)と重要な機能(例えばブレーキ)とを CAN バスで繋げた車を創り出してしまったケースが問題となっています。私個人としては、高速道路の真ん中で遠隔操作により止められてしまうような車には乗りたくありません。
フォルクスワーゲンは最近 2種類の脆弱性を暴露されています。攻撃を受ければ、18年前に開発され、新しい車でもいまだに使用されているセキュリティアルゴリズムが悪用されます。
これらをはじめとする脆弱性の発見を受けて、コンピュータ・セキュリティと公衆の安全に着目する組織「I Am The Cavalry」は、自動車業界をもっと安全な状態に導くための支援に乗り出しました。
Joshua Corman 氏が設立した「I Am The Cavalry」は、Five Star Automotive Cyber Safety Programを発表しました。この項目の 1つ 1つは、自動車に内在する脆弱性の悪用を防ぐために注目する領域を表しています。
- 安全な仕様 – 自動車メーカーはソフトウェアの開発ライフサイクルにおいてセキュリティを考慮していますか?
- サードパーティの協力 – メーカーは善意のセキュリティの研究者と協力体制をとっていますか?
- エビデンスの収集 - 車両では安全性に関する調査を促進するために十分な情報が収集されていますか?
- セキュリティアップデート - 車両にはソフトウェアおよびセキュリティフィックスのアップデートを安全かつ簡単に行う方法がとられていますか?
- セグメント化と分離 – 車両の重要なシステムと重要ではない機能は切り離されていますか?
これらの 5項目およびフォルクスワーゲンの脆弱性を再考察すると、サードパーティとの協力体制が特に重要であることがわかります。自動車メーカーは、各々のユースケースをテストすることはできません。しかし、セキュリティ研究者ならこの穴を埋めることができます。
残念なことに、皆が同じように考えるわけではありません。フォルクスワーゲンの反応は、セキュリティ上の欠陥を修正する代わりに、研究者に法的訴えを起こし、研究結果の公表を遅らせようとしました。
テスラ、クライスラー、およびフォードは、車両に内在する脆弱性の発見者に対する報奨金制度を開始しました。他の自動車メーカーも、もっとセキュリティを重視した理念を採用してくれることを望むばかりです。
そうでなければ、Windows XP と同じくらいに危険な、使い慣れたツールが使われるでしょう。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
