パスワードを忘れた? アカウント作成
12699980 story
交通

電気自動車「リーフ」の専用アプリに脆弱性、他人の車が遠隔操作可能に 32

ストーリー by hylom
実現して欲しくなかったSFっぽい話 部門より

日産自動車の電気自動車「リーフ」には、専用アプリを使って自動車のバッテリ情報を確認したり、エアコンを操作する機能がある(リーフの「EV-ITリモート操作」ページ)。この機能に脆弱性があり、他人のリーフを遠隔から操作したり、運転履歴を取得することができることが分かったそうだ(ITmedia)。

遠隔から操作できるのは「EV-ITリモート操作」で操作できる対象のエアコンやファンのみで、自動車を勝手に動かしたり運転を妨害するといったことはできないようだ。

すでに日産側はこの問題を把握しており、現在アプリの該当機能を停止させているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ciina (26410) on 2016年02月26日 18時31分 (#2971351) 日記

    遠隔操作されたファンで巻き取ったテグスを発見した体は少年の探偵は

  • by parameter (26968) on 2016年03月01日 8時26分 (#2972722)

    やっちゃったNISSAN

  • by Anonymous Coward on 2016年02月26日 19時04分 (#2971365)

    怪談の元ネタになりそうな。
    ナビまで操作できたらもっと怖いのですけど。

  • by Anonymous Coward on 2016年02月26日 19時55分 (#2971395)

    遠隔から操作できるのは「EV-ITリモート操作」で操作できる対象のエアコンやファンのみで、

    出勤後に空調を全力で動作させて電気代をかさませる嫌がらせを先に実装したのは自動車だった。
    家電業界もっとがんばれ。

    • by Anonymous Coward

      「車両識別番号(VIN)の下5ケタさえ分かれば」なので、脆弱性ではあるけど悪用は難しそう。

      とはいえ、なんとかして嫌いな上司の愛車の車両識別番号を前もって調べておけば、強制的にエアコンを
      動作させてバッテリー切れにして困らせるくらいの嫌がらせはできるってことだな。

      もちろん、その時間帯の自分には完璧なアリバイがあるようにする。
      この脆弱性を知らない人からは不可能犯罪に見えることだろう。

  • by Anonymous Coward on 2016年02月26日 23時48分 (#2971469)

    今回は脆弱性といっても認証に穴があっただけのようだが、不正なデータを送りつけて任意のコードを実行させるような攻撃も近い将来起こり得るものと考えるべきではないかな。そしてデバイスを何かひとつ乗っ取られたら、車内コントローラーネットワークを通じて、より深刻なデバイスまでも操られる可能性について想定しておく必要が無いだろうか。無論、車内ネットワークといってもあらゆるコントローラーが同一のネットワークにフラットに接続されているわけではないが、物理的に切り離されていない限り、踏台となるデバイスがもしあればクラックの手が及び得ることはいうまでもないだろう。

    現在の自動車に搭載された数多のコントローラーは、車内の他のデバイスから悪意をもって攻撃される可能性をどの程度考慮しているだろうか。またこの先、自動車に積まれるコントローラーが増え続け、かつその価格が下がるにつれ、クラックに対する耐性をどの程度維持していけるだろう。

    • by Anonymous Coward on 2016年02月27日 3時27分 (#2971511)

      ・CANは高速バスと低速バスに分かれている
      ・車を動かす上で重要な機能は高速バスでつながっている エアコンだのは低速バス
      ・両方につなげる必要があるのはCANの統合ユニットだけ
      ・統合ユニット自体に穴がなければ低速バスから高速バスへはちょっかい出せない
      ・統合ユニットのマイコンを、物理的にRAM上のコードはOBDIIコネクタ経由の書き換え時以外は実行しちゃダメな設定にしておけば、どう頑張っても遠隔操作では統合ユニットのコードの書き換えは出来ない

      ということで、統合ユニットだけ真面目に作ってあれば大丈夫かと
      統合ユニット自体は十分枯れた製品です

      親コメント
      • by Anonymous Coward

        とりあえずチェロキーがどのようにハッキングされたか、レポートが公開されてるから読んだほうがいい。
        直接CANにアクセスできないようになっているはずのヘッドユニットをハッキングしてCANにアクセスできる方法をやつらは見つけるんだよ。
        「統合ユニット自体に穴がなければ」って、甘っちょろい前提。

      • by Anonymous Coward

        > ・CANは高速バスと低速バスに分かれている
        低速バスに侵入される前提でセキュリティ組んでなければそんな区別意味ないわ。
        攻撃に必要な攻略対象が一個増えるだけ。
        セキュリティの観点からいけば階層増やして攻撃手数を稼ぐって発想は、
        階層増やして複雑化して脆弱性作りこむリスクのが高いから逆効果だし。

        > ・車を動かす上で重要な機能は高速バスでつながっている エアコンだのは低速バス
        > ・両方につなげる必要があるのはCANの統合ユニットだけ
        > 統合ユニット自体は十分枯れた製品です
        自動運転だの自動ブレーキだのが盛んな今時、重要機能が小さく閉じてるなんてただの幻想。

        > 物理的にRAM上のコードはOBDIIコネクタ経由の書き換え時以外は実行しちゃダメな設定
        ハーバードアーキテクチャとかならフツーは何もせずともRAM上のコードは実行できない。
        が、その場合でも攻撃が成立するときはフツーに成立する。
        それが何故か理解できないのならセキュリティに関してなにか言う資格はないと思う。

    • by Anonymous Coward on 2016年02月27日 0時11分 (#2971473)

      いや、VIN の下5桁が判ればとか、連番のID を割り当ててるのに PW が無いとか、認証そのものをしてないよね。

      それに、スマホアプリから使えないようにしたといっても、

      >なお、専用サイト(N-Link OWNERS、日産ゼロ・エミッションサイト)からのご利用は可能です。

      という状況ですよ。

      親コメント
      • by Anonymous Coward

        認証が無いって無茶苦茶ですね。

    • by Anonymous Coward

      物理的に切り離されていない限り、

      そこでゴルゴが登場して、配線と配線がクロスしているところに銃弾を撃ち込んで結線!
      とは言わないけど、物理的にだけじゃなく、ソフト的にも相互に乗り入れ不可にしたほうがいいかも(プロトコル読み替え器とか付けられたら一緒か…?)。

      # ごめん。ただの電線じゃなくてプロトコルのある通信線だろうから単純に結線すればいいわけじゃないのはわかってるけどさ。
      # ゴルゴにあるのよ。確か、ミサイル基地の2000年問題のネタでこういうのが。

      • by Anonymous Coward

        「あらゆるコントローラーが同一のネットワークにフラットに接続されているわけではない」
        の時点でプロトコルはフツーに分断されているというか、
        フラットなネットワークでも各々吐ける/読めるプロトコルに互換がある必要はないよね。
        各々のプロトコルを識別するレイヤさえ同じなら、それより上のレイヤは互換性なんて要らない。

  • by Anonymous Coward on 2016年02月27日 1時43分 (#2971501)

    これってSIM入りスマホ類がクルマに埋め込まれてるってるってことかいな
    その時点で怖いんだけど

    • by Anonymous Coward

      Leafやそれ以外でも日産の純正カーナビのいつでもLink [nissan.co.jp]対応ナビはその通りで通信アダプタが有ります。
      FOMA回線を使う通信アダプタが車に内蔵されていて、運転履歴取得や目的地設定がスマホやPCから可能です。
      とはいえ、インターネット直結なのかは少し疑問ですが。

      # Leafはデカいバッテリーが入ってるから待ち受けしても大丈夫なんですね。でも通信無料なのは5年だけかぁ……

  • by Anonymous Coward on 2016年02月27日 19時17分 (#2971796)

    エアコン、特に暖房は猛烈に電気を食う。
    悪意ある操作で想定外に暖房を掛けられると電池切れで立ち往生する可能性がある。

    i-MiEVだけど、うちの会社では、この時期コートを着て使ってます。

    • by Anonymous Coward

      そういえば「冬には膝掛けを使うとリーフの航続距離が伸びて良い」っていうレビューもありました。
      エンジンが熱くならないのってデメリットにもなるんですね。

      • by Anonymous Coward

        見方を変えれば冬場の暖房を賄って余りあるほど
        エネルギーを無駄に棄てているのが内燃機関というやつです。

        • by Anonymous Coward

          まぁ、結局は火力か原子力で作った電気を使ってるわけで、エネルギーを無駄に捨ててるのはどうしようもない。
          その意味では、各家庭のコジェネで発電した電力を融通しあう形式が一番効率がいいんだけどね。
          お湯はある程度ためておく前提で、沸かす時間も協調して分散できればなお良い。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...