三菱自動車のアウトランダーPHEVでリモートコントロール機能にセキュリティ上の問題 10
IoTが普及するとこういう問題も増えそう 部門より
三菱自動車のハイブリッド車、アウトランダーPHEVのリモートコントロール機能で見つかったセキュリティ上の深刻な問題が公表されている(Pen Test Partnersのブログ記事、BBC News、Register)。
モバイルアプリによるリモートコントロール機能を備える自動車の多くはモバイル通信モジュールを搭載し、Webサービスを経由して操作を実行する。一方、アウトランダーPHEVは無線LANアクセスポイントを搭載しており、スマートフォンと直接接続して操作を行う仕組みになっている。無線LAN接続方式は通信費やWebホスティングの費用がかからず、開発費用も抑えられるが、アウトランダーPHEVの場合はセキュリティ面があまり考慮されていないのだという。
アウトランダーPHEVでは、無線LANアクセスポイントのSSIDとパスワードがキーレスオペレーションキーに添付された登録情報カードに記載されている。SSIDの変更は可能だが、パスワードを変更することはできないそうだ。問題を発見したPen Test Partnersによれば、パスワードは単純で非常に短いため、GPUを使ったクラックツールを用いて4日以内で解読に成功したという。
SSIDは「REMOTEnnaaaa」(nは数字、aは小文字の英字)となっており、WiGLEのような無線ネットワークマップを利用すれば場所を簡単に特定できる。モバイルデバイスの認証はアクセスポイントへの接続だけで完了し、あとはメッセージを送信して操作を実行可能となる。操作はライトやエアコンのオン/オフ、充電時刻の変更といったもののほか、盗難防止アラームの無効化も可能だったとのこと。
Pen Test Partnersによれば、この問題に対する短期的な対応としては、すべてのモバイルデバイスの登録を解除することだ。これにより、Wi-Fiモジュールはオフになり、キーレスオペレーションキーのLockとUnlockを交互に10回押さなければオンにならない。ただし、モバイルアプリからのリモートコントロール機能は利用できなくなる。中期的な対応としては無線LANモジュールのファームウェア更新、長期的な対応としては無線LAN方式をやめることが提案されている。
当初、Pen Test Partnersから問題を報告された三菱自動車は、あまり興味を示さなかったが、BBCに連絡して報道してもらったところ、問題を深刻に受け止めるようになったという。現在、三菱自動車では上述の中期的な対応を準備しているとのことで、オーナーには短期的な対応の適用を勧めているとのことだ。
どうしようもない (スコア:1)
・三菱自動車に報告→自動車をハッキングしたとして告発逮捕される
・テレビ局に連絡→広告を失うことがこわくて無視
でどうしようもないな。
Re: (スコア:0)
・本格的にやばい状態→舛添のニュース流しまくりで国民の目をそらす
Re: (スコア:0)
三菱自動車ぐらいじゃ日本のマス●ミさんもやっちゃうんじゃないですかねえ。
Re: (スコア:0)
日本の場合、IPAに報告をするのが良さそうですが
# 実効性は知らない
東芝じゃないよ (スコア:0)
走る、走る無線LANアクセスポイント
いやはや妙な時代になったもんだ
Re:謎のタレコミ (オフトピック) (スコア:1)
headlessさんのは時間指定にしてるんじゃなかったっけ?
Re:謎のタレコミ (オフトピック) (スコア:1)
いや、見た覚えあるよと思ったんですが、
http://srad.jp/index2.pl?view=recent&color=violet [srad.jp]
- 実際には black で見ているが今からだとさかのぼるの面倒(またはもう届かないかも)なのでviolet指定
これでなら見えてました
編集者であれば最初から指定できる、であってもおかしくないですが、+/- する機能もあるわけで……
Re: (スコア:0)
そのタレコミのページに
>この議論は、「 ログインユーザだけ.」として作成されている。
とあるのでその影響でしょうかね。
しかしタレコミ画面にはそういう設定が見当たりません。
どうやるんだろう。
Re: (スコア:0)
止まれ!タレコミ警察だ!