自動車業界を震撼させる！？ コネクテッド カーに迫るハッカーの魔の手

総務省も推奨するコネクテッド・カーとは

コネクテッド・カーはICT端末としての機能を有する自動車のことを指し、車両の状態や周囲の道路状況などの様々なデータをセンサーにより取得し、ネットワークを介して集積・分析。利用者一人一人の安全性や利便性を高め効率の良い運転を導くための情報を提供してくれるということで、多くの注目を集めています。

今まではカーナビやETC車載器などの通信機器が主流でしたが、最近ではGPSから収集される位置や速度情報のプローブデータ、車間距離センサ、ドライバーのモニタリングセンサ、ステアリング舵角センサ、スピードセンサというような膨大なデータを利用して、事故が発生した際に自動的に緊急通報を行うシステムや、走行実績に応じて保険料が変動するテレマティクス保険、盗難時に車両の位置を追跡するシステム等が実用化されています。

具体的なサービスとしては、Appleの「CarPlay」やGoogleの「Android Auto」、トヨタ自動車が提供する独自のテレマティクスサービス「T-Connect」などが挙げられ、さらにはスマートフォンの普及拡大による代替化も進んでいます。

富士経済によると、2014年のコネクテッドカーの世界市場は1,300万台以上。そして2025年には、新車のコネクテッド・カーと既存車のコネクテッド化を合わせ、6,500万台を超えるとも予測されています。

しかし、普及と同時にハッカーによる遠隔操作でコネクテッド・カーにアクセスされ、操縦を乗っ取られる可能性があることが発覚しました。実はコネクテッド・カーによるセキュリティの問題は2010年から存在しており、同年、ワシントン大学とカリフォルニア大学の研究で、乗り物の操縦を司るシステムは外から侵害することができるということが証明されています。現在、世界では1億1,200万台もの自動車が世界でネットに繋がっており、これらコネクテッド・カーにおけるセキュリティ侵害に対抗するようなソフトウェアの開発を試みている自動車メーカーも多くいます。

アメリカ政府もこの問題を真剣に受け止め、政府の責任局は昨年の4月、交通部門に今後の方針の決定とコネクテッド・カーのサイバー攻撃に対する何らかの対策を決めるよう推奨する報告書を公開しました。コネクテッド・カーのセキュリティが侵されるという真実は、車の操縦機能からナビシステム、それ以外の多くの機能まで世界中のどこからでもハッカーから操作されてしまうということなのです。

ハッキングの見えない脅威

これは、WIREDの記者アンディ・グリーンバーグ氏が最新型のジープを運転しているところに、有名な自動車ハッカーのチャーリー・ミラー氏とクリス・ヴァラセク氏が遠隔操作でハッキングを仕掛けている動画です。見ている方がハッとしてしまうような思いがけないワイパーの動き、想定外のブレーキやハンドルさばき・・。動画が進むにつれて、あなたは大きな衝撃を受けることでしょう。

なぜこのようなことが可能なのでしょうか。実は車体の個々のパーツ同士は直接接続されておらず、ある制御要素と他の制御要素との間に数多くのコンピューターシステムが内蔵されていており、ハッカーに狙われやすい環境になっているのです。これは、自動駐車アシスト機能などの車載スマート機能や、診断モードの脆弱性を利用しハッキングされたものでした。

チャーリー・ミラー氏とクリス・ヴァラセク氏は2015年7月21日にも、ジープ・チェロキーの空調やオーディオ、エンジンを数マイル離れた先からノートパソコンで制御し、その内容について公開しています。

Wi-Fi接続経由での乗っ取りは、自動車とマルチメディアシステム（ヘッドユニット）を初めて起動した時間を基にWi-Fiパスワードが自動生成されていたため、それほど難しいことではなかったと言っています。数字による組み合わせは無数であるとされているものの、ターゲットの車の製造年月や製造時刻がわかれば組み合わせの数がある程度絞られます。

熟練のハッカーにとって、パスワードを突き止めることはそう困難なことではないのかもしれません。また、この実験では車に搭載されているGPSナビゲーションのシステムを利用し、車を追跡できることもわかりました。

ここ最近でもっともショッキングだったのは、テスラの「モデルS」が別のチームによってハッキングされたというニュースではないでしょうか。この車種は、最速3秒で時速100kmまで加速することができる、4ドア5人乗りの高級セダン電気自動車(EV)です。

モバイルセキュリティ企業Lookoutの共同創立者であり最高技術責任者のケビン・マハフィ氏と、同氏のパートナーであるセキュリティリサーチャー、マーク・ロジャース氏は、ハッキングによってモデルSのシステムに6件の脆弱性を発見し、数週間かけてテスラ社と修正プログラムを作成しています。

テスラ社では2016年5月に米フロリダ州で、「モデルS」の所有者が自動運転機能「オートパイロット」で走行中に大型トレーラーと激突して死亡するという事故が、また7月にも横転事故が発生。サイバーセキュリティの安全性について注目される中、現在のCAN通信に対する脆弱性が指摘され、CAN通信に入る前にデータの有効性を判断するゲートウエイを設けることや、暗号化することなどが提示されました。

コネクテッドー・カーとサイバーセキュリティの強化

トヨタはそこでとある自動車メーカーがこの脅威に立ち向かうべく一つ高いレベルのセキュリティを開発しています。それがトヨタです。トヨタはかつて最も頻繁にハッキングされるコネクテッド・カーとしてトップ５に入っていました。

トヨタの自動車・カムリに搭載されている、アプリ、ゲーム、音楽、インターネット接続を包括するEntuneというパッケージは、高いセキュリティの暗号化と定期的なアップデートを提供しています。

コネクテッド・カーのシステム自体は、常にネットというオープンな状態にあります。そのため、多くの政府代理機関やセキュリティを取り扱う大手企業は、コネクテッド・カーのシステムへのハッキングを防ぐために共通したセキュリティ基準を設けるべきだと推奨。そこでDOTは新たなサイバーセキュリティ規定を作り、自動車におけるサイバーセキュリティ対策や、コンピューターのウィルス検知システムプログラムのような具体的な対策を述べ公開しました。

まず、ネットワークに繋がっている時は「常時」検知モードが機能していること。2つ目に、対応と復旧の選択は迅速に行うこと。ただこの対策が実際にどのような効果を及ぼすかはまだこれからといったところのようです。

物理的にハッカーからから身を守るために

2016年の1月から活動をしている自動車-情報共有分析センター（Auto-ISAC）は自動車供給団体と大手自動車メーカーの代表が集まった組織。彼らはコネクテッド・カーへのサイバー攻撃の記録とその見取り図を作っており、それらのサイバー攻撃がどのようにして対処されたのかを共有しています。そして2016年7月には、自動車メーカーがサイバー攻撃を判別し対処する上で最も有効とされる方法について書かれた報告書も公開しました。

米国運輸省道路交通安全局（NHTSA）もこの文書とアイディアを支持していますが、各代理機関全体としては、自動車のサイバー攻撃のリスクを恒久的にゼロにしていくことは現状ではほぼ非現実的であると言っています。

IT システム上で問題が発生した場合、インストールやアップデート、設定変更を迅速に行うことで 解決することができますが、車の場合はFMVSS(米国連邦政府自動車安全基準)の認定を取 得するプロセスに何年もかかります。

ハッカーからの脅威に立ち向かうためには、自動車メーカーと、IT や OT(オペレーションテクノロジー)のセキュリティに携わる企業の双方がノウハウを掛け合わせセキュリティ問題を解決していかなくてはなりません。

あらゆるものがインターネットに接続できる時代。またコネクテッドになったモノ同士も相互につながることが可能になる時代が到来しているわけですが、それはつまり、それらが一網打尽的にハックされてしまう可能性も示唆しているということです。今後はその領域が、セキュリティを担保する側と破ろうとする側（ハッカー）の主戦場となっていきそうですね。