英国のセキュリティー専門家チームが2018年、車載IT技術の評価を目的に行ったサイバー攻撃実験で、後付けのアラーム装置を手掛かりに遠隔操作で車の制御システムに侵入することに成功した。将来の車のセキュリティーを確実にするには、ティア2やアフターマーケット・メーカーを含む部品業界全体が課題の克服に取り組む必要がありそうだ。

■供給網全体の問題

オートモーティブ・ニュースによると、自動車メーカーの目が届かないところで作られた部品を通して車に侵入できたことは、業界にサイバーセキュリティの新しい問題を突きつけている。自動車用の後付け電子機器市場は、種類、売り上げとも拡大する一方であるにもかかわらずほとんど規制されていない。ハッキング実験を行った英ペン・テスト・パートナーズ（Pen Test Partners）のセキュリティ研究者ケン・マンロー氏は「弱点はほかにもたくさんある。自動車メーカーはセキュリティ意識を相当に高めつつあるが、市場にはすでに多くの古い製品がある。心配なのは、メーカーよりもサプライヤーやアフターマーケットの方だ」と話した。

■米露の商品を使用

ペン・テストのチームは、カリフォルニア州の企業ディレクテッド・エレクトロニクス（Directed Electronics）とロシア企業パンドラ・カー・アラーム・システムズ（Pandora Car Alarm Systems）の保安システムを使って車のハッキングに成功した。ディレクテッドの商品には「バイパー（Viper）」ブランドのアラームなどがあり、米国でも売られている。

ペン・テストは通常、セキュリティー機能の評価を希望する会社へのサービスとして「侵入テスト（penetration testing）を呼ぶ実験を行なっているが、今回のハッキング実験は客のためではなく、単なる試みとして行ったという。ディレクテッドのマーケティング担当責任者クリス・ピアソン氏は「ペン・テストのような勤勉なグループがこの問題への注意を促してくれたことに感謝する。また、問題への対応がすぐに行われたことを喜んでいる」と述べた。同社によると、問題はすぐに修正され、弱点が存在した期間中に顧客データが流出したりアカウントが不正アクセスを受けたりすることはなかったという。

■走行中のエンジン停止も可能

ペン・テストの実験は、研究チームが購入したドアロックの開閉、冷暖房の遠隔操作などができるアラーム装置をさまざまな車種に装備し、管理された環境の中で行われた。結果は車種やアラーム装置のブランドによって違ったが、いったんシステムに侵入すると、車の現在地・車種・オーナーの特定やアラーム機能の無効化、ドアロックの解錠ができるようになり、搭乗者の会話の盗聴や、場合によっては走行中の車のエンジンを停止させることも可能になったという。

イスラエルの自動車サイバーセキュリティ会社アルグス（Argus Cyber Security）のモニーク・ランス・マーケティング責任者はペン・テストの実験について、「通信機能の拡大で自動車メーカーのリスクがますます高まっていることを示す一例であり、全メーカーへの警告」と受け止めている。 (U.S. Frontline News, Inc.社提供)