車載ネットワークのセキュリティ、まだ脆弱：ジープのハッキングから1年（1/2 ページ）

ジープのハッキング事件から1年

　自動車セキュリティの研究者であるCharlie Miller氏とChris Valasek氏は、2016年7月30日〜8月4日まで米国ネバダ州ラスベガスで開催される会議「Black Hat」に登壇し、CAN（Controller Area Network）に不正メッセージを送信する新たな方法を説明したという。

　現在、Uberの先進技術センター（Advanced Technology Center）に所属する両氏は、自動車のブレーキ、ステアリング、アクセルシステムの制御を物理的に掌握する方法を紹介した。

　2015年に、Fiat Chrysler Automobiles（FCA）の「Jeep Cherokee（ジープ・チェロキー、以下ジープ）」がハッキングされたことは記憶に新しい。FCAは、これによって140万台のリコールに追い込まれた。このハッキングを行ったのがMiller氏とValasek氏だ。両氏は、この事件について“無線でのハッキング”に成功した点に注目している。

「Jeep Cherokee」をハッキングしたCharlie Miller氏（右）とChris Valasek氏 出典：Black Hat

　両氏は2015年、2014年モデルのジープ・チェロキーに搭載されたHarman製のヘッドユニットを利用してWi-Fiのホットスポットにし、そこから自動車のネットワークに侵入する実験を行った。その後彼らは、Sprintのセルラーネットワークを通じて、ジープをハッキングしたのである。

ノートPCをCANに直接、接続？

　2016年になると、Miller氏とValasek氏は自動車のCANバスに不正メッセージを送信する方法に目を向けるようになった。その方法により、ジープのステアリング操作を乗っ取り、アクセルを全開にするという攻撃が可能になるという。

　Miller氏とValasek氏は2016年、自動車の最重要部に無線でハッキングすることはできなかった（ジープのセキュリティ機能が強化された）が、ダッシュボードの下に置いたポートを介して、ノートPCをジープのCANに直接つなぐことに成功した。両氏はこのハッキングで彼らがパッチを適用したジープを用いたことを確認した。

　Black Hatでの両名による発表に先立ち、WiredはMiller氏とValasek氏が最近行ったジープへのハッキング実験の詳細を伝える記事を初めて掲載した。

　FCAは、Miller氏とValesek氏によるハッキングの実験について問われ、両氏が行ったような攻撃を遠隔で行うことはできないはずだと強く主張した。

　FCAは報道発表資料の中で、「Miller氏とValasek氏による実験は、コンピュータをOBD（OnBoard Diagnosis）ポートに物理的に接続した上で、自動車内に置くことが前提となる。両氏の創造性は称賛するが、彼らは2014年モデルのジープや、FCAの米国仕様のクルマを遠隔地から不正にアクセスする方法を1つも特定していないとみられる」と強調した。

　またChryslerは、「自動車ソフトウェアが最新バージョンであったとしたら、両氏の試みがUSBポートを介して成功したとは到底思えない」と付け加えた。

　Miller氏とValasek氏によるハッキング実験が無線で行われたのか、それともOBD-IIポートを介して行われたのかという議論は的外れだ。Chryslerは2015年、ジープ向けにパッチを作成したが、それで自動車への無線攻撃の道を全て閉ざしたことにはならない。