自動車のサイバーセキュリティと聞いて何を想像するだろうか。ハッカーが遠隔操作で猛スピードで走る車のブレーキを突然コントロールできないようにする ── そんな映画のようなシーンを思い浮かべる人は多い。だが、セキュリティ研究者たちが本当に警戒しているのは、もっと地味でもっと身近な場所だ。それは、毎日 EV オーナーが利用する充電器である。
それは、100年に一度の変革期を迎えた自動車業界が直面する、新しい戦場の始まりかもしれない。
● 自動車業界は盗難対策と SBOM 対応で忙しい?
多くの消費者は「自動車サイバーセキュリティ」という単語からイメージするのは、ハッカーが自動車の制御を奪って遠隔操作するといったおおげさな攻撃ではないだろうか。だが、セキュリティ業界からすると、それはあくまでハッカーの好奇心の対象であり研究対象のひとつでしかない。
DEF CON や Black Hat USA での攻撃デモの例を見るまでもなく、それは不可能ではないが犯罪者にとって金銭的メリットがないので、いまのところ組織的な犯罪者にとってはスコープ外といってよい。多くの攻撃は、車両に直接アクセスする必要があり、純粋にインターネット経由で悪意のある操作やしかけをするのは、まだ簡単ではないことも専門家は知っている。つまり、発生時のインパクトはとてつもなく大きいが、現実的な攻撃リスクは低いといえる。
自動車業界側も同様で、直近の問題はサイバーよりも物理的盗難対策だ。イモビカッター、CANインベーダー、ゲームボーイやフリッパーゼロ対策である。続く課題は、ADAS(高度運転支援システム)の進化やOTA(Over the Air:車両ファームウェア・ソフトウェアのネットワーク経由のアップデート)に対応することだ。そのため法規制(UN-R155、UN-R156)対応、コンポーネントやソフトウェアの刷新、およびソフトウェア開発体制へのセキュリティ要件導入に追われている。
SDV とは車両本体を PC やスマートフォンのようなプラットフォームに見立て、実装するアプリや周辺装置(送迎キャビン、キッチンカー、インテリジェントカーゴ、移動コンビニなど)で機能を定義できる車両だ。このコンセプトでは、車体や ECU のオープンアーキテクチャ化が進むとされている。OSS の利用も増え、ソフトウェア依存領域が増える SDV の車両開発では、ECU の共通 API の策定、SBOM も重要なトピックのひとつである。
● 今の安全は将来も安全とは限らない
では、自動車において映画のようなサイバー攻撃は絵空事なので心配する必要はないのか。これはそうでもない。現状、差し迫った危機はないと言えるが、状況は動きつつある。近年の車両は通信モジュールを搭載してクラウド接続することが前提(コネクテッドカー)となっている。ドアロックなど車両の一部の制御がアプリでできるモデルも増えている。
OTA によって車両の機能をアップデートできる車両も増えている。シートヒーターや自動運転(支援)機能など、車両ハードウェアの機能は出荷時に用意しておいて、オプション支払いやサブスクリプションでアクティベートできる車も存在する。わかりやすい例では、ローンで販売した車両の支払いが滞ったら車両の全機能を無効化して文鎮化するしくみさえ考えられている。なんなら、自動運転機能を使って車両を強制的に販売店に回収させることも可能だ。
現在、有料オプションや隠し機能をアクティベートするハッキングは、主にアンダーグラウンドやマニアの間で行われていることが多い。自分の車両をこれらのチート行為でアップグレードしている。あるいはその方法をダークウェブなどで販売する。このように、自動車へのサイバー攻撃は、すこしずつだが金銭的なメリットを持つようになってきている。アンダーグラウンドの動きは、いずれ表社会にも現れてくるはずだ。
● 可能性があるのは EV 充電器か?
どんな攻撃が顕在化してくるのだろうか。予想は難しいが、車両そのものへの攻撃は急激には増えないはずだ。コネクテッドカーが普及したとしても、物理的な車両の窃盗のほうが確実に金になるからだ。イモビカッターや CANインベーダーのような IT を駆使した手法はもっと高度化してくるだろうが、車両そのものを標的とするため、ネット経由、いわゆるサイバー攻撃の類はその必要性がそれほど高くない。
しかし、車両そのものが個人情報、決済情報を持つようになったり、アプリや各種サービスのプラットフォーム化がもっと進むと話は変わってくる。車もスマートフォンのように攻撃対象としての意味を持つようになるだろう。だが、そこまでにはもう少し時間がかかる。
このように考えると、いますぐにでも起きそうなインシデントは、じつは、EV(電気自動車)の充電器に関するサイバー攻撃(脆弱性攻撃)ではないかと予想できる。
EV の充電器にはカードリーダー、RFID、Wi-Fi、Bluetooth といった通信機能があることが多い。充電の課金処理も可能になっている。スマートフォンと連携する製品もあるので、攻撃者にとってはアタックサーフェスのひとつとなる。
● EV 充電器の攻撃ポイント
あらためて説明すると EV は、文字通り充電式の二次電池で駆動する自動車のこと。各国で普及が進む EV は、ガソリンスタンドの代わりに車庫や駐車場、路上に充電器が必要となる。
充電器には、車庫や駐車場に設置する普通充電器(AC充電器)と、高速道路や幹線道路上に設置する急速充電器(DC充電器:チャージングステーション)の 2 種類がある。普通充電器は一般的な AC コンセントを利用するので、自宅に設置したものなら、他の電気製品と同様に使った(充電した)分の電力で料金が発生する。充電プロバイダー(CPO:Charging Point Operator)は、駐車場やショッピングモール、充電ステーションに普通充電器や急速充電器を設置してビジネスを行う。ただのコンセントではなく、充電時間や使用した電力量によって課金処理ができる端末機能を持つ。課金、決済は、アプリ・会員カード・クレジットカードによって行う。
EV 充電器は、個人情報、決済処理を扱う IoT 機器とみなすことができる。サイバー犯罪者のターゲットとなる要素を備えていることになる。
EV 充電器は、充電器メーカーなので自動車メーカーには関係ないのではないか。そう思うかもしれないが、EV、SDV、ロボタクシーのような新しい車両は、すでに既存の自動車産業(サプライチェーン)の範囲で語ることはできなくなっている。とくに充電は、EV の性能や付加価値に直結する要因として、テスラ、メルセデス、VWなどが積極的に充電インフラ整備に投資している。
● ハッキングコンテストで発見される自動車関連の脆弱性
2024 年 2 月に日本で「Pwn2Own Automotive」が開催された。Pwn2Own は Web ブラウザや OS にはじまり、スマホや組み込み機器、IoT 機器等の CTF・ハッキングコンテストだ。主催者である Zero Day Initiative が、その重要性を鑑み、Pwn2Own の中でも車載 OS、IVI(In-Vehicle Infotainment:カーナビや車載アプリプラットフォーム)、EV 充電器のコンテストとして開催されたものである。なお、このコンテストはテスラもスポンサーになっており、テスラ車の脆弱性には多額の懸賞金がかけられた。
Pwn2Own Automotive では、実際に複数のチームが EV 充電器の脆弱性に挑戦して賞金を得ていた。そのひとつが Computest Sector 7 だ(写真一枚目:Computest Sector 7 カレダ・ナッサー氏)。Computest Sector 7 は、EV 充電器・課金システムに目をつけ、集中的に調査研究(=ハッキング)を行っている Pwn2Own の常連チーム。Pwn2Own Automotive では EV 充電器をターゲットとして賞金を稼ぎつつ、 Black Hat USA などのセキュリティカンファレンスで脆弱性情報などの論文発表、情報共有で社会に還元しているという形だ。
Black Hat USA 2024 では、2024 年 2 月の Pwn2Own Automotive 競技で得られた知見、脆弱性をベースに発表が行われた。彼らの論文発表を(「Low Energy to High Energy : Hacking Nearby EV-Chargers Over Bluetooth」 Black Hat USA 2024, Thijs Alkemade: Security Researcher, Computest Sector 7, Khaled Nassar: Security Researcher, Computest Sector 7, Daan Keuper: Head of Security Research)聴講取材した。
Black Hat の発表で脆弱性の詳細が明らかになったのは「JuiceBox 40」「AUTEL MaxiCharger」「ChargePoint Home Flex」という 3 機種。どれも、北米の家庭用に設計された AC 充電器で、簡単な電気工事で設置可能であり、ガレージの壁面などに取り付けるタイプだ。AUTEL MaxiCharger は、事業者利用も想定し、RFID リーダーや SIM スロットも備えている。設置者は他人の車を課金充電させることができる。
