東京, 2025年11月27日 - (JCN Newswire) - Kasperskyはある自動車メーカーのすべてのコネクテッドカーに不正アクセスを可能にするセキュリティ上の重大な欠陥を示す、セキュリティ監査の結果を発表しました。
誰でもアクセスできる請負業者が公開しているアプリケーションに存在するゼロデイ脆弱性を悪用することで、車両のテレマティクスシステムを制御することが可能となり、運転者や同乗者の身体面の安全が危険にさらされかねない状態となっていました。たとえば、車両の走行中に攻撃者がギアシフトを動かしたり、エンジンを切ったりといったことも可能でした。この発見により、自動車産業のサイバーセキュリティ上の潜在的な弱点が浮き彫りになったため、セキュリティ対策の強化を求める声が高まっています。
自動車メーカー側
セキュリティ監査は、誰でもアクセスできるメーカーのサービスと請負業者のインフラストラクチャを対象に、リモートで実施されました。その結果、Kasperskyはセキュリティに問題があるWebサービスをいくつか特定しました。まず、wikiアプリケーション(ユーザーがコンテンツを共同で作成、編集、管理できるWebベースのプラットフォーム)にゼロデイSQLインジェクションの脆弱性があるため、調査チームは請負業者側でパスワードハッシュを使用してユーザーのリストを抽出することができました。その一部はパスワードポリシーの弱さが原因であると推測されます。この侵害により、請負業者の問題追跡システム(プロジェクト内のタスク、バグ、問題の管理と追跡に使用されるソフトウェアツール)にアクセスすることが可能となりました。このシステムには、メーカーのテレマティクスインフラストラクチャに関する機密性の高い設定情報(メーカーの車両テレマティクスサーバーのユーザーの、ハッシュ化されたパスワードを含むファイルなど)が含まれていました。最近の車では、テレマティクスによってコネクテッドカーから様々なデータ(速度、地理位置など)を収集、送信、分析、利用することが可能となっています。
コネクテッドカー側
コネクテッドカー側について、Kasperskyは内部サーバーを露出している不適切な設定のファイアウォールを発見しました。調査チームは、以前に取得したサービスアカウントのパスワードを使用してサーバーのファイルシステムにアクセスし、テレマティクスインフラストラクチャを完全に制御できる別の請負業者の認証情報を見つけました。最も衝撃的だったのは、変更したファームウェアをテレマティクスコントロールユニット(TCU)にアップロードできるファームウェアアップデートコマンドを調査チームが発見したことです。これにより、車両のCAN(コントローラーエリアネットワーク)バスにアクセスできることになります。CANバスは、エンジンやセンサーなど、車両の各種部品をつなぐシステムです。その後、エンジンやトランスミッションなど、他の様々なシステムにもアクセスできました。つまり車両の重要な機能を操作できる危険性があり、運転者や同乗者が危険にさらされるおそれがあったということです。
Kaspersky ICS CERT Vulnerability Research and Assessmentの責任者であるアーテム・ジネンコ(Artem Zinenko)は、次のようにコメントしています。「セキュリティ上の欠陥は、誰でもアクセスできるWebサービスがある、パスワードが弱い、2要素認証(2FA)がない、機密データが暗号化されていない状態で保存されているなど、自動車業界でよく見られる問題に起因しています。この侵害は、請負業者のインフラストラクチャに弱いリンクが1つでもあれば、連鎖的にすべてのコネクテッドカーが完全に侵害される可能性があることを示しています。自動車産業は、特にサードパーティシステムについて堅牢なサイバーセキュリティの実践に優先的に取り組み、運転者を危険から守りコネクテッドカー技術への信頼を維持する必要があります。」
Kasperskyは、請負業者に対して、インターネットアクセスをVPN経由のWebサービスに限定する、企業ネットワークからサービスを分離する、厳格なパスワードポリシーを適用する、2FAを実装する、機密データを暗号化する、記録とSIEMシステムを統合してリアルタイムでモニタリングすることを推奨しています。
自動車メーカーに対しては、車両ネットワークセグメントからのテレマティクスプラットフォームアクセスを制限する、ネットワーク上のやり取りに許可リストを使用する、SSHパスワード認証を無効にする、最小権限でサービスを実行する、TCUでのコマンドの真正性を確保する、SIEMを統合することを推奨しています。
Kaspersky ICS CERTについて
Kaspersky ICS CERTは、主として産業向けオートメーションシステムや産業向けモノのインターネット(IIoT)に対する潜在的脅威と現存の脅威の特定と対処に注力しています。これまで、広く普及しているICS製品やコンポーネントにおける数百件の脆弱性を特定して除去を支援し、高度なサイバー攻撃に対する重要システムのセキュリティとレジリエンスの強化に寄与してきました。
Kasperskyについて
Kasperskyは1997年に設立されたサイバーセキュリティとデジタルプライバシーを専門とするグローバル企業です。これまでに10億台以上のデバイスを新種のサイバー脅威や標的型攻撃から保護してきた、豊富な脅威インテリジェンスとセキュリティの専門知識を駆使して、カスペルスキーは世界中の個人、企業、重要インフラ、政府機関を保護する革新的なソリューションとサービスを継続的に展開しています。当社の総合的なセキュリティポートフォリオには、個人用デバイス向けの最先端のデジタルライフ保護、企業向けの専門セキュリティ製品とサービス、そして高度かつ進化し続けるデジタル脅威に対抗するサイバーイミュニティソリューションが盛り込まれています。当社は、何百万人もの個人および20万社近くの企業のお客様、が最も重要なものを保護できるよう支援しています。詳細については、www.kaspersky.com をご覧ください。
このプレスリリースは、もともと以下のリンクで英語で公開されました。
https://www.kaspersky.com/about/press-releases/grand-theft-telematics-kaspersky-finds-security-flaws-that-threaten-vehicle-safety
メディア連絡先:
Hao Yung Chung
chung.haoyung@kaspersky.com
免責事項:本プレスリリースに含まれる情報は、発行会社から提供されたものです。すべての記述、意見、およびデータは、情報提供元の会社のものであり、必ずしもJCN Newswireの見解を反映するものではありません。JCN Newswireによる本プレスリリースの配信は、本プレスリリースに含まれる製品、サービス、または主張を推奨または推薦するものではありません。
Copyright 2025 JCN Newswire. All rights reserved. www.jcnnewswire.com
