PHEV ブログ

アウトランダーPHEV(2013年新発売時 初号機)乗りのブログです

アウトランダーPHEVセキュリティに深刻な脆弱性・外部からWiFi経由で警報装置をオフにすることが可能!?

海外から新型アウトランダーPHEVに装備されている、
スマホによるリーモートコントロールに関して
セキュリティ上に深刻な脆弱性が発見された
との記事がありました。
日本のアウトランダーPHEVにも同じ
システムが搭載されているはずなので心配です





三菱自動車、アウトランダーに深刻な脆弱性・外部からWiFi経由で警報装置をオフにすることが可能



Credit: Ken Munro
Publish 6/7 20:38
三菱自動車 が販売しているSUV「アウトランダー(Outlander)」にセキュリティー上の
深刻な脆弱性があることが外部のセキュリティー専門家の調べにより判明した。

この脆弱性は車外からWiFi経由で自動車の警報装置をオフにすることができるというもので、
ケン・ムンロ(Ken Munro)というセキュリティー専門家が偶然に発見したものとなる。
アウトランダー リモコン セキュリティ脆弱性

ムンロ氏によると、彼が、友人が所有しているアウトランダーの近くでスマートフォンを操作
している際に、アウトランダーはWiFi電波を飛ばしていることに気が付いたとしている。
その上で、WiFi経由でアウトランダーに侵入することができるかどうかを試した結果、
アウトランダーの一部の機能は、外部のスマートフォンから操作することができることが判ったとしている。

ムンロ氏は、一般の自動車の場合、GSM経由の接続サービスを搭載しているのに対して、
アウトランダーの場合は、WIFi経由でスマートフォンを直接、自動車に接続させることが
可能となっており、こうした接続方法はセキュリティー面からは危険性が高いと警告している。

尚、ムンロ氏は、今回、発見した脆弱性を三菱自動車にしたところ、三菱自動車側は
ただちに対応を取ることを確約したとも説明している。

自動車の機能を外部から操作できるという脆弱性は、ワイヤード(WIred)誌の記事により、
クライスラーのジープ(Jeep)でも見つかり、大きな波紋を呼んでいた。




➡情報源



セキュリティ企業のPen Test Partnersは6月5日、三菱自動車のハイブリッドSUV「アウトランダー」を
モバイルアプリで遠隔操作できる機能に関し、セキュリティ問題を突いて車のライトやエアコンを
付けたり盗難警報を解除したりできてしまうことが分かったと伝えた。

 英BBCは、研究者がこの問題を再現する実証映像を公開。三菱自動車が調査する間、
無線LAN機能を無効にするようユーザーに促していると伝えた。

 Pen Test Partnersのブログによると、一般的な遠隔操作アプリはメーカーのWebサービスを
使ってGSM経由で車載モジュールに接続しているのに対し、アウトランダーのモバイルアプリ
アウトランダーPHEV」の場合は同車に搭載されている無線LANアクセスポイントに接続して利用する。



 しかしオーナーズマニュアルに記載されている無線LANの事前共有鍵は「あまりにも単純で
あまりにも短い」ことから、4日足らずで破ることができたと研究者は説明。この期間はもっと短縮することも可能だとした。

 この問題を悪用すれば、ライトやエアコンを付けたり消したり、バッテリーを消耗させたりもできるという。
さらには盗難警報を無効にできることも実証した。

 当面の対策としてPen Test Partnersでは、モバイル端末と車のアクセスポイントとの接続を解除することを
勧告している。まずモバイルアプリを車に接続した上で、アプリの「設定」から「車台番号登録解除」を選択すると、
車両との登録が解除される。「これでモバイルアプリは使えなくなるが、少なくともセキュリティ問題は修正される」
(Pen Test Partners)


 長期的には「三菱自動車がWi-Fiアクセスポイントとクライアントの接続方法を完全に設計し直す必要がある。
BMWの『Connected Drive』のようなGSMモジュールやWebサービス方式の方が長期的にはずっといい。
『リコール』のような言葉も心に浮かぶ」とした。
アウトランダー リモコン セキュリティ脆弱性

 Pen Test Partnersは当初、非公開で三菱自動車に接触しようとしたものの、同社が関心を示さなかったとも伝えた。
そこで英BBCを巻き込んだところ、それ以降は三菱自動車も深刻に受け止めるようになったといい、
中期的な対策としてファームウェアでの対応を表明しているという。

 車の遠隔操作アプリを巡っては過去に日産の「リーフ」も問題を指摘されたほか、
Fiat Chryslerの「Jeep Cherokee」などのハッキング実証実験も公開されている


ちなみに自分のアウトランダーPHEVは初期型、ナビパッケージなので
リモコンはついていません。
装備されている日本のオーナーは心配だと思います。
三菱のファームウエアの対応を期待します。



➡□元記事

日産 リーフ

➡□日産リーフハッキング アプリ利用停止事件


クルマのハッキング 遠隔操作

➡□クルマのハッキングも現実的に。。。「jeep事件から」



追記

三菱が公式のリリースで、リモートコントロールの
一時使用停止と対策について検討中と発表しました。

➡︎◻︎三菱公式HP
関連記事

PageTop

コメント


管理者にだけ表示を許可する