アカウント名:
パスワード:
結局指紋とか物理的なキーがないと解決策なさそうだし。
日産、リレーアタックが話題になってるのにキーレスの電波受信停止機能を実装してくれないんだよなぁ。ホンダは最近の車でリレーアタック対策用に節電モードが搭載された(例:ヴェゼル [honda.co.jp])みたいだけど、Rolling-PWN脆弱性は残ってたか。仕様バグっぽいからそのまま残ったのだろうけど。
今はCANインベーダーが流行りらしいのでキーレス関係なくなってますね。セキュリティ系のネットワークを車外から容易にアクセス可能な場所に配置してる時点で、物理的なセキュリティ設計ミスってる。お客様が入れるフロアに何のアクセス制御もしてないLAN HUB/LANケーブルを置いてるような物。
今年辺りから欧州で車載ネットワークのセキュリティ対策(送信元の認証やデータが改竄されていないことの確認など)が義務になるので、CANインベーダーの流行も収束に向かうかも。
※ただし、今回みたいなリプレイ攻撃が成立しなければ。ですかね。
修理する権利と食い合わせが悪く、新デバイスを追加/交換することは今後も可能になると考えられる。となると、物理的に配線を隔離しておくのは今後も大切だと思う。
内部バスでリプレイは成立しないと思いますけど。デバイス再登録を認めつつ不正登録を防ぐには、物理的な内側からのアクセスを必須にするだけですし……
「内部バスでリプレイ攻撃が成立しない」と思った理由は何でしょうか?その内部バスがCANの事なら、ABSやライト制御用等でボディ外側付近まで引っ張られてるんです。CANは10BASE2/5みたいなバス型ネットワークですので、意図的に分離しなければ外も中もなく、全通信が丸見えです。そのボディ外側に近いCANを使って盗むのがCANインベーダー。
物理的な内側からのアクセスを必須だけだと、偽装デバイス登録からの窃盗は防げなさそうだけど、今も内部に侵入されたらおしまいだしそれで構わない感じではありますね。
車載ネットワークのセキュリティ対策として、セキュアCANトランシーバー [www.nxp.jp]とか出てますが、自身を偽装されたときにエラーフレーム(コリジョン信号のような物)でも送って妨害するのだろうか。
界隈に居ないので詳しくないですが、現在の車で物理的に別なCANネットワークって、LINとかはカウント外にすると、ODB2ポート以外にインフォテインメント用くらいだと聞いてます。やっぱり室外と室内で物理的に分離するだけでもマシになりそうなのですがゲートウェイが必要になるのでやらないのですかね?
リモコンキーのリプレイは、持ち主が車を停めて食事に出てから帰ってくるまでの間にカウンタを一周して合わせられる短いローリングコード使っているか、あるいは概ねまともに認証していつつも認証成功メッセージが変わらない欠陥が存在しているから成立するんです。あとは、大きな駐車場で使われる手口で、とにかくでたらめなメッセージをぶち撒けてウインカーが光った車を引きずり出すというものもあります。パスワード固定型不正ログインの亜種ですね。もっと電力の潤沢な車載ECU間のメッセージ認証は、カウンタ値と合わせてタイムスタンプも使えるし鍵長も伸ばせるので成立しません。
一般にメッセージ認証コードが付いていると改竄、勝手に生成、再送したメッセージは破損したものとして無視されます。これを回避するには送信側を黙らせ、加えて認証用の秘密鍵をダンプする必要がありますが実際の事例はまだ私が知るほどには多くないです。
ネットワーク分離については、既にここ十年くらいの車はみんなゲートウェイを備えて車体と快適装備は分離しているはずですが、組み込みセキュリティの人たちはすぐそのゲートウェイECUだけヤフオクで落としてRCEを探してアクセルを踏ませようとするので、緩和策にはなっているものの解決策にはなっていないと思います。ゲートウェイ側で不正メッセージを落とすと言っても、正規メッセージの定義は日々変わりますから、やはり個々のECU側で対策する方が筋がよいということになるんではないでしょうか。
そんなわけで、リモコンキーのリプレイ攻撃論は車載内部バスの脆弱性には敷衍できないです。
纏めると車載ネットワークなら、ここまでタコな実装してないから平気なはずって事ですね。
しかし、現実にCANインベーダーで車両窃盗出来てるってことは、まだ採用されてないか不足なんですね。
CANバスと上もののネットワークを分離している箇所は、今はデータダイオードみたいに回路的に一方向通信になっててそこから侵入するのは難しくなってるんじゃないですっけ。
一方で、CANバス内の通信はフレーム内のデータサイズは8オクテットしかないので、MACを入れるのが超しんどそう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
高い車はキーレスやめたら? (スコア:2)
結局指紋とか物理的なキーがないと解決策なさそうだし。
Re: (スコア:0)
日産、リレーアタックが話題になってるのにキーレスの電波受信停止機能を実装してくれないんだよなぁ。
ホンダは最近の車でリレーアタック対策用に節電モードが搭載された(例:ヴェゼル [honda.co.jp])みたいだけど、Rolling-PWN脆弱性は残ってたか。
仕様バグっぽいからそのまま残ったのだろうけど。
今はCANインベーダーが流行りらしいのでキーレス関係なくなってますね。
セキュリティ系のネットワークを車外から容易にアクセス可能な場所に配置してる時点で、物理的なセキュリティ設計ミスってる。
お客様が入れるフロアに何のアクセス制御もしてないLAN HUB/LANケーブルを置いてるような物。
Re: (スコア:2)
今年辺りから欧州で車載ネットワークのセキュリティ対策(送信元の認証やデータが改竄されていないことの確認など)が義務になるので、CANインベーダーの流行も収束に向かうかも。
Re: (スコア:0)
※ただし、今回みたいなリプレイ攻撃が成立しなければ。
ですかね。
修理する権利と食い合わせが悪く、新デバイスを追加/交換することは今後も可能になると考えられる。
となると、物理的に配線を隔離しておくのは今後も大切だと思う。
Re: (スコア:2)
内部バスでリプレイは成立しないと思いますけど。デバイス再登録を認めつつ不正登録を防ぐには、物理的な内側からのアクセスを必須にするだけですし……
Re:高い車はキーレスやめたら? (スコア:0)
「内部バスでリプレイ攻撃が成立しない」と思った理由は何でしょうか?
その内部バスがCANの事なら、ABSやライト制御用等でボディ外側付近まで引っ張られてるんです。
CANは10BASE2/5みたいなバス型ネットワークですので、意図的に分離しなければ外も中もなく、全通信が丸見えです。
そのボディ外側に近いCANを使って盗むのがCANインベーダー。
物理的な内側からのアクセスを必須だけだと、偽装デバイス登録からの窃盗は防げなさそうだけど、
今も内部に侵入されたらおしまいだしそれで構わない感じではありますね。
車載ネットワークのセキュリティ対策として、セキュアCANトランシーバー [www.nxp.jp]とか出てますが、自身を偽装されたときにエラーフレーム(コリジョン信号のような物)でも送って妨害するのだろうか。
界隈に居ないので詳しくないですが、現在の車で物理的に別なCANネットワークって、LINとかはカウント外にすると、ODB2ポート以外にインフォテインメント用くらいだと聞いてます。
やっぱり室外と室内で物理的に分離するだけでもマシになりそうなのですがゲートウェイが必要になるのでやらないのですかね?
Re:高い車はキーレスやめたら? (スコア:4, 興味深い)
リモコンキーのリプレイは、持ち主が車を停めて食事に出てから帰ってくるまでの間にカウンタを一周して合わせられる短いローリングコード使っているか、あるいは概ねまともに認証していつつも認証成功メッセージが変わらない欠陥が存在しているから成立するんです。あとは、大きな駐車場で使われる手口で、とにかくでたらめなメッセージをぶち撒けてウインカーが光った車を引きずり出すというものもあります。パスワード固定型不正ログインの亜種ですね。もっと電力の潤沢な車載ECU間のメッセージ認証は、カウンタ値と合わせてタイムスタンプも使えるし鍵長も伸ばせるので成立しません。
一般にメッセージ認証コードが付いていると改竄、勝手に生成、再送したメッセージは破損したものとして無視されます。これを回避するには送信側を黙らせ、加えて認証用の秘密鍵をダンプする必要がありますが実際の事例はまだ私が知るほどには多くないです。
ネットワーク分離については、既にここ十年くらいの車はみんなゲートウェイを備えて車体と快適装備は分離しているはずですが、組み込みセキュリティの人たちはすぐそのゲートウェイECUだけヤフオクで落としてRCEを探してアクセルを踏ませようとするので、緩和策にはなっているものの解決策にはなっていないと思います。ゲートウェイ側で不正メッセージを落とすと言っても、正規メッセージの定義は日々変わりますから、やはり個々のECU側で対策する方が筋がよいということになるんではないでしょうか。
そんなわけで、リモコンキーのリプレイ攻撃論は車載内部バスの脆弱性には敷衍できないです。
Re: (スコア:0)
纏めると車載ネットワークなら、ここまでタコな実装してないから平気なはずって事ですね。
しかし、現実にCANインベーダーで車両窃盗出来てるってことは、まだ採用されてないか不足なんですね。
Re:高い車はキーレスやめたら? (スコア:1)
CANバスと上もののネットワークを分離している箇所は、今はデータダイオードみたいに回路的に一方向通信になっててそこから侵入するのは難しくなってるんじゃないですっけ。
一方で、CANバス内の通信はフレーム内のデータサイズは8オクテットしかないので、MACを入れるのが超しんどそう。