自動車の車載システムは脆弱? デジタル攻撃に「ほとんど耐えられない」 69
ストーリー by hylom
「自動車のOSがWindowsだったら」が現実のものに、 部門より
「自動車のOSがWindowsだったら」が現実のものに、 部門より
あるAnonymous Coward 曰く、
米ワシントン大学とカリフォルニア大学サンディエゴ校の研究者らが、自動車の車載システムは「デジタル攻撃に対しほとんど耐えられない」という調査結果をまとめたそうだ(ITmedia Newsの記事)。
たとえば、システムに悪質なコードを仕込むといった手口で自動車の電子制御ユニット(ECU)に侵入すれば、運転手の操作を無視してブレーキをかけたりエンジンを停止させたりすることが可能になるとのこと。
そういえば10年くらい前、某マンガ雑誌で「西暦2000年問題で車が制御不能になる」というパニック作品が掲載されてたなあ……。
頓知ですか? (スコア:4, すばらしい洞察)
金庫の中はお金盗み放題です。
Re:頓知ですか? (スコア:2, すばらしい洞察)
でも,車の鍵を開けた時点で,ブレーキに細工するとか燃料配管をいじくるとか爆弾を仕掛けるとか,細工し放題なのは周知の事実.アクセルワイヤがどこかで引っかかって閉じないようにすることも,ローテクで出来ますよね.
無線制御が出来るとなったら大問題ですが,ECUコネクタからアクセスできるってのは大騒ぎするほどのことではないのでは?
コンピュータだって,保守コンソール にアクセスされたらかなり脆弱だったりしますし.Ctrl-Pをコンソールでうっかり打ったらLSI11モニタに落ちる・・ってのはVAX.
Re:完全犯罪 (スコア:0)
ECUコネクタからアクセスできるってのは大騒ぎするほどのことではないのでは?
保険金殺人にもってこいですね。
事故原因としてECUが異常無いかどうか調べられることはあまり無いですし。少なくとも最近までは。
他のローテクな細工に比べて発覚しにくい。
Re: (スコア:0)
例えるなら、金庫(ECU)は家(車)の中に入っているけど、金庫の鍵穴(ECUのコントロールソケット)をLaptop PCでつっついてあげると簡単に開いて(内部へアクセスできて)、好き放題お金が取れる(車の制御を乗っ取れる)よ、かな。
Re: (スコア:0)
Re:頓知ですか? (スコア:3, おもしろおかしい)
大きく振りかぶって、自動車のドア窓に叩きつけます
ガラスが割れたら中に手を突っ込んで鍵をあけるボタンを押すか減らすかして、ドアを開けるレバーを引いてください。
Laptop PCで車のドアを開ける方法 (スコア:1, 参考になる)
同じラボの人がすでに解決済み。
http://wiredvision.jp/news/200811/2008110421.html [wiredvision.jp]
冗談は置いといて、AC規制あるからその他いろいろをここに書いてみる。
http://srad.jp/comments.pl?sid=495628&cid=1767235 [srad.jp]の人が言ってるように、本来的には「まずありえません」が、そこを破って見せるのが本当のハッカーのクラックなわけで、実際http://srad.jp/comments.pl?sid=495628&cid=1767153 [srad.jp]の人の通りだったりして、元論文のabstractの後半に出てくる。
最終的に、車内のサービスポートからではあるもののソフトウェア的な攻撃だけで、
・ブリッジを構築することで本来アクセスできない分離されたモジュールを誤作動させることに成功した
・その後、自動的に痕跡を消去し証拠隠滅を図ることに成功した
ようです。(たぶん)
今後、ますますシステムの高度化・複雑化・標準化は進み、なおかつ外部ネットワークへの接続も進むむでしょうから、バッファオーバーフロー使ってコードインジェクションされたPCを踏み台に基幹のサーバーへするように、思わぬ所の穴から思わぬユニットへの攻撃で思わぬ実害が出るかもしれません。
あと、今回は車でしたが、ほかに医療関係、ペースメーカーだったりの話もあるようです。
Re: (スコア:0)
要するにこの研究者たちが言いたいのは、車載コンピュータをいじくれば
運転手の意と反した挙動をさせることができて、それを運転手は防げない。
だから脆弱なのだってこと。
例えば何者かが車載コンピュータに悪意のコードを仕込んで、車を猛スピードで
暴走させたとしても、運転手はそのコンピュータの制御をオフにして手動に
戻すことができない脆弱性があるという話にしか見えない。
トヨタ車の暴走について、欠陥があると証明するために、車載コンピュータに
無理矢理改造を加えて暴走するようにして暴走させ、「ほらやっぱり欠陥が
あったんだ」みたいに主張していたのと近い話だよね。
そういう根本的な改造を加える手口に関しては一切考慮されていない。
「日本銀行の紙幣保管金庫は、どこでもドアで侵入するとお金を盗める。
だから日本銀行の警備体制には問題がある」と言ってるような話。
Re: (スコア:0)
>れを運転手は防げない。だから脆弱なのだってこと。
それってPC繋いで攻撃ソフト使うと簡単に乗っ取れるから脆弱だよ。というのと同じことを言っているように思えるのですが。
要はどうにか繋いでしまえば、車の制御を乗っ取れるという脆弱性がある。でも、まだ幸運なことにInternetには繋がっていないので潜在的なリスクですんでいる。一部引用しますが、
"This represents an opportunity
Re: (スコア:0)
それこそ民生から産業はては軍事まで。
別に車載だけが脆弱なわけじゃないです。
組込MCUのプログラムを開発してる技術者を引き抜いてクラッカーとして雇うこともないとは言えません。
morikun
Re: (スコア:0)
Re: (スコア:0)
今はそれで済むけれど、今後ネットワークや外部の機器と接続可能にするときは良く考えなきゃいけないかもね。
Re: (スコア:0)
車同士が通信して追突しないようにするシステムとか
普及したとしたら、その脆弱性をついて相手の制御を奪う
とかありそうですもんね。
こわいこわい
HOS? (スコア:3, すばらしい洞察)
車載システムに入れる入れないってのはさておいて、人間が搭乗する代物にしては攻撃に弱いという
ニュースかと。
サウンドセンサーに可聴域外の特定入力があれば、自動起動&大暴走とか組み込まれたらたいへんな
ことに。
リンク先にあるこの事例も、よく考えたら怖い話。
「ディーラーのシステムへ不正侵入、車100台を動けなくした元従業員を逮捕」
http://www.itmedia.co.jp/enterprise/articles/1003/19/news024.html [itmedia.co.jp]
攻撃というか電波障害が (スコア:1)
Re:攻撃というか電波障害が (スコア:1, 興味深い)
そういえば、昔某社の軽自動車に乗ってたとき、国道一号線、原宿(藤沢市?)から北西に抜けていく抜け道でときどき警告灯が点灯することがありました。あとで地図で調べたら米軍の通信基地があったとのことで、変な電波拾っちゃってたのかなー、とか。
(電子制御前のキャブ車なので事なきを得た‥‥‥と)
Re:攻撃というか電波障害が (スコア:2, 興味深い)
以前勤めていた会社で先輩から聞いた約20年近く前の話。
ECUの研究と言うことで、散々分解してまた組みなおした状態になったECUがあったそうです。
その車で、高圧電線の下を通ったところいきなりエンジンが全開になったそうです。
慌ててエンジンを切って事なきを得たようですが、
もし直前に車がいたらと思うとぞっとすると言ってました。
他には、自社の敷地内でアクセルのロータリーエンコーダーを逆につないで、
べた踏みでアイドリング、徐々にアクセルを戻すと加速していく車にして遊んでいたそうです。
Re: (スコア:0)
原宿交差点 [wikipedia.org]は横浜市戸塚区です。
深谷の無線送信所かな?
# ガキの頃、近所に住んでいたのでAC
Re: (スコア:0)
以前、東名の厚木付近を走っていたら、ラジオの交通情報(1620kHz)に米軍のラジオ(810kHz)ががんがん混信してた。
米軍は電波法を守らなくてもいいらしいぞ。
#基地内は治外法権なんだから当たり前か
というか犯罪捜査で当たり前に使われている (スコア:1, 興味深い)
結構昔にTVのドキュメンタリー番組でやってた。
アメリカだかヨーロッパだかの警察が、密売人の路駐してた車に
こっそり秘密の装置を仕込んで、そのまま泳がせて、
怪しいブツを積み込んだところでリモートでエンストを起こさせて御用。はい一丁上がり、みたいな。
Re:というか犯罪捜査で当たり前に使われている (スコア:1)
逃走車とのチェイスシーンとか無くなったりしてね。
#強制停止信号送出>エンスト、みたいな。
電子制御されていない古い車か、プログラム改造済みの車を犯罪者は用意するようになるかな。
Re:というか犯罪捜査で当たり前に使われている (スコア:1)
>警察からの緊急停止信号には必ず従うように
重機のような高価なものにはGPS追跡機能をつけることが多いそうですね。
遠隔操作でエンジンがかからないようにして、それ以上移動できなくすることも可能だとか。
業務時間以外にエンジンをかけたり、指定範囲から出るような移動を検知したらメールで通知
が届くような運用もできそうです。
は? (スコア:1)
既存の攻撃手段に対して脆弱という話では(Re:は? (スコア:1)
PCのOSでは当たり前に対策されているようなことが対策されていないという話では?
通常、サーバなりPCなりはアクセスさせない、権限を与えないという対処法をとりますよね。
# 1回rootとられてなんかされたらもはや再インストールしか手段が無いのはご承知の通り。
で、自動車みたいな「コンピュータとはいえ車載なんだし関係なかろー」という人に対しての「普通にやばいよ」という話では?
# 「車載コンピュータにイタズラされない(イタズラされても致命的なことにはならない)」という認識が間違っているという。
ディーラーに持ってって「ちょっと見といてよ」と鍵を預けてパネルをパッカリ開けてもらうなんてのは珍しくないでしょう。
ノートPC持ってって「調子悪いからなんかみといてよ。これ管理者パスワードね」なんて人はそんなに居ないのでは。
いくらでも方法があると思いますけど、例えばブレーキに細工されたなんてのはあとから検出可能でも、車載システム書き換えられたらフォレンジックなんて可能なんですかね?
# 会社のサーバに管理者ログインして社外の人に貸して席を離れるなんてなありえませんが、社用車に社外の人載せて席を離れるなんてのはやってる人多いんでないかな。
# これ、今流行のネットワーク経由で燃費情報を送るとか渋滞情報共有とかに穴があって進入可能だった、なんて結果が出ても影響がでかすぎて公表されないだろうな……いくらなんでもそんなことは出来ないと信じたいが:-P
Re:既存の攻撃手段に対して脆弱という話では(Re:は? (スコア:1)
レイヤーの問題じゃないのでは?
現実的にどんな脅威があって、どう守るかという話なのかと思ってましたが。
「んなアタックされる時は車内にアクセスされてんだし関係なかろ?」というツリーかと思ってましたが。
今回の記事に関しての話題なので、今回の記事を前提に置くのはさほど間違っていないかと。
きちんと引用するなら
議論に関してせめてここは前提として置いて構わないと思うんですが、そっから擦り合わせが必要なんスかね?
# つまり「攻撃手法は既知であり、車載コンピュータにアクセス出来れば攻撃は難しくない」という前提
その上で、どうやって侵入して書き換えるかという話題であれば、「いくらでも方法があるとおもう」という回答になります。
例示としてあげてるのは、車を預けて整備してもらう際にアクセスされる可能性です。
ごく具体的に言えばBMWは全機種に車載コンピュータが乗ってて、まともなディーラーに行けばケーブルつないで診断とかコントロールユニットのアップデートしてくれたりします。
# これはボンネットの奥にあったはず。最近のは違うかも。でもパカっと開けて繋いで弄るだけ。
研究チームがどういうアクセスしたかによっては(良くある)研究室レベルの概念研究かもしれませんし、現実的な脅威かもしれません。
いずれにせよ、車にもそういう脅威がありうるというのは知っといて損はないと思います。
鼻で笑っていい話では無いと思うけどなあ。
# まあ仰る通りどういう攻撃方法だったのかの詳細が分からないとあんまり意味ないですが:-P
***
ほとんど関係ないのでは?
BIOSクラッキングしても人は殺せませんが、車は事故を装えますし。
そして、そういう事故でフォレンジック出来ないなら、誰かが既に技術を取得しててもおかしくないわけで。
大騒ぎにならなくても存在するヤバめな技術ってのは沢山あると思います。
Re: (スコア:0)
そういうチューニングをやっている業者も存在します
だから駐車中の車のドアをピッキングして開けて侵入して,ECUのデータを書き換えることは原理的には可能です
ただし,プログラムまで自在に書き換えられるという話は聞いたことがありません
そこまでくるとチューニングの範囲を超えて,人の生き死にに関わるメーカーの責任問題になってくるので,一応何らかのコード保護の配慮はしてるのではないかと思います
なお,整備・修理時にロギングしたデータを専用の通信ポートから吸い上げてチェックすることが出来るようになっている車もあります(プリウス等)
Re:は? (スコア:2)
現状、おそらくしてません。いや、気持ち程度の対応はしているかもしれませんが、知っていればあっさりできるレベルだと思います(と推定で書いておきます)。
もっとも、実際の車の挙動に関する大半のECUはマスクROM品ですので、ファーム書き換えの仕組みを知ってたとしてもプログラムまでは書き換えできません。それに、ECUで使っているワンチップマイコンは、内部のファームを吸い出せないような仕組みになっています。ですので、内部の人間が意志を持って取り組まない限り、多分無理でしょう。
ほえほえ
Re:は? (スコア:2)
> もっとも、実際の車の挙動に関する大半のECUはマスクROM品ですので、
想像で物を言うのはよくないよ
Re:は? (スコア:2)
実際に量産時にマスクROM発注してたんですが…大半ってのが違うのかな。フラッシュになっちゃったんかいな。
ほえほえ
Re:は? (スコア:2)
あー、これを「知っていればあっさりできるレベル」だと思ったのですが。というか、量産時もフラッシュなんですか?
ほえほえ
Re:は? (スコア:1)
データありがとうございますm(_ _)m
ほえほえ
Re:は? (スコア:1)
Re:は? (スコア:1, 参考になる)
>なお,整備・修理時にロギングしたデータを専用の通信ポートから吸い上げて
>チェックすることが出来るようになっている車もあります(プリウス等)
ここ数年の新車は確実にパラメータ見たり弄ったりできます。
というか最低限の機能に対応してないと規制に引っかかります。
ちなみに大半の車種で、暗号のデコードはおろかログイン等の手順無しで
接続できるんで、セキュリティが甘いというのは同意。
まぁ流石に重要なパラメータの書き換え等は、所定の手順を踏んだりする
必要はあるんですが。
数年前まで関わってた人間なのでAC。
ここまでテレマティクスに言及する者が皆無とかスラド終わってた (スコア:0)
あれ、ネットに接続する機能備えているし。現時点では用途は地図とかラジオのサービスくらいだけどさ。でも話題のEVである日産・リーフなんかは充電スタンドの探索とか車載コンピュータを今まで以上に積極的に活用しているし、今後は自動ブレーキのような安全技術との連動が一段と進むだろうから、問題意識を提起するタイミングとしてはちょうどいいと思うんだけどな。
ナイトライダー (スコア:1)
ほかは? (スコア:1)
これらも中に乗り込んでコネクタにつなげられたらそれなりに影響ありそうですが。
部門名にツッコミ (スコア:0)
最近出てきた、Ford Sync(フォード・モーターの車載システム)とKia UVO(起亜自動車の車載システム)はマイクロソフト製です。
以下蛇足ですが、この世界で一番有名なBMWのiDriveのOSはQNX製。QNXは最近になってBlackberryのRIMに買収されましたね。あとGMが車載システムをGoogleと共同開発するという噂も出ています。
Re:部門名にツッコミ (スコア:2)
Re:部門名にツッコミ (スコア:1, 参考になる)
車載システムという曖昧な言葉が指し示す対象によるかな。ECUはたしかにITRON仕様のOSが多く使われている。それとは別にダッシュボードに埋め込まれているディスプレイがあるでしょ。カーナビだけじゃなくて、オーディオプレーヤーとかリアビューモニターも兼ねて、ネット接続もできたり、さらには緊急通報システムまで備えられている、そういうテレマティクスとかカーピューターと呼ばれるシステムはまた別の話だよ。
Re: (スコア:0)
これか。
マイクロソフト オートモーティブ ホーム [microsoft.com]
デジタルもアナログも (スコア:0)
Re: (スコア:0)
ETCって、道路に何か仕掛けられていたら
課金され放題ってことなんでしょうかね?
だったらいやん。
落ち着こう (スコア:0)
LinuxやWindowsは、物理的アクセスが可能ならば破壊可能な脆弱性を持つ。
という話を聞いた時に「当たり前じゃん、アホか」と思うのは至極もっともだけど
世の中、物理的な脆弱性に対応する必要性を感じている人は沢山いるし
それに対応しているソリューションも沢山あるわけよ
脊髄反射で批判するのが正しいのか、ちょっと考えてみなよ
Re: (スコア:0)
俺のような自宅警備員でもコンビニに嗜好品を買いに行く事はあるし、中で寝てる事もあるからね。
#必要に応じて錠増やしたりサムターンガード付けたりピッキングに強い構造の錠に交換したり、窓ガラスにフィルム貼り付けたりetc…
#普通じゃない人だったら、窓を防弾ガラスにして壁に防弾パネル貼り付けたり、ボディアーマーを着用したり・・・物理セキュリティの話題はだんだん物騒になってきますなw
Re: (スコア:0)
でもここでは車載システムの外側のレイヤーである自動車の物理的脆弱性は問題視されてないですよね。
じゃあ車の鍵締めておいとくから車に触れないでECU書き換えお願いしますねっていったら、出来るの?
っていうことで。
物理的侵入を伴わないデジタルなシステム侵入の可否について触れずに結論ぶち上げるのは詭弁もいい所だと思います。
Re: (スコア:0)
だがが抜けてる!
やり直し!!(脊髄反射モード爆裂中)
攻撃されることを想定していないコード (スコア:0)
現在のECUは、パソコン通信時代のパソコンでしょうか。
ソフトやデータはPC内で完結し、通信先も限定的です。
ソフトが暴走してもリセットするくらいで、もちろんウィルス対策ソフトなんてありません。
そんな時代に外部から攻撃されることを想定したコードを書いていたでしょうか?
インターネット時代に突入したパソコンは、みなさんのご存知の通りです。
車の世界も車車間通信が実現するような未来では、得体の知れない相手との
通信を行いますし、そういった通信データに依存した制御も行うようになるでしょう。
また、通信手段もさまざまな口が用意されるでしょう。
一昔前のECUだと、まさにエンジンしか制御していません。
よって、これが壊れてもエンジンが止まる程度です。
現在はどうでしょう。エンジンはもとより、ステアリング、
アクセル、ブレーキまで電子制御です。
ECUがクラックされたら、まさに制御不能となるのではないでしょうか。
自動車業界も真剣にハッキング対策を考えなければいけないという警鐘だと思います。
Re:攻撃されることを想定していないコード (スコア:1, 参考になる)
「得体の知れない相手との通信により、エンジンやステアリング、アクセル、ブレーキ等の制御が不能になる」ことは
まずありえません。
#0とは言いません。技術者ですから。
そもそも、エンジン制御ECU(ECU:電子制御ユニット)は得体の知れない相手とは通信しません。他のECUが担当しています。
んで、そういうECUがハックされて変なデータを送り出しても、ハードウェアの制約(パケットサイズが一定、パケット/秒が固定、
異常ECUをネットワークから自動切り離し等)によりクリティカルな部分を守っています。さらに、ECUがおかしくなっても
人命にかかわらないようにする工夫がされています。
よって、怖いのは「施錠された車の中にあるコネクタから、直接ハックを行うこと」ですが、施錠された車に入られてる時点で
もう何もかも終わりでしょう。
#たかが数千円の車載基板に対し、信頼性検討項目が数万個あること分かってうんざりしたのでAC
Re:危険な制御はできなくなっている? (スコア:2)
走行中に前触れナシにブレーキ作動→追突事故
走行中にエンジン停止→パワステも停止して操舵不能
かなり危険です。
Re:危険な制御はできなくなっている? (スコア:1)
論文 [autosec.org]では「左前輪ブレーキだけ ON」「右前輪ブレーキだけ ON」「ブレーキを無効化」といったことができるとされています。実行するとどうなるか、想像してみてください。しかも、手動解除はできないそうです。