ハッキングされたパスワードでテスラ車の遠隔ロック解除や追跡が可能に

セキュリティ研究者によると、テスラ・モーターズのアカウントは単純なパスワードのみで保護されており、ハッカーが車を追跡したりロックを解除したりすることが容易になっているという。

テスラモデルSのオーナーは、車を注文する際にteslamotors.comでアカウントを作成する必要があり、同じアカウントでiOSアプリを使用して遠隔的に車のドアのロックを解除したり、車の位置を特定したり、ルーフを開閉したり、ライトを点滅させたり、クラクションを鳴らしたりすることができる。

重要な自動車機能へのアクセスを提供しているにもかかわらず、これらのアカウントは、6文字で少なくとも1つの数字と1つの文字という、それほど複雑ではないパスワードでのみ保護されていると、セキュリティ研究者のニテシュ・ダンジャニ氏が金曜日のブログ投稿で述べた。

また、テスラ・モーターズのサイトには、不正ログインの試みに基づくアカウントロックアウトのポリシーがないようで、そのため、サイトに登録されたアカウントは総当たり攻撃によるパスワード推測の攻撃を受けやすい状態になっているとダンジャニ氏は述べた。

多くの脅威の一つに過ぎない

しかし、ブルートフォース攻撃は潜在的な脅威の一つに過ぎません。テスラのアカウントは、フィッシングやマルウェアの標的になる可能性や、車の所有者が複数のサイトでパスワードを使い回している場合、第三者によるパスワード漏洩によって侵害される可能性もあると研究者は述べています。さらに、テスラのアカウントに関連付けられたメールアドレスが侵害された場合、秘密の質問に答えるといった他のチェックがないため、攻撃者はアカウントのパスワードを簡単にリセットできると研究者は述べています。

研究者はまた、現在の実装では、公式iOSアプリがオンラインサービスとやり取りするために使用するTesla REST API（アプリケーションプログラミングインターフェース）もセキュリティリスクをもたらす可能性があると考えている。

研究者によると、このAPIは、ユーザーにテスラの認証情報でログインを要求するサードパーティ製アプリで利用できる可能性がある。例えば、Google Glassを通じて車を監視・制御できる「Tesla for Glass」というアプリは、ユーザーの認証情報を保存するという。

この動作は、侵入者がアプリのインフラストラクチャに侵入した場合、テスラのアカウント認証情報を収集し、それによって可能になるリモートカーコントロール機能を悪用する可能性があるため危険だと研究者は述べた。

研究者：テスラは関与する必要がある

ダンジャニ氏は、テスラ・モーターズは静的パスワードの使用以外にもアカウントを保護するためにもっと対策を講じるべきだと信じており、それが実現するまではテスラ車の所有者に潜在的なセキュリティリスクに対する予防策を講じるようアドバイスしている。

「この問題の深刻さを考えると、これまで自宅のワークステーションを静的パスワードと信頼できるネットワークに頼って守ってきたのと同じ方法で、車両を安全に守ることはできないと分かっています」とダンジャニ氏は述べた。「この状況における物理的なセキュリティとプライバシーへの影響は、その重要性を新たなレベルに引き上げています。」

テスラ・モーターズは電子メールでの声明で、「最高の安全評価を備えた自動車の開発にあたり、またオンラインセキュリティ侵害からお客様を守るためにあらゆる手段を講じるにあたり、お客様のセキュリティは最優先事項です」と述べています。「当社は、一流の情報セキュリティ専門家で構成された専任チームを編成し、製品とシステムを脆弱性から保護しています。また、セキュリティ研究者コミュニティとの連携を継続し、責任ある報告プロセスを通じて、お客様からの積極的な情報提供を促しています。」

「自動車メーカーは、エンジニアリングにおいては革新的であるにもかかわらず、過去には自動車をデジタルで保護する必要がなかったという理由だけで、セキュリティ面を軽視する傾向があります」と、セキュリティ企業Bitdefenderのシニア電子脅威アナリスト、ボグダン・ボテザトゥ氏は述べています。「オンラインアカウントによって潜在的な攻撃者が自動車の重要システムを制御できないのは事実かもしれませんが、誰かが物理的に自動車の位置を特定し、ロックを解除できる可能性があります。」