寒い朝、出発の10分前にスマホのアプリを使って車を始動させて暖機運転できるなんて、まさに「未来を生きている」って感じですね。本当に素晴らしい。でも、あらゆるものがあらゆるものにつながるということは、潜在的なリスクが膨大になるという現実を、セキュリティ研究者たちがまさに実証したんです。
4人からなるチームが最近、モバイル接続だけでKiaのほぼ全ての最新モデルをリモートハッキングする方法を発見しました。彼らは、Kia Connect機能を搭載したあらゆる車のナンバープレートをスキャンし、ほぼ完全なリモートアクセスを可能にするスマートフォンアプリを開発しました。
このツールは2014年以降のKiaモデルに対応しており、新型車では機能がますます充実しています。例えば、最新のKiaモデルでは、GPSによる車両の位置追跡、エンジンの始動・停止、ドアの施錠・解錠、ライトやクラクションの作動、さらには360度カメラによる車両内部の監視まで可能でした。
さらに懸念されるのは、このツールによって車の所有者の個人情報にアクセスできたことだ。名前、電子メール、Kia Connect のパスワード、それに関連付けた電話番号や住所がすべて入手できたのだ。
これらのリモート機能と情報は、車の所有者がKia Connectに加入していない場合でも、このツールによって公開されていました。アプリベースのツールの唯一の限界は、キーなしで車を運転させないようにする「イモビライザー」コンポーネントを回避できなかったことです…ただし、他のツールもこれらのシステムを回避しています。
パニックになる前に言っておきますが、サム・カリー氏とその仲間は6月にKia社にこの脆弱性を報告し、Wired誌に暴露記事が掲載されるずっと前の8月には修正されていました。このシステムとその概念実証は、チームの友人や家族が使用する車、そしてレンタカー会社やディーラーで使われていない車両で「実環境」でテストされました。実際に人を危険にさらすようなことは一度もありませんでした。研究者とKia社の知る限り、この脆弱性は現在解消されています。
しかし、カリー氏が公開したハッキングに関する記事によると、実際には驚くほど簡単だった。普通の人には到底できないことだが、高校レベルのコンピュータサイエンスの知識があれば、世界中で毎年何百万台もの自動車を販売する企業が導入したシステムに侵入できるのだ。(そして、現在販売されている新車のほとんどに同様のシステムが使用されており、中には既に同様の方法で「ハッキング」されているものもある。)
Wired誌のカリー氏へのインタビューは、悪夢のような例を示している。「もし誰かが交通で割り込んできたら、その人のナンバープレートをスキャンすれば、いつでもその人の居場所がわかって車に侵入できる。誰でも誰かのナンバープレートを照会し、事実上ストーカー行為をすることができるのだ。」
これらは、一般的な自動車購入者がおそらく気づいていない脆弱性であり、防御する準備もできていません。自動車とその利用者を守る責任はメーカーにあります…しかし、メーカーはその責任を果たしていないように見えます。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
