この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、芳賀です。
『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2018に参加していますのでレポートします。
このブログは下記セッションについてのレポートです。
スコネクティッドカーをリモートから制御する方法論 Presented by ミンルイ・ヤン ジアハオ・リー
この講演では、コネクテッドカーのセキュリティ評価を低コストで行う方法論を紹介する。
コネクテッドカーはインターネットアクセス機能を備えており、通常はそれに加えワイヤレスのローカルエリアネットワークも備えている。これにより、車両は社内外のデバイスからインターネット接続を共有することができる。多くの場合、車両にはオーナーにさらなるメリットをもたらすための特別な機能が備わっている。例えば、離れた場所から車のドアを開けることができたり、エンジンをかけたりハンドルを操作することさえできる。これらはすべてコネクテッドカーのリスクとなる可能性がある。
主な攻撃面として、クラウドプラットフォーム、通信チャンネル、エンドポイントの3つの部分に分けることができる。我々はそれらに含まれる脆弱性を発見し、攻撃経路として結びつけ、自動車を遠隔から操作できるようにする方法論を紹介する。
レポート
- SKY-GOではTesla Model Sを鍵無しで起動した実績がある
- コネクテッドカーとは
- Telematicsテレマティクスをついた車
- Telematics: TelecommunicationとInformations
- Telematicsを構成する物
- IVI: 車載の情報機器、機種によってはCAN-BUSとやり取りできたりもする
- IVIはほとんどAndroidで実装されている
- HU,DA,CIDと呼ばれたりする
- TSP: ユーザ情報を保管、車の移動履歴などがクラウドへ格納されている
- T-BOX: 車内のネットワークと車外を繋ぐもの
- Vehicle Network
- 沢山のECUがあり、車種によりネットワークや種類が異なる
- Telematicsテレマティクスをついた車
- どのようにコネクテッドカーを調べるか
- 車を買う必要はなく、オンラインでECUなどをそろえる、また、パーツ屋から集める
- ECUを接続していくために、静電気防止工具などを購入する1,000$ぐらいの投資が必要
- 解析していくためにはCAN-BUSメッセージをまずは取得する
- メッセージがトリガーになり、エンジンをスタートさせたりできるから
- T-BoxへSTM32からCAN-BUSをシミュレーションするメッセージを投げている
- Attack Surfaces
- T-BOXは、MCUがLTE Modem(eSIM)に接続されている(標準的な構成なら)
- MCUは、CAN-Busに接続されている
- Debug Portも存在したりする、WLAN, USB SeialPort
- adbdやsshdなどは認証無くコンソールが返ってくる事が多い
- いくつかの攻撃できる面がある
- USB Port
- SD Card
- Firmware Flash Chip
- FirmwearのAnalyze
- この解析は非常に難解ではある
- IDA proやJava Decompilerなどのツール利用する
- T-BOX への攻撃
- APNのアクセスするためのモニタリング
- APNはインターネットではなくイントラネット
- APNへアクセスできると、自動車会社のイントラネットを見る事ができた
- TSP Gateway への攻撃
- APN との通信をWiresharkで様々な情報を得る事ができた
- その結果、Command Flowを解析し、それをまねする事で鍵を開ける事ができた
- IVI への攻撃
- IVI のFirmwearからFOTAのサーバを知ることができた
- CAN メッセージを投げる事で車を制御する
- Attack Chain
- 犯罪者が自動車メーカーのTSPへのアクセスされる可能性がある
- TSPを経由して、複数の車両を無制限に制御できてしまう可能性ある
感想
車単体をセキュアにする事も大切だが、それらが繋がる”閉ざされたネットワーク”が実はアクセスできる可能性があるという驚きがあった。インフラも含めトータルでセキュアにすべきだと気づきがあった。
12
