大手自動車メーカー(社名非公表)のオンライン・ディーラーポータルに複数の脆弱性が見つかり、管理者権限の不正取得を通じて顧客の個人・金融情報や車両データの閲覧、車両の遠隔機能の悪用(解錠など)が可能な状態だったことが判明しました。
この脆弱性を発見したのは、ソフトウェア企業「Harness」に勤務するセキュリティ研究者のイートン・ズヴェア氏です。同氏は、米国ラスベガスで開催されるセキュリティカンファレンス「Def Con」での講演に先立ち、テッククランチに詳細を語りました。
ログイン認証を完全バイパス
ズヴェア氏は、ある週末の個人プロジェクトとしてこの脆弱性を発見。ディーラーポータルのログインページのコードがユーザーのブラウザ上にロードされる仕組みを突き、コードを改変してログイン認証を完全に回避。
その結果、「全国管理者(National Admin)」アカウントを新たに作成することに成功しました。
このアカウントにより、米国内の1,000を超えるディーラーへのアクセスが可能となり、顧客の個人情報や財務データ、販売リード、車両のリアルタイム追跡情報にまでアクセスできたといいます。
VINナンバーと名前だけで車を操作可能
特に問題視されたのが、全国消費者検索ツールの存在です。このツールを使えば、車のフロントガラスにあるVIN(車両識別番号)を見ただけで、その所有者の情報を簡単に特定できました。また、オーナーの名前がわかれば、その人のアカウントに紐づく車両を乗っ取ることも可能でした。
ズヴェア氏は、友人の同意を得て実際にこの機能をテストし、遠隔で車のロックを解除することに成功しています。「名義変更には、本人であることの“誓約”だけで十分だった」とし、この手続きの簡易さに強い危機感を示しました。
他のディーラーシステムにも簡単に侵入
さらに、このポータルにはシングルサインオン(SSO)機能が実装されており、一度ログインすれば他の関連ディーラーシステムにも簡単にアクセス可能。ズヴェア氏が作成した管理者アカウントでは、「他のユーザーとしてのなりすまし」も可能で、他人のログイン情報なしでその人のアカウントとして動作できました。
このような仕様は、2023年に発見されたトヨタのディーラーポータルの問題とも類似しており、ズヴェア氏は「まさにセキュリティの悪夢」と評しています。
攻撃の可能性と修正対応
幸いにも、メーカーは過去にこの脆弱性が悪用された形跡はないとしていますが、ズヴェア氏は「このままでは窃盗犯による遠隔操作による車上荒らしや盗難が現実となり得た」と警鐘を鳴らします。なお、問題の報告から約1週間でメーカー側は修正対応を完了したとのことです。
個人の車両セキュリティを守るためにできること
-
カーナビに頻繁に訪れる場所を保存しない
-
車のWi-Fiに接続する際はVPNを利用する
-
車の「リモートアクセス」アプリに紐づいた端末を確認し、不審なものは削除する
-
メーカーのプライバシーポリシーを確認し、データの共有先を把握する
-
ソフトウェアを常に最新の状態に保つ
-
ストーカーが疑われる場合は車を物理的に点検し、不審なデバイスが取り付けられていないか確認する
-
クラウド対応のドライブレコーダーを使用している場合、映像へのアクセス権限を確認する
参照
Security flaws in a carmaker’s web portal let one hacker remotely unlock cars from anywhere








