スバルのスターリンク脆弱性により車が遠隔ハッキングの危険にさらされる

スバルのスターリンクコネクテッドカーサービスに重大な脆弱性があり、米国、カナダ、日本の車両と顧客アカウントがサイバー攻撃の危険にさらされていた。セキュリティ研究者のサム・カリー氏は、同僚の研究者シュバム・シャー氏とともに、攻撃者がスバルのコネクテッドカーシステムの管理者権限を取得し、車両の遠隔操作や機密性の高い顧客データへのアクセスを可能にする重大な欠陥を発見した。

スバル車向けの車載インフォテインメントおよびコネクテッド サービス システムである Starlink は、リモート車両制御、ナビゲーション、緊急サービスなどの機能を提供するように設計されています。しかし、研究者は、従業員専用のシステムの管理パネルのセキュリティが不十分であることを発見しました。subarucs.com のサブドメインでホストされている管理ポータルは、JavaScript コードの認証プロトコルが弱いため、悪用される可能性があります。具体的には、攻撃者は確認トークンを必要とせずに有効な従業員アカウントのパスワードをリセットでき、セキュリティ保護を効果的に回避できます。

正規の従業員のメール アドレスを特定することで、Curry 氏と Shah 氏はアカウントのパスワードをリセットし、クライアント側のオーバーレイを無効にして 2 要素認証をバイパスすることができました。これにより、管理ダッシュボードへの完全なアクセス権が付与され、大量の機密データが明らかになりました。氏名、郵便番号、電話番号、メール アドレス、請求の詳細などの顧客情報、および車両識別番号や過去の位置情報などの車両固有のデータを閲覧できました。

脆弱性はデータ漏洩だけにとどまりませんでした。カリー氏によると、管理パネルにより研究者は車両を変更したり、車両へのアクセスを許可したりすることもできました。これには、所有者に知られずに遠隔で車両の始動、停止、ロック、ロック解除を行うことが含まれます。驚くべき発見として、攻撃者は正当な所有者に警告することなく、自分自身を車両の承認済みユーザーとして追加し、事実上車両の制御を乗っ取ることができることが実証されました。

カリー氏は2024年11月20日にスバルにこの欠陥を報告した。スバルは迅速に行動し、報告を受けてから24時間以内に問題を解決した。この迅速な対応により当面のリスクは軽減されたが、今回の発見は自動車のサイバーセキュリティに根強い弱点があることを浮き彫りにした。

カリー氏がコネクテッドカーシステムの脆弱性を暴露したのは今回が初めてではない。2023年にカリー氏と研究者チームは、16社の自動車メーカーのテレマティクスシステム、自動車API、コネクテッドカーインフラに影響を及ぼすセキュリティ上の欠陥を明らかにした。これには、複数のブランドがリモートハッキングの危険にさらされることになった、Sirius XMテレマティクスシステムの注目度の高い問題も含まれていた。さらにカリー氏は以前、起亜自動車の自動車所有者プラットフォームのバグを発見し、数百万台の自動車を危険にさらしていた。

スバル スターリンクの事例は、コネクテッドカー エコシステムにおける厳格なセキュリティ テストの重要性を強調しています。車両への IoT システムの統合が進むにつれて、メーカーはデータ侵害や遠隔地からの車両乗っ取りから保護するために、強力なサイバー セキュリティ対策を優先する必要があります。そうしないと、ドライバーはますます高度化するサイバー攻撃に対して無防備になる可能性があります。