コネクテッド・カーはハッキングし放題？自動車業界は先手の対応をしていくべき。

今やさまざまな車両に搭載されているのが当たり前になった車載ディスプレイとエンターテインメントシステムだが、進化の裏ではこれまでにない、非常に危険な問題も引き起こしている。果たして自動車業界はこうした問題に適切に対応できるのだろうか。


▲自動車の車載システムはハッカーの脅威に晒されはじめている

スマートフォンから自動車が乗っ取れる！？

ジープ・チェロキーでハイウェイを走行中、突然エアコンが冷気を最大風量で吹き出し、ワイパーとウィンドウウォッシャーが動きだし、あまつさえスローダウンまでしてしまう。そして車載ディスプレイには遠隔操作でクルマを操っていたハッカーたちの姿が……こんなショッキングな映像が米WIRED誌で公開され、クライスラーは140万台以上の車載エンターテインメントシステム「Uconnect」搭載車のリコールを行った。


▲大規模なリコールにも関わらず、Uconnectのウェブサイトにはリコールに関する情報が表立って表示されていない。このあたりに危機感の薄さが感じられる（Uconnectサイトより）

これは、8.4インチの車載ディスプレイを搭載する「Uconnect」搭載車に共通する脆弱性に起因する問題だ。これらの車両は米携帯電話会社Sprintのネットワークを使い、スマートフォンのアプリ経由でリモートでロックを解除したり、エンジンをスタートするといった操作が可能なのだが、そこを突いて、対象となる車両のIPアドレス（インターネット上で機器を特定するために割り当てられる番号のこと）がわかれば、インターネット経由で車両にアクセスし、遠隔操作できることが証明されてしまったのだ。

幸い、この問題を解決するためのソフトウェアパッチ（ソフトウェアの問題を解決するアップデータ）が配布され、次いでリコール処理となった。また米Sprint社もインターネット側から車両を特定してアクセスできないような仕組みに切り替えたという。今の所、この問題で事故が起きたという報告も今のところはない。

しかし、その後もGMの車載情報システム「OnStar」にも同様にセキュリティホールが見つかり、スマートフォンからドアロックを解除したり、リモートスタートできる様子が公開されるなど、インターネットに接続できる、いわゆる「コネクテッド・カー」には脆弱性の問題がまだまだ登場する余地がある。


▲GMのOnStarもわずか100ドル程度のパーツを組み合わせてあっさりとクラックされた。GMは問題の修正を行ったが、まだセキュリティホールはふさぎきれていない（Youtube：Samy Kamkarより）

安全対策が後手後手に回る自動車業界

自動車業界はこれまで、衝突時などの乗員安全性には気を配ってきたが、それ以外ではせいぜい、イモビライザーなどの盗難対策を講じる程度だった。自動車は物理的に動かさなければならない乗り物なので、これまではその程度の対策だけで十分だったわけだ。

しかし、昨今は自動車はさまざまなセンサーを装着しており、全体にネットワーク（CAN）を張り巡らせている。そればかりか、ペダルやステアリングの入力もすべてバイワイヤ方式となり、走行中の制御は電気信号でおこなわれるようになった。後付けのカーナビと違い、元から搭載されているシステムでは、安全装置のオン・オフなども車載システムから行える。いわば、自動車は一種のコンピュータになったようなものだ。

問題は、そうした車載システムがインターネットにつながるようになった場合、何が起きるかについて、自動車業界が真剣に予想してこなかったことだろう。インターネットにつながるということは、それがコンピュータであれ自動車であれ、一定の悪意ある攻撃にさらされる可能性があり、こと自動車の場合は、走行中にそうした攻撃を受けた場合、致命的な問題の原因になりうる。こうした事実は少しでもITの知識があれば誰もが想定することだが、自動車業界は楽観視しすぎていたと言わざるを得ない。たとえば、いまだに、車内ネットワークはセキュリティ対策がまったく行われていないのだ。

専門以外の問題となると、自動車業界は非常に動きが緩慢で、後手後手になっていないだろうか。たとえば2013年、高級車のイグニッションキーのID証明に使われる「Megamos Crypto」システムの暗号化アルゴリズムを解読した研究者がセキュリティ関連の会議でその研究結果を発表しようとしたところ、フォルクスワーゲングループが論文の発表を差し止める訴訟を起こし、英国高等法院が会社側の言い分を認めるという一幕があった。


▲結果として研究結果の発表は取り下げられ、代わりに背景となる技術の説明だけが発表された（Usenix：2013年度サイトより）

確かに、高級車の盗難につながる情報の公開は自動車会社やパーツメーカーにとっては大きな痛手になるため、せめて対策の準備ができるまでは発表を差し止めたかった気持ちはわかる。だが、その後もイグニッションキー周りのアルゴリズムが変わったという話を聞かないところを見ると、差し止めるだけ差し止めて満足してしまったのではないか、という恐れを抱かずにいられない。臭いモノに蓋をしただけの対策では、本質的な問題は何も解消しないのに、だ。

自動車だけの問題ではない

インターネットに接続するのがパソコンやスマートフォンだけでなく、自動車や家電にも広がっていく、いわゆる「Internet of Things：IoT、モノのインターネット」の時代が到来している。こうした機器が蔓延してくると、いちいち人が設定しなくても、モノが環境や人に合わせて様々な設定を済ませてくれたり、インターネット経由で遠隔操作ができるようになったりと、生活は便利になっていく。

一方で、こうした機器が乗っ取られたことを考えると、その被害は現在のハッキング被害の数倍〜数十倍の規模になる恐れがある。何より、クレジットカードの番号を盗まれたり、プライバシーを覗かれるといった程度では済まない、物理的な身の危険につながる恐れがあるのだ。

こうしたリスクを恐れすぎてIoTのメリットを捨てる愚は犯さなくてもいいが、せめてクライスラーやGMの失敗を他山の石として用心せねばなるまい。時代に対応できず、なかなか体質が変わらない業界に対しては、ユーザーからもメーカーの対応への厳しい目を向ける必要があるのではないだろうか。

［ライター・画像/海老原昭］