たった2500円で作れる自動車ハッキングツール

牧野武文

September 20, 2017 08:00
by 牧野武文

中国セキュリティ企業「360」のエンジニアが、わずか150元(約2500円)でつくれる自動車ハッキングツールを開発し、米ラスベガスで開催されたハッカーイベント「Black Hat USA 2017」で発表をしたと、geekcarが報じた

近づくだけで解錠する「スマートエントリー」

キーレスエントリーは当たり前のものになっている。物理的な鍵を鍵穴に差し込んでドアを開けるのではなく、リモートキーのボタンを押すことで、ドアを開錠、施錠できるというものだ。エンジン始動は、リモートキーを身につけたまま、始動ボタンを押せばエンジンがスタートする。

さらに進化したのがスマートエントリーだ。リモートキーを持って、車に近づけば自動的に開錠し、車から離れれば施錠する。

セキュリティ企業「360」の無線電安全研究所は、このようなスマートエントリーの自動車をハックするツールを作成し、安全性に対する問題提起を行った。注目されたのは、このハッキングツールを製造するのにかかった費用が、わずか150元(約2500円)だったということだ。


ブラックハットUSAでデモをされたハッキングツール。360のエンジニアは、簡単に費用をかけず車をハッキングできることを警告している。画像はgeekcarより

遠くにいても近くにいる

このハッキングツールの仕組みは単純で、要するに電波中継機なのだ。ひとつはリモートキーのそばに置いて、もうひとつを車のそばに置くと、リモートキーと車の通信を中継して、あたかもキーがすぐそばにあるかのように、自動車のシステムを騙すことができる。

実際にハッキングを行うには、2人のハッカーが協力することが必要になる。360のエンジニアによる実演ビデオでは、自動車を盗もうとするハッカー役の2人が、カフェの近くで、カモがやってくるのを待ち構えている。

カモがやってきて、車を降り、カフェの中に入っていく。スマートエントリーシステム搭載の車であれば、それだけで自動ロックされる。1人は、カモの後ろからカフェの中に入り、レジ待ちの行列に並ぶ。ここでハッキングツールをオン。

もう一人は、車のそばでハッキングツールを起動させ、リモートキーと自動車のシステムの通信を中継する。自動車のシステムは、リモートキーがすぐそばにあると勘違いをして、ロックを解除し、エンジンをスタートできるようになる。そのまま車を運転してどこかに行ってしまえばいいのだ。

装置が誰でも解除可能

もちろん、一旦エンジンを切ってしまったら、リモートキーがそばにないので、ドアがロックされ、エンジンはスタートできなくなる。しかし、そのまま自動車工場などに運転していって、スマートエントリーシステムそのものを解除してしまえばいい。

スマートエントリーシステムでは、信号を解析して、ダミーのリモートキーを作成するなどのハッキング手法が知られているが、暗号を解読するのに高い技術とリソースが必要になる。

また、この「中継する」というハッキング手法も、360オリジナルのアイディアではなく、すでに海外に先例がある。360無線電安全研究所のデモのポイントは、「わずか150元で作れ、高い技術を必要としない」という点だ。この方法で、ハッキングできる車種は数十種あるという。つまり、さほど技術力のないダークサイドハッカーであっても、同じことができてしまうと、360は警告している。


360のエンジニアが作成した電波中継ハッキングツール。わずか2500円で作れたという。画像はgeekcarより


車を盗むには、2人の協力が必要になる。1人は、リモートキーの所有者のそばに行き、もう1人が車のそばに行く。これで、電波を中継すれば、車のシステムがリモートキーがすぐそばにあると勘違いをする。画像はgeekcarより

ニュースで学ぶ中国語

 
無鑰匙進入系統(wuyaoshi jinru xitong):キーレスエントリーシステム。キーレスシステムは、ボタンを押さなければ通信が行われないが、スマートエントリーでは常時通信をしているため、キーと車の間の電波中継をするだけでハッキングできてしまう。そのような脆弱性のある車種は数十種あるという。




地図サービスが悪用される!? 住所とピンのズレは裏世界の入り口

October 23, 2017 08:00

by 牧野武文

中国で最も多くの人が使っている百度地図に、不思議なPOI(Point of Interest)、いわゆるピンが大量に登録されている。ピンの位置と、説明に記載されている住所がまったくかけ離れているのだ。法制日報の記者が、この不思議なPOI地点に足を運んで取材をしてみると、そこは上海の裏社会に繋がってい…

こっそり仮想通貨をマイニングする侵入者たち

October 20, 2017 08:00

by Zeljka Zorz

仮想通貨を渇望しながら、購入やマイニングなどにお金を払いたくないハッカーたちは、ユーザーのウォレットやコンピューター、人気のウェブサイト、そしてパブリッククラウドコンピューティングー環境を利用して、仮想通貨を手に入れようとしている。 マイニングのソフトウェア・マルウェアは、すっかり周知となった厄介者…

IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」

October 18, 2017 08:00

by 江添 佳代子

ペネトレーションテストとセキュリティサービスの企業組織体「Pentest Partners」の研究者が先日、IoTのアダルトグッズの脆弱性に関する研究結果をブログで発表した。人々の注目を集めやすいグッズの話題だったためか、それは単純に面白いセキュリティニュースとして一般メディアでも取り上げられている…

自動で犯人を見つけて警察に通報する中国の監視カメラシステム

October 16, 2017 08:00

by 牧野武文

米国のテレビドラマ『24』に登場するCTU(Counter Terrorist Unit=テロ対策ユニット)は、街頭の監視カメラに侵入し、テロリストの姿をいったん補足すると、次々と別のカメラを使って追尾をしていくシーンがある。広東省の深圳を始めとする各都市で、このような監視カメラ追尾システムの試験運…