運転できなければよい？！

CVE-2019-20626とCVE-2022-27254という2つの脆弱性があります。
これらはいずれも車のキーレスエントリーシステムに関する脆弱性です。

ある研究者が2017年にこの問題を発見し、CVE-2019-20626としてその問題は登録されました。
この問題は該当するメーカーにも伝えられ、研究者が対策すべきと考える問題は製造者も把握した状態になりました。

別の研究者がCVE-2022-27254を登録しています。
CVE-2022-27254を登録した研究者の言では、この問題の内容はCVE-2019-20626と同じであるということです。
2019年にはCVE番号が登録されるに至った問題が2022年時点でも解消されていないということのようです。
CVE-2019-20626の情報を把握した後もこの問題は何ら対策がされることなく同じ脆弱性を維持したままそのキーレスエントリーシステムは生産が継続されたということです。

この脆弱性があるシステムを使う場合、次のようなことが可能です。

• ドアのロック、ロック解除
• 窓の開閉
• トランクの開放
• エンジンの始動

この問題に対し、車の製造者側の見解は次のようなものだったそうです。

• 報告された事象の検証は実施していない
• 製造済みの車を更新する予定はない
• 走行を開始することはできない
  正規のキーがないままでドアロックの解除ができてエンジンが始動できたとしても走行を開始することはできないそうです。
  正規のキーが社内に存在する状態でない場合イモビライザーが作用し、報告された事象があったとしても運転はできないということです。

製造者側の都合で過去の機種に変更を加えることが容易ではないという事情は想像できます。
またイモビライザーの効果で運転できないことがわかっているからいいじゃないかという理屈もある一定の理解はできます。
しかし同時に残念な気持ちになりました。

脆弱性への対策を講じる際にどこまで対策が実現できていれば良しとするのかについて、落ち着いて判断することが必要ということかもしれません。

参考記事（外部リンク）：Researchers Hack Remote Keyless System of Honda Vehicles
www.securityweek.com/researchers-hack-remote-keyless-system-honda-vehicles