運転できなければよい?!

ほぼこもセキュリティニュース By Terilogy Worx

CVE-2019-20626とCVE-2022-27254という2つの脆弱性があります。
これらはいずれも車のキーレスエントリーシステムに関する脆弱性です。

ある研究者が2017年にこの問題を発見し、CVE-2019-20626としてその問題は登録されました。
この問題は該当するメーカーにも伝えられ、研究者が対策すべきと考える問題は製造者も把握した状態になりました。

別の研究者がCVE-2022-27254を登録しています。
CVE-2022-27254を登録した研究者の言では、この問題の内容はCVE-2019-20626と同じであるということです。
2019年にはCVE番号が登録されるに至った問題が2022年時点でも解消されていないということのようです。
CVE-2019-20626の情報を把握した後もこの問題は何ら対策がされることなく同じ脆弱性を維持したままそのキーレスエントリーシステムは生産が継続されたということです。

この脆弱性があるシステムを使う場合、次のようなことが可能です。

  • ドアのロック、ロック解除
  • 窓の開閉
  • トランクの開放
  • エンジンの始動

この問題に対し、車の製造者側の見解は次のようなものだったそうです。

  • 報告された事象の検証は実施していない
  • 製造済みの車を更新する予定はない
  • 走行を開始することはできない
    正規のキーがないままでドアロックの解除ができてエンジンが始動できたとしても走行を開始することはできないそうです。
    正規のキーが社内に存在する状態でない場合イモビライザーが作用し、報告された事象があったとしても運転はできないということです。

製造者側の都合で過去の機種に変更を加えることが容易ではないという事情は想像できます。
またイモビライザーの効果で運転できないことがわかっているからいいじゃないかという理屈もある一定の理解はできます。
しかし同時に残念な気持ちになりました。

脆弱性への対策を講じる際にどこまで対策が実現できていれば良しとするのかについて、落ち着いて判断することが必要ということかもしれません。

参考記事(外部リンク):Researchers Hack Remote Keyless System of Honda Vehicles
www.securityweek.com/researchers-hack-remote-keyless-system-honda-vehicles

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。