記事本文(要約)
PCAutomotiveの研究者たちは、2020年製の第2世代日産リーフに存在する複数の脆弱性を悪用し、リモートで車をハッキングできることを実証しました。この脆弱性は、車の内部ネットワークへの侵入を可能にするインフォテインメントシステムのBluetooth機能を利用し、権限をエスカレートしてインターネット経由でEVにステルスかつ持続的にアクセスできるC&Cチャネルを確立するものです。この攻撃によって、車の位置情報を追跡する、インフォテインメントシステムの画面をキャプチャーする、車内の会話を録音するなどのスパイ行為が可能になるほか、ドア、ワイパー、ホーン、ミラー、窓、ライト、さらにはステアリングホイールまで、車の様々な物理的機能をリモートで制御できることが判明しました。これらの脆弱性にはCVE-2025-32056からCVE-2025-32063の8つのCVE識別子が割り当てられています。日産はこの脆弱性を認め、安全のために対策を進めると述べています。また、PCAutomotiveはこの攻撃手法を示す動画を公開しました。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 10 Apr 2025 10:40:00 +0000
Original URL: https://www.securityweek.com/nissan-leaf-hacked-for-remote-spying-physical-takeover/
詳細な技術情報
- CVE番号
- 本件での脆弱性には、CVE-2025-32056からCVE-2025-32063までの8つのCVE識別子が割り当てられています。これらは2023年8月に最初に開示され、2024年1月にNissanによって確認されました。
- 脆弱性の仕組み
- 今回発見された脆弱性は、主に車載情報エンターテインメントシステムのBluetooth機能を用いて内部ネットワークに侵入することにより悪用されます。これにより、攻撃者は権限の昇格を行い、車両内の通信を介してステルスかつ永続的なアクセスを維持することが可能となります。
- 攻撃手法
- Bluetooth侵入: 戦略的にBluetoothを利用して車両の内部ネットワークにアクセスし、不正な権限を獲得。
- C&Cチャネルの確立: セルラー通信を介してコマンド&コントロール(C&C)チャネルを確立し、外部からのアクセスを容易にした上で持続的なアクセスを維持。
- 遠隔操作: 車両の物理機能(ドア、ワイパー、ホーン、ミラー、窓、ライト、さらには走行中のステアリングホイール)を遠隔で制御。
- 潜在的な影響
- プライバシー侵害: 車両の位置追跡や、インフォテインメントシステムのスクリーンショットの取得、車内の会話の録音。
- 物理的危険性: 車の操縦や制御を奪われることによる安全性の大幅低下が懸念されます。特に走行中に操作される場合、重大な事故を引き起こす可能性があります。
- 推奨される対策
- ソフトウェアアップデート: 車両のファームウェアおよびソフトウェアのアップデートを迅速に配布し、既知の脆弱性を修正する。
- Bluetoothのセキュリティ強化: 使用していない時にはBluetoothを無効化するか、セキュリティ設定を強化する。
- ネットワークモニタリングの強化: 異常な通信やアクセスの兆候を監視するため、車両内部のネットワーク監視を導入する。
- 顧客への情報提供: このような脆弱性が存在する可能性や、対策について日常的な注意を促す。
- 総評
- このような自動車の脆弱性は乗員の安全に直接影響を及ぼすため、迅速かつ効果的な対応が必要です。Nissanは既にこの問題への対策に取り組んでおり、顧客の安全と安心を最優先に開発を進めるべきです。自動車メーカーは、ますます複雑化するサイバー攻撃に対抗する技術の開発を続けることが求められています。
