車両の接続性が高まる現代において、 Subaru の Starlink システムで発見された重大なセキュリティ脆弱性は、現代の自動車技術が直面するサイバーセキュリティの課題を浮き彫りにしています。すでに修正されたこの脆弱性により、悪意のある攻撃者が車両への不正アクセスやユーザーの機密データにアクセスすることが可能でした。
セキュリティ侵害
セキュリティ研究者の Sam Curry 氏と Shubham Shah 氏は、アメリカ、カナダ、日本の車両に影響を与えた Subaru の Starlink 接続車両サービスにおける深刻な脆弱性を発見しました。この攻撃を実行するために必要な情報は最小限で、運転者の姓と郵便番号、メールアドレス、電話番号、またはナンバープレートのいずれかを組み合わせるだけでした。この脆弱性により、重要な車両機能とユーザーの機密データへの不正アクセスが可能となりました。
影響を受けた地域:
- United States
- Canada
- Japan
アクセスの範囲
この脆弱性により、攻撃者はエンジンの遠隔始動・停止、ドアのロック・解除、リアルタイムの位置追跡など、前例のない車両制御が可能となりました。さらに懸念されるのは、駐車位置まで正確に記録された1年分の詳細な位置履歴へのアクセスです。自宅住所、支払い情報、緊急連絡先、車両履歴などの個人情報も露出していました。
露出されたデータの種類:
- リアルタイムの車両位置情報
- 1年分の位置履歴
- 車両制御機能
- 個人情報
- 請求明細
- 緊急連絡先
- サポート通話履歴
- 走行距離計の読み取り値
- 前所有者情報
技術的な脆弱性
この侵害は、 Subaru の従業員ポータルと認証システムの脆弱性に起因していました。 Starlink のログインは二要素認証とセキュリティ質問で保護されているはずでしたが、研究者たちはウェブサイトのコードを単純に修正することでこれらのセキュリティ対策を回避できることを発見しました。この実装の欠陥により、パスワード保護システムが事実上無効化されていました。
Subaru の対応と継続的な懸念
Subaru は通知を受けてから24時間以内に脆弱性を修正するという迅速な対応を見せましたが、この事件は同社内のデータアクセスに関する深刻な問題を提起しています。現在の Subaru の従業員は、位置履歴や個人情報を含む顧客情報に対して、最小限の監視しかない広範なアクセス権を持っています。同社はこのアクセスが緊急サービスとサポート機能に必要だと主張していますが、プライバシー擁護者たちはデータ保持とアクセス権限の範囲に疑問を投げかけています。
 |
|---|
| Subaru の看板は、セキュリティの脆弱性に対するブランドの対応と、データアクセスに関する継続的な懸念を象徴しています |
業界全体への影響
このセキュリティ侵害は、自動車のサイバーセキュリティ脆弱性における大きなトレンドを示しています。車両の接続性が高まるにつれ、ユーザーのプライバシーと安全性を脅かす可能性のあるサイバー攻撃のリスクが増大しています。この事件は、自動車業界がサイバーセキュリティ対策を強化し、データ保護とアクセス制御へのアプローチを見直す必要性を示す警鐘となっています。