電気自動車の充電ステーションの脆弱性と広範な基準の欠如は、ドライバーと電力網を脅かしています。
写真:ケリー・サーフォス/エレクトリファイ・アメリカ
この記事は 、気候、正義、解決策を扱う非営利メディア組織Gristと共同で出版されました。
スカイ・マルコムは、愛車のキアEV6のバッテリー残量が少なくなりかけていたため、インディアナ州テレホート近郊の急速充電器群に車を停めて充電しようとした。充電が終わると、近くの充電器をチラチラと覗き込んだ。すると、特に目を引く充電器が一つあった。
他のElectrify Americaのウェルカムスクリーンには事務的な画面が表示されていたが、今回の画面にはバイデン大統領が指を差している写真と「私がやった!」というキャプションが表示されていた。これは、昨年ガソリン価格が高騰した際に大統領批判派がガソリンスタンドに貼り始めたミームと同じもので、画面上で20回も繰り返し表示されていた。
「残念ながら、それほど驚くようなことではありませんでした」と、マルコム氏は昨年秋に偶然遭遇したハッキングについて語る。こうした不正行為はますます蔓延している。ウクライナ戦争勃発当初、ハッカーたちはロシアのモスクワ・サンクトペテルブルク高速道路沿いの充電ステーションに不正アクセスし、利用者に反プーチンのメッセージを表示するように仕向けた。同じ頃、イギリスのサイバー犯罪者たちは公共の充電器にポルノ動画を放送するようにプログラムした。今年だけでも、YouTubeチャンネル「The Kilowatts」の司会者が、Electrify Americaの充電ステーションのOSを乗っ取ることが可能であることを示す動画をツイートした。
これまでのところ、こうした侵害は比較的無害なものにとどまっているものの、サイバーセキュリティの専門家は、真に悪質な犯罪者による侵害は、その影響をはるかに深刻化すると指摘しています。企業、政府、そして消費者が充電器の設置に躍起になれば、リスクは増大する一方です。
近年、セキュリティ研究者やホワイトハットハッカーは、インターネットに接続された家庭用および公共の充電機器に広範な脆弱性を発見しています。これらの脆弱性は、顧客データの漏洩、Wi-Fiネットワークへの侵入、そして最悪の場合、電力網のダウンにつながる可能性があります。こうした危険性を踏まえ、デバイスメーカーからバイデン政権に至るまで、あらゆる関係者が、ますます普及するこれらの機器のセキュリティ強化とセキュリティ基準の確立に急いで取り組んでいます。
「これは重大な問題です」と、サンディア国立研究所のサイバーセキュリティ研究者ジェイ・ジョンソン氏は言う。「もしこれを正しく対処しなければ、この国にとって非常に壊滅的な状況を招く可能性があります。」
EV充電器のセキュリティ上の脆弱性は、簡単に見つけられる。ジョンソン氏らは、昨年秋に学術誌「 Energies」に掲載された論文で、既知の欠陥をまとめた。ハッカーがユーザーを追跡できる可能性から、「家庭や企業のWi-Fiネットワークを侵害する可能性のある」脆弱性まで、あらゆる脆弱性が見つかった。コンコルディア大学が主導し、昨年学術誌「Computers & Security 」に掲載された別の研究では、充電器の遠隔操作によるオン/オフやマルウェアの展開など、12種類以上の「深刻な脆弱性」が指摘されている。
英国のセキュリティ調査会社Pen Test Partnersは、18ヶ月かけて7種類の人気EV充電器を分析した結果、5機種に重大な欠陥があることを発見しました。例えば、人気の高いChargepointネットワークに、ハッカーがユーザーの機密情報を入手するために悪用する可能性のあるソフトウェアバグを発見しました(チームはそのようなデータを入手する前に調査を中止しました)。英国でProject EVが販売した充電器では、研究者がファームウェアを上書きすることができました。
ペンテスト・パートナーズの共同創業者であるケン・マンロー氏は、こうした脆弱性によってハッカーが車両データや消費者のクレジットカード情報にアクセスできるようになる可能性があると述べている。しかし、彼にとって最も懸念される脆弱性は、コンコルディアでのテストと同様に、多くのデバイスでハッカーが充電を任意に停止したり開始したりできることをチームが発見した点だろう。これは、必要な時にバッテリーが満充電されていないという苛立ちをドライバーに与える可能性があるが、真に壊滅的な被害をもたらす可能性があるのは、こうした累積的な影響である。
「問題はあなたの充電器の問題ではなく、皆の充電器が同時に利用されるかどうかです」と彼は言う。多くの家庭ユーザーは、電力を消費していなくても車を充電器に接続したままにしている。例えば、仕事帰りに充電プラグを差し込み、夜間の料金が安い時間帯に充電するように設定している人もいる。もしハッカーが数千、あるいは数百万もの充電器を同時にオンオフすれば、電力網が不安定になり、場合によっては電力網全体がダウンしてしまう可能性がある。
「我々は意図せずして、国家が電力網に攻撃できる武器を作ってしまった」とマンロー氏は言う。2021年、ハッカーがコロニアル・パイプラインを乗っ取り、全米のガソリン供給を混乱させた時、米国はそのような攻撃がどのようなものになるかを垣間見た。同社が数百万ドルの身代金を支払ったことで、攻撃は終結した。
マンロー氏が消費者に最も強く推奨するのは、家庭用充電器をインターネットに接続しないことです。これにより、ほとんどの脆弱性の悪用を防ぐことができます。しかし、安全対策の大部分はメーカー側が行う必要があります。
「こうしたサービスを提供する企業には、その安全性を確保する責任があります」と、デジタル権利擁護団体である電子フロンティア財団のシニアスタッフテクノロジスト、ジェイコブ・ホフマン=アンドリュースは言う。「ある程度、接続するデバイスを信頼する必要があるのです。」
Electrify Americaはインタビューの要請を断った。マルコム氏とKilowattsが記録した問題について、広報担当のオクタビオ・ナヴァロ氏はメールで、インシデントは隔離されており、迅速に修正プログラムが適用されたと述べた。同社は声明で、「Electrify Americaは、自社と顧客を守るための対策を常に監視・強化しており、リスク軽減のための発電所およびネットワーク設計に注力しています」と述べた。
Pen Test Partnersは調査結果の中で、特定された脆弱性の修正に企業は概ね迅速に対応しており、ChargePointをはじめとする企業は24時間以内に脆弱性を解消したと報告しています(ただし、ある企業は既存の脆弱性を修正しようとする際に新たな脆弱性を作り出してしまいました)。Project EVはPen Test Partnersの調査には回答しませんでしたが、最終的には「強力な認証と承認」を実装しました。しかしながら、専門家は、サイバーセキュリティ業界がモグラ叩きのようなアプローチから脱却すべき時期はとうに過ぎていると主張しています。
「誰もがこれが問題であることを知っており、多くの人が最善の解決策を模索しています」とジョンソン氏は述べ、進歩も見られていると付け加えた。例えば、多くの公共充電ステーションは、より安全なデータ伝送方法にアップグレードしている。しかし、統一された基準については、「まだ規制がほとんどありません」とジョンソン氏は指摘する。
状況を変えようとする動きがいくつか見られてきました。2021年の超党派インフラ法には、全米の電気自動車充電ネットワーク拡大のための約75億ドルが含まれており、バイデン政権はサイバーセキュリティをこの取り組みの一部に組み入れました。昨年秋、ホワイトハウスはメーカーと政策立案者を集め、ますます重要になる電気自動車充電ハードウェアを適切に保護するための方策について議論しました。
「私たちの重要なインフラは、セキュリティとレジリエンスの基準を満たす必要があります」と、ホワイトハウス国家サイバー局長室のチーフストラテジスト、ハリー・クレイサ氏は述べています。また、EVのサイバーセキュリティ強化は、リスク軽減だけでなく、信頼の構築も重要だと主張しました。「安全なシステムは、次世代のデジタル基盤への自信を与え、これまで以上に高い目標を掲げることができるようになります」と彼は述べています。
連邦道路局(FHA)は今年初め、インフラ法に基づいて資金提供される充電器に対し、各州が「適切な」サイバーセキュリティ戦略を実施することを義務付ける規則を最終決定した。しかしジョンソン氏によると、この規制は、インフラ法の予算範囲外で設置された充電器、さらには既に全国で10万台以上設置されている充電器を除外しているという。さらに、各州は具体的な対策についてほとんど詳細を明らかにしていないとジョンソン氏は指摘する。「各州の計画を詳しく調べれば、サイバーセキュリティに関する要件が非常に薄いことが分かります」とジョンソン氏は言う。「私が目にしたほとんどの計画は、ベストプラクティスに従うと述べているだけでした。」
ベストプラクティスとは何かは、依然として明確に定義されていない。ジョンソン氏とサンディア国立研究所の同僚たちは、充電器メーカー向けの勧告を発表した。また、米国立標準技術研究所(NIST)が急速充電の枠組みを策定しており、これが将来の規制の策定に役立つ可能性があるとジョンソン氏は指摘した。しかし最終的には、電気自動車に特化した2022年のサイバー医療保護・変革法に似たものを望んでいるという。
「規制は、業界全体に基本的なセキュリティ基準の向上を促す手段です」と彼は述べ、米国の政策立案者にとってモデルまたは出発点となる他国の最近の法律を指摘した。例えば昨年、英国はEV充電器に対する一連の要件を導入し、強化された暗号化および認証基準、改ざん検知アラート、ランダム遅延機能などを導入した。
後者は、充電器が最大10分のランダムな時間遅延でオン/オフできる必要があることを意味します。これにより、停電やハッキングが発生した後、エリア内のすべての充電器が同時にオンラインになった場合の影響を軽減できます。「急上昇が発生しないので、これは素晴らしいことです」とマンロー氏は言います。「電力網への脅威がなくなります。」
ジョンソン氏は、業界は理想よりは遅いとはいえ、正しい方向に進んでいると楽観視している。「(より厳しい基準が)実現しないなど考えられません。ただ、時間がかかるだけです」と彼は言う。そして、彼は決して不必要な不安を煽るつもりはなく、むしろ改善に向けて着実に圧力をかけていきたいと考えている。
「確かに恐ろしいものだ」と彼は言う。「だが、恐怖をあおるべきものではない」
受信箱に届く:ウィル・ナイトのAIラボがAIの進歩を探る
