約1年前、セキュリティ研究者のサム・カリーは、近い将来にハッキングを許可するという条件で、母親にスバル車を買った。
カリー氏が2023年型インプレッサのインターネット接続機能の調査と悪用方法の模索を始めたのは、昨年11月、感謝祭で実家にいた時だった。予想通り、彼とオンラインで共同研究している研究者のシュバム・シャー氏は、スバルのウェブポータルに脆弱性を発見した。この脆弱性を突くことで、車のロック解除、クラクションの鳴らし方、エンジン始動の方法を乗っ取ることが可能になり、これらの機能の制御を任意のスマートフォンやコンピューターに再割り当てすることができた。
しかし、カリーにとって最も気がかりだったのは、スバルの位置も追跡できることがわかったことだ。単に現在の位置だけでなく、母親が所有していた1年間の車の位置まで追跡できたのだ。カリーによると、車の位置情報の地図は非常に正確で詳細だったため、母親の通院先や友人の家、さらには教会に行くたびにどの駐車場に車を停めていたかまで把握できたという。
サム・カリーの母親の2023年型スバル・インプレッサの1年間の位置データ。セキュリティ上の脆弱性を利用して、カリーとシャーはスバルの従業員管理ポータルからこのデータにアクセスできた。
スクリーンショット提供:サム・カリー「少なくとも1年分の車の位置履歴を取得できます。正確に、時には1日に複数回、位置情報が記録されます」とカリー氏は言う。「浮気をしていたとしても、中絶をしていたとしても、あるいは何らかの政治団体に所属していたとしても、これを誰かに対する武器として利用できるシナリオは無数にあります。」
カリー氏とシャー氏は本日、ブログ記事で数百万台ものスバル車をハッキング・追跡した手法を公開した。この手法により、ハッカーは米国、カナダ、日本で「スターリンク」として知られるデジタル機能を搭載した同社の車両を標的にすることが可能になったと彼らは考えている。スバルの従業員向けウェブサイトに発見された脆弱性により、ハッカーは従業員のアカウントを乗っ取り、車両のスターリンク機能の制御権を再割り当てするだけでなく、従業員が利用できるすべての車両位置情報(エンジン始動時の車両位置情報を含む)にアクセスすることが可能になった。詳細は以下の動画を参照のこと。
カリー氏とシャー氏は11月下旬にスバルに調査結果を報告し、スバルは速やかにスターリンクのセキュリティ欠陥を修正した。しかし、研究者らは、スバルのウェブ脆弱性は、彼らと共同研究する他のセキュリティ研究者が発見した、アキュラ、ジェネシス、ホンダ、ヒュンダイ、インフィニティ、起亜、トヨタなど12社を超える自動車メーカーに影響を与えている一連の同様のウェブベースの欠陥の最新のものに過ぎないと警告している。他の自動車メーカーのウェブツールにも、まだ発見されていない同様の深刻なハッキング可能なバグが存在することはほぼ間違いないと彼らは述べている。
特にスバルのケースでは、今回の発見は、スバルのポータルにアクセスできる者が顧客の行動をいかに広範囲に追跡できるかを示唆していると指摘している。これは、この問題を露呈させたウェブの脆弱性よりもはるかに長く続くプライバシー問題となるだろう。「問題は、たとえパッチが当てられたとしても、スバルの従業員にとってはこの機能が依然として存在するということです」とカリー氏は言う。「従業員が1年分の位置情報履歴を表示できるのは、ごく普通の機能です。」
WIREDがカリー氏とシャー氏の調査結果についてスバルにコメントを求めたところ、広報担当者は声明で「独立したセキュリティ研究者からの報告を受け、スバルはStarlinkサービスに第三者がStarlinkアカウントにアクセスできる可能性のある脆弱性を発見しました。この脆弱性は直ちに修正され、顧客情報が不正にアクセスされることはありませんでした」と回答しました。
スバルの広報担当者はWIREDに対し、「スバル・オブ・アメリカには、職務の関連性に基づき、位置情報にアクセスできる従業員がいます」と認めた。同社は例として、衝突が検知された場合に車両の位置情報を救急隊員と共有するために、従業員にアクセス権が付与されていると説明した。「これらの従業員は全員、適切なトレーニングを受けており、必要に応じて適切なプライバシー、セキュリティ、および秘密保持契約に署名することが義務付けられています」とスバルの声明は付け加えた。「これらのシステムには、現代のサイバー脅威に対応するために継続的に進化しているセキュリティ監視ソリューションが導入されています。」
スバルが衝突事故を救急隊員に通知した例について、カリー氏は、1年分の位置履歴はほとんど必要ないだろうと指摘する。同社はWIREDの取材に対し、顧客の位置情報履歴をどれくらい遡って保存し、従業員に提供しているかを尋ねたが、回答は得られなかった。
シャー氏とカリー氏の研究がスバルの脆弱性発見につながったきっかけは、カリー氏の母親のStarlinkアプリがSubaruCS.comというドメインに接続していることを発見したことだった。彼らはこのドメインが従業員用の管理ドメインであることに気づいた。そのサイトでセキュリティ上の欠陥がないか調べたところ、従業員のメールアドレスを推測するだけでパスワードをリセットできることがわかった。つまり、メールアドレスが見つかった従業員のアカウントを乗っ取ることができたのだ。パスワードリセット機能では2つのセキュリティの質問への回答が求められたが、その回答はスバルのサーバー上ではなく、ユーザーのブラウザでローカルに実行されるコードで確認されており、安全策を簡単に回避できることがわかった。「実際には、複数のシステム上の欠陥がこの件につながったのです」とシャー氏は語る。
2人の研究者は、LinkedInでスバルのスターリンク開発者のメールアドレスを見つけ、その従業員のアカウントを乗っ取ったところ、その従業員のアクセス権限を使って、スバルのオーナーの姓、郵便番号、メールアドレス、電話番号、またはナンバープレートを検索し、スターリンクの設定にアクセスできることをすぐに発見したと述べています。そして数秒のうちに、そのユーザーの車両のスターリンク機能の制御を再割り当てすることができました。これには、以下のビデオに示されているように、遠隔操作で車のロックを解除したり、クラクションを鳴らしたり、イグニッションを始動したり、車の位置を特定したりする機能が含まれます。
これらの脆弱性だけでも、ドライバーにとって深刻な盗難や安全上のリスクとなります。カリー氏とシャー氏は、ハッカーがストーカー行為や窃盗の標的として被害者を狙い、誰かの車の位置を調べ、いつでも車のロックを解除できた可能性があると指摘しています。ただし、窃盗犯は、キーなしで車が走り去るのを防ぐイモビライザーを無効にする別の手法も何らかの方法で使用する必要があります。
こうした自動車のハッキングと追跡技術は、決して珍しいものではありません。昨年夏、カリー氏ともう一人の研究者ネイコ・リベラ氏は、起亜自動車が販売した何百万台もの車両で同様のトリックを実行できることをWIREDに実証しました。それ以前の2年間、カリー氏とシャー氏も参加する大規模な研究者グループが、アキュラ、BMW、フェラーリ、ジェネシス、ホンダ、ヒュンダイ、インフィニティ、メルセデス・ベンツ、日産、ロールスロイス、トヨタが販売した車両に影響を与えるWebベースのセキュリティ脆弱性を発見していました。
カリー氏とシャー氏によると、スバルのケースでさらに珍しいのは、少なくとも1年前まで遡る詳細なスバルの位置履歴データにアクセスできたことだ。スバルは実際には複数年分の位置データを収集している可能性があるが、カリー氏とシャー氏は、スバルを約1年間所有していたカリー氏の母親のみを対象にこの技術をテストした。
カリー氏は、スバルの広範な位置情報追跡は、自動車業界がドライバーの個人データの収集拡大に関してプライバシー保護を怠っていることを如実に示す、特に憂慮すべき事例だと主張する。「全くもって常軌を逸しています」と彼は言う。「Googleの社員がGmailでメールを閲覧できるはずがないと思われているのに、スバルの管理パネルには社員が位置情報履歴を閲覧できるボタンが文字通りあるのです。」
2人の研究者の研究は、自動車会社が収集する膨大な位置情報データに対する懸念の高まりに拍車をかけている。12月には、ドイツのハッカー集団「カオス・コンピューター」と「デア・シュピーゲル」に内部告発者が提供した情報から、フォルクスワーゲンと提携するソフトウェア会社「カリアド」が、80万台の電気自動車の詳細な位置情報データをオンライン上に公開していたことが明らかになった。モジラ財団のプライバシー研究者は9月、報告書の中で「現代の自動車はプライバシーの悪夢だ」と警告し、92%の自動車が収集データに対する所有者のコントロールをほとんど、あるいは全く与えておらず、84%がユーザーの情報を販売または共有する権利を留保していると指摘した。(スバルはWIREDに対し、「位置情報データは販売していない」と述べている。)
「インターネットに接続するドアベルや時計が私たちをスパイしているのではないかと心配していた一方で、自動車メーカーは自社の車を強力なデータ収集マシンに変えることで、ひっそりとデータビジネスに参入した」とMozillaの報告書には記されている。
カリー氏とシャー氏がスバルの追跡システムにおけるセキュリティ上の脆弱性を発見したことは、そのデータの漏洩が特にひどいものであることを示しているが、脆弱性が修正された今でもプライバシーの問題は以前ほど憂慮すべきものではないと、自動車のデータ追跡を制限する法律の制定を目指してきたカリフォルニア消費者連盟の事務局長ロバート・ヘレル氏は言う。
「スバルには、恐ろしいほど詳細な情報を持っている従業員が大勢いるようです」とヘレル氏は言う。「従業員たちは、自分たちが気づいていない方法で追跡されているのです。」
2025 年 1 月 23 日午後 4 時 23 分更新 (EST): 研究者の研究範囲を明確にするため、記事のサブ見出しが更新されました。
