ハッカーはデジタルナンバープレートを脱獄し、他人に通行料や罰金を払わせることができる

ますます多くの州で合法的に購入でき、全米で運転できるデジタルナンバープレートは、従来の金属製ナンバープレートに比べていくつかの利点があります。例えば、ナンバープレートの表示をリアルタイムで変更して、目新しいメッセージでナンバープレートを囲んだり、盗難車であることを知らせたりすることができます。しかし今、あるセキュリティ研究者が、デジタルナンバープレートをハッキングして、より危険性の低い機能を有効にする方法を明らかにしました。それは、交通違反切符や通行料を回避するためにナンバープレートを任意に変更すること、あるいは他人のナンバープレートを偽装することさえできるのです。

セキュリティ企業IOActiveの研究員、ホセップ・ロドリゲス氏は、米国で既に6万5000枚のデジタルナンバープレートを販売しているReviver社が販売するデジタルナンバープレートを「脱獄」する手法を明らかにした。プレート裏面のステッカーを剥がし、内部コネクタにケーブルを接続するだけで、わずか数分でReviver社のプレートのファームウェアを書き換えることができる。そして、このカスタムファームウェアがインストールされた脱獄済みナンバープレートは、スマートフォンアプリからBluetooth経由でコマンドを受信し、画面表示を瞬時に変更して任意の文字や画像を表示できるようになる。

ロドリゲス氏は、このジェイルブレイクの脆弱性により、ナンバープレートを持つドライバーは、通行料金からスピード違反や駐車違反切符、警察が犯罪容疑者を追跡するために使用する自動ナンバープレート読み取り装置に至るまで、ナンバープレート番号に基づくあらゆる取り締まりや監視システムを回避できる可能性があると指摘する。「本来ユーザーにはできないはずのものを、画面に何でも表示できます」とロドリゲス氏は言う。「スピードカメラを通過しているときや、犯罪者で捕まりたくないときを想像してみてください。」

さらに悪いことに、ロドリゲス氏は、ジェイルブレイクされたナンバープレートは任意の番号だけでなく、他の車両の番号にも変更可能であると指摘する。そうなると、その車両のドライバーは悪意あるユーザーの違反切符や通行料金の請求書を受け取ることになる。「ナンバープレートの番号をいつでも変更できれば、深刻な問題を引き起こす可能性があります」とロドリゲス氏は言う。

交通関連のいたずらはさておき、ロドリゲス氏はまた、ナンバープレートをジェイルブレイクすれば、運転者はReviverの月額29.99ドルのサブスクリプション料金を支払わずに、ナンバープレートの機能を利用できるようになる可能性があると指摘している。

ナンバープレートのファームウェア書き換えを可能にした脆弱性は、ハードウェアレベル、つまりReviverのチップ自体に存在するため、ロドリゲス氏によると、Reviverが単なるソフトウェアアップデートでこの問題を修正することは不可能だという。代わりに、各ディスプレイのチップを交換する必要がある。つまり、ロドリゲス氏の警告にもかかわらず、同社のナンバープレートは依然として脆弱な状態が続く可能性が高いということだ。ロドリゲス氏によると、デジタルナンバープレートが全国で導入されるにあたり、交通政策立案者や法執行機関はこの事実を認識しておくべきだという。「今やこの問題を抱えたナンバープレートが何千枚もあり、修正するにはハードウェアの交換が必要になるため、これは大きな問題です」と彼は言う。

IOActiveは、過去1年間にわたりReviverに調査結果について何度も連絡を取ろうとしたと述べている。US CERTにも調査結果を説明したところ、US CERTもReviverに連絡を取り、この問題について問い合わせようとしたという。しかし、ReviverはWIREDに対し、IOActiveのジェイルブレイク研究について知ったのは先週WIREDが同社に連絡を取った時だったと述べている。

同社は声明の中で、通行料、違反切符、その他の法執行機関による監視を回避するためにデジタルナンバープレートをジェイルブレイクすることは「法執行機関による訴追の対象となる犯罪行為となる」と指摘した。さらに同社は、「IOActiveが特定したジェイルブレイク手法には、車両とナンバープレートへの物理的なアクセス、プレートの取り外し、特殊なツール、そして専門知識が必要」であり、「このシナリオが現実世界で発生する可能性は非常に低く、悪意のある個人が故意に法律や製品保証に違反する場合にのみ発生する」と付け加えている。Reviverはまた、将来的にロドリゲスのハッキング手法に脆弱なチップを使用しないよう、ナンバープレートの再設計を進めているという。

ロドリゲス氏は、Reviverのナンバープレートを脱獄するには車両から取り外す必要があることに同意する一方で、「特殊な工具」や「専門知識」が必要だとするReviverの主張には異議を唱えている。彼は自身の脱獄手法を開発するために、プレートの内部チップにワイヤーを接続し、電圧を監視し、特定の瞬間にその電圧を「グリッチ」させることでセキュリティ機能をオフにし、ファームウェアを解析・書き換える能力を得るという、フォールトインジェクション技術を用いていた。しかし、リバースエンジニアリングのプロセスが完了すると、彼はその結果を用いて、そうした技術的な複雑さを一切必要としない脱獄ツールを開発した。

もしそのツールが漏洩したりオンラインで販売されたりしたら（ロドリゲス氏自身は自分のツールを公開するつもりはないと述べている）、誰でも数分で自分のプレートを脱獄できる可能性があるという。「iPhoneを脱獄するのと同じように、ケーブルを接続して新しいファームウェアをインストールするだけで済みます」とロドリゲス氏は言う。

ロドリゲス氏はまた、このハッキング技術は、自分のナンバープレートをジェイルブレイクしたいドライバーだけでなく、ナンバープレートの所有者を狙う者にも悪用される可能性があると指摘している。ハッカー、あるいは駐車場係員や自動車整備士がナンバープレートを外し、独自のファームウェアをインストールできれば、ハッカーが管理するサーバーに接続するようにナンバープレートをプログラムすることで、インターネット経由で密かにナンバープレート番号を変更できるとロドリゲス氏は警告する。

しかし、このハッキングを実行するには物理的なアクセスと時間に加え、ナンバープレートの破壊工作を行うには、Reviverのナンバープレートが車両から取り外されると所有者に通知を送信する機能も突破する必要がある。ロドリゲス氏によると、そのためにはナンバープレートの無線通信を妨害する必要があり、このことが攻撃の実現可能性をさらに低くしている。ただし、不可能ではないかもしれない。

ロドリゲス氏がReviverのシステムをハッキングしたのは初めてではない。2022年、セキュリティ研究者のサム・カリー氏が同社のウェブインフラに脆弱性を発見した。この脆弱性により、カリー氏はバックエンドデータベースの管理者権限を取得し、ナンバープレートを自由に追跡・変更することが可能になった。しかし、ロドリゲス氏のハードウェアハッキングとは異なり、Reviverはウェブベースのバグを迅速に修正し、カリー氏の手法を阻止することができた。

カリー氏のウェブハッキング手法は、リバイバーのパッチが登場する前はロドリゲス氏のハードウェアハッキングよりもはるかに容易だったものの、ロドリゲス氏の手法は、リバイバーのナンバープレートを脱獄したり、脱獄済みのナンバープレートをオンラインで購入したりしようとするような、一部の違法運転者にとっては非常に魅力的だろうとカリー氏は指摘する。「ジェームズ・ボンドのようにナンバープレートの番号を交換したい場合、猛スピードで運転すれば、駐車場に車を停めることなく、数時間だけナンバープレートを変更して元に戻すことができます」とカリー氏は言う。「道路で大混乱を引き起こしているような人たちは、きっとこの方法に熱中するでしょう。」

デジタルナンバープレートは現在、カリフォルニア州とアリゾナ州で購入・登録が合法化されており（ミシガン州も一時的に許可していました）、今後数年間でさらに多くの州が合法化を検討しています。こうした展開が進むにつれ、ロドリゲス氏とカリー氏は、ナンバープレートを識別子としてのみ利用するシステムは、デジタルナンバープレートのハッキングの危険にさらされる可能性があり、その結果、混乱が生じる可能性があることを、ナンバープレートメーカー、交通規制当局、そして法執行機関はすべて認識する必要があると主張しています。

「誰かが彼らを困らせることは想定しておくべきだ」とカリーは言う。「そして、人々はそれがもたらす影響を受け入れる必要がある」

2024 年 12 月 16 日午後 12 時 48 分 (EST) 更新: ミシガン州のデジタル ナンバー プレートに関するポリシーを明確化しました。

2024年12月17日午前11時55分（米国東部標準時）更新：記事掲載後、Reviverは、同社のナンバープレートに搭載されている脆弱なモジュールにはGPSが搭載されていないことを明確にしました。この新しい情報を反映して記事を更新しました。