テスラはこれまで、いわゆる無線アップデート(OTA)を常に誇りとしてきた。これは、バグ修正や機能追加のために新しいコードを自動的に配信するものだ。しかし、あるセキュリティ研究者は、テスラ モデルXのキーレスエントリーシステムの脆弱性を悪用して、別の種類のアップデートが可能になることを明らかにした。ハッカーはBluetooth接続を介してキーフォブのファームウェアを書き換え、フォブからロック解除コードを盗み出し、それを使ってわずか数分でモデルXを盗むことができるのだ。
ベルギーのルーヴェン・カトリック大学のセキュリティ研究者、レナート・ウーターズ氏は本日、テスラ・モデルXとそのキーレスエントリーフォブの両方で発見した一連のセキュリティ上の脆弱性を公開した。同氏は、これらの複合的な脆弱性は、車の車両識別番号(通常、車のダッシュボードでフロントガラス越しに見ることができる)を読み取り、被害者のキーフォブから約15フィート以内に近づくことができれば、自動車窃盗犯によって悪用される可能性があることを発見した。窃盗を遂行するために必要なハードウェアキットは約300ドルで、バックパックに収まり、窃盗犯の電話から制御される。わずか90秒で、ハードウェアは所有者のモデルXのロックを解除する無線コードを抽出できる。自動車窃盗犯が車内に入ると、ウーターズ氏が発見した2つ目の明確な脆弱性により、窃盗犯は1分ほどの作業で自分のキーフォブを被害者の車とペアリングし、車を運転して逃げることができる。
「基本的に、2つの脆弱性を組み合わせることで、ハッカーは数分でModel Xを盗むことができます」とウーターズ氏は述べ、1月に開催されるReal World Cryptoカンファレンスで研究結果を発表する予定だ。「これらを組み合わせると、はるかに強力な攻撃が可能になります。」
ウーターズ氏は、8月にテスラに対し、モデルXのキーレスエントリーをハッキングする手法について警告していたという。同社からは、2段階の攻撃の少なくとも1つの段階を阻止するため、今週からキーフォブ(おそらくは車両のコンポーネントも)のソフトウェアアップデートの提供を開始する予定だと伝えられたという。WIREDもテスラに連絡を取り、ソフトウェア修正の詳細を尋ねたが、返答はなかった(テスラは10月に広報チームを解散している)。テスラはウーターズ氏に対し、パッチが脆弱なすべての車両に展開されるまでには1か月近くかかる可能性があるため、モデルXの所有者はハッキングを防ぐために今後数週間のうちにテスラから提供されるアップデートを必ずインストールするようにと伝えた。その間、ベルギーの研究者は、自動車窃盗犯がこの手法を実行できるように、コードを公開したり、技術的な詳細を漏らしたりしないよう注意してきたという。
ウーターズ氏の手法は、モデルXのキーレスエントリーシステムで発見された、重大・軽微なセキュリティ上の問題群を悪用するもので、これらが組み合わさることで、車両を完全に解錠、エンジンをかけ、盗難する手段が生み出される。まず、モデルXのキーフォブには、ファームウェアアップデートのための「コード署名」と呼ばれる機能が欠けている。テスラは、モデルXのキーフォブを、モデルX内部のコンピューターにワイヤレス接続することでBluetooth経由で無線ファームウェアアップデートを受信するように設計していたが、新しいファームウェアコードにテスラの偽造不可能な暗号署名が付いているかどうかは確認していなかった。ウーターズ氏は、Bluetooth無線を搭載した自分のコンピューターを使って対象のモデルXのキーフォブに接続し、ファームウェアを書き換え、それを使ってキーフォブ内部のセキュアエンクレーブチップに問い合わせ、車両のロック解除コードを生成することができることを発見した。そして、そのコードをBluetooth経由で自分のコンピューターに送り返すことができた。このプロセス全体は90秒で完了した。
当初、ウーターズはBluetooth接続の確立がそれほど簡単ではないことに気づいた。Model XのキーフォブのBluetooth無線は、キーフォブのバッテリーを取り外して再び装着した時に、数秒間だけ「ウェイクアップ」する。しかしウーターズは、Model X内部のキーレスエントリーシステムを担うコンピューター、ボディコントロールモジュール(BCM)と呼ばれるコンポーネントが、Bluetoothウェイクアップコマンドも実行できることを発見した。eBayでModel XのBCMを50ドルから100ドルで購入することで、ウーターズはキーフォブに送信される低周波無線信号を偽装することができた。(最初のウェイクアップコマンドは約15メートルという近距離から送信する必要があるが、残りのファームウェアアップデートは、被害者が屋外にいる場合、数百フィート離れた場所から実行できる。)
ウーターズ氏はまた、BCMがキーフォブに自身の身元を証明するために使用する固有のコードを、車両のVIN(車両識別番号)の下5桁から導き出していることも発見した。窃盗犯は標的の車のフロントガラスからこれらの数字を読み取り、それを使って偽造BCM用のコードを作成できる。「こうすることで、BCMは自分が標的の車両に属していると認識するようになります」とウーターズ氏は語る。「そして、そのBCMに、その車と同じIDを持つキーフォブに起動命令を強制的に送ることができるのです。」
しかし、これほど巧妙なハッキングをしても、ウーターズが得たのは車のロック解除だけでした。ロックを解除して運転するには、さらに一歩踏み込む必要がありました。Model Xの車内に入ると、ウーターズはディスプレイ下の小さなパネルからアクセスできるポートに自分のコンピューターを接続できることを発見しました。彼によると、ダッシュボード上の小さな収納容器を引き出すだけで、工具を使わずに数秒で完了します。このポートから、コンピューターはCANバスと呼ばれる車内コンポーネントのネットワーク(BCMを含む)にコマンドを送信できます。そして、Model Xの実際のBCMに自分のキーフォブとペアリングするよう指示し、偽造したキーが有効であることを車に伝えることができました。Model Xの各キーフォブには、不正なキーとのペアリングを防ぐための固有の暗号化証明書が組み込まれているはずですが、ウーターズはBCMが実際にはその証明書をチェックしていないことを発見しました。そのため、彼はダッシュボードの下でわずか1分ほどいじくり回すだけで、自分のキーを車に登録し、車を走り去ることができたのです。
ウーターズ氏が特注したテスラ・モデルXのハッキングツールは約300ドルで製作され、モデルXのボディコントロールモジュール、分解されたキーフォブ、Raspberry Piミニコンピューター、そしてバッテリーが含まれている。提供:レナート・ウーターズ
ウーターズ氏は、発見した最も深刻な2つの脆弱性、すなわちキーフォブのファームウェアアップデートと新しいキーフォブと車のペアリングの両方における検証の欠如は、モデルXのキーレスエントリーシステムのセキュリティ設計と実装方法の間に明らかな乖離があることを示していると指摘する。「システムにはセキュリティを確保するために必要なものがすべて揃っています」とウーターズ氏は言う。「しかし、いくつかの小さなミスによって、すべてのセキュリティ対策を回避できてしまうのです。」
ウーターズ氏は自身の技術を実証するため、ブレッドボックスサイズのデバイスを組み立てました。これには、Raspberry Piミニコンピューター、中古のModel X BCM、キーフォブ、電源コンバーター、バッテリーが含まれています。バックパックの中から必要な無線コマンドをすべて送受信できるこのキット全体の費用は、わずか300ドル未満でした。さらにウーターズ氏は、上の動画で示されているように、スマートフォンのシンプルなコマンドプロンプトから、車のVIN番号の入力、ロック解除コードの取得、新しいキーのペアリングなど、すべてをステルスで操作できるように設計しました。
ウーターズ氏は、この技術が現実世界の自動車窃盗に使用された証拠はないと述べた。しかし、近年、窃盗犯はテスラのキーレスエントリーシステムを積極的に狙って車両を盗んでいる。キーフォブからの信号を増幅し、車の解錠とエンジン始動を行うリレー攻撃が、キーフォブが被害者の自宅内にあり、車が自宅の私道に駐車されている場合でも行われている。
ウーターズ氏の手法ははるかに複雑だが、テスラに警告していなければ容易に実行できたはずだと、バーミンガム大学の研究者で自動車のキーレスエントリーシステムのセキュリティに取り組んでいるフラビオ・ガルシア氏は語る。「現実的なシナリオだと思います」とガルシア氏は言う。「複数の脆弱性を巧みに組み合わせることで、車両に対するエンドツーエンドの実用的な攻撃を組み立てるのです。」
モデルXのハッキング手法は、ウーターズ氏がテスラのキーレスエントリーシステムの脆弱性を暴露した初めての事例ではない。彼は以前にも、テスラ モデルSのキーレスエントリーシステムに暗号の脆弱性を発見しており、同様に無線による車両盗難を許していた。それでも、彼はテスラのキーレスエントリーセキュリティへのアプローチに特に特異な点はないと主張する。類似のシステムも同様に脆弱である可能性が高い。「テスラはクールな車なので、取り組むのは興味深いです」とウーターズ氏は言う。「しかし、同じくらいの時間をかけて他のブランドを調べれば、おそらく同様の問題が見つかるでしょう。」
テスラのさらにユニークな点は、他の多くの自動車メーカーとは異なり、キーフォブをディーラーに持ち込んでアップデートや交換を行う必要がなく、OTAソフトウェアパッチをプッシュ配信できる点だとウーターズ氏は指摘する。これは、車をパーソナルコンピューターのように扱うことの利点でもある。たとえアップデートの仕組みがハッキング可能な脆弱性であることが判明したとしても、テスラのオーナーには問題を解決するためのライフラインが提供されるのだ。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学、その他の最新情報を知りたいですか?ニュースレターにご登録ください!
- ヒドロキシクロロキンの奇妙でねじれた物語
- 沈没船(例えばタイタニック号)から脱出する方法
- マクドナルドの未来はドライブスルーにある
- 携帯電話にどの充電器を使うかが重要な理由
- 最新のCOVIDワクチンの結果を解読
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- 💻 Gearチームのお気に入りのノートパソコン、キーボード、タイピングの代替品、ノイズキャンセリングヘッドホンで仕事の効率をアップさせましょう
