コネクテッドカー
コネクテッドカーに注目し始めるサイバー犯罪のアンダーグラウンド
自動化と接続性に関する技術の進歩が、コネクテッドカーの新たなスマート機能の発展を加速させています。このため、コネクテッドカーは、いまや大量のデータを生成するマシンとして機能しており、地理的位置情報、速度、加速、エンジン性能、燃費効率などの情報を備えた「移動するデータセンター」のような存在になっています。
自動化と接続性に関する技術の進歩が、コネクテッドカーの新たなスマート機能の発展を加速させています。このため、コネクテッドカーは、いまや大量のデータを生成するマシンとして機能しており、地理的位置情報、速度、加速、エンジン性能、燃費効率などの情報を備えた「移動するデータセンター」のような存在になっています。調査機関McKinseyのレポートによると、コネクテッドカーは1時間に最大25ギガバイトのデータを処理すると言います。自動車のネットワークが従来のITネットワークに近づく中、コネクテッドカーは、サイバー攻撃のリスクに直面しています。本稿では、現在及び将来のコネクテッドカーに対するサイバー犯罪の動向を解説します。
コネクテッドカーに対する現在および今後のアンダーグラウンド市場からの攻撃
コネクテッドカーを対象としたセキュリティリサーチャーによる独自攻撃や脆弱性悪用の概念実証については、トレンドマイクロでも以前から認識しています。CANインジェクションという技術を利用した2022年7月の自動車盗難などは、コネクテッドカーに関連する犯罪事例の報告でした。一方、最近のサイバー犯罪アンダーグラウンドのフォーラムで話題になっているコネクテッドカーへの「サイバー攻撃」は、主に自動車のカスタマイズ、いわゆるカーモディングに関連するものとなっています。カーモディングは、愛好者が自動車の特定の機能を解放したり、走行距離を調整したりするために実施されます。例えば、車の組み込み機能をハックして、自動車メーカー(OEM)が追加料金で提供するシートヒーターを有効にしたり、走行距離を少なく表示するためにソフトウェアを調整したりします。このような操作はOEM(他社ブランド車の委託製造業者)の利益に影響を与えるかもしれませんが、実際のコネクテッドカーの利用者を直接攻撃するわけではないので、カーモディングを本当に「サイバー攻撃」として見るべきかは疑問です。
一般に理解されている従来型の犯罪におけるビジネスモデルを見てみましょう。通常において(接続されていない)自動車が盗まれた場合、犯罪者の取る行動は以下のようになります。
- 同じ国内で再販する(これは先進国ではほとんど行われていません。車は簡単に追跡され、容易に逮捕されるため、ほぼ必ず海外に輸送されています)
- 別の国に輸出する
- 部品として販売する
- ラムレイド(窃盗を目的として、車やトラックを利用して商店やショップのガラス窓や入口を突き破る犯罪行為)や麻薬の運搬など、他の犯罪を行うために使用する
コネクテッドカーが盗まれた場合、状況は大きく異なります。
- コネクテッドカーはほとんど常時オンラインで、その接続性を活用して多くの機能を提供しています。そのため、追跡が比較的容易です。例えば、Tesla社の自動車の回収率は約98%と非常に高く、これは従来の自動車を含む米国の平均回収率よりも40ポイント以上高い数字です。
- このため、コネクテッドカーを盗むリスクは大きく、同じ国内で買い手を見つけるのは、法執行機関が容易に車を追跡できるため、非常に困難です。犯罪者が何らかの方法で車をオフラインにしたとしても、オンライン機能が利用できないため再販は難しいでしょう。輸出することも考えられますが、機能の喪失は、遠隔地での購入者を遠ざける要因となります。
- コネクテッドカーの多くは、オンライン機能を利用するためのユーザアカウントが必要です。このアカウントへのアクセスがあれば、不正な方法で自動車を外部から制御することも考えられます。例えば、遠隔操作でのドアの解錠や、エンジンの起動などです。これにより、犯罪者は、ユーザアカウントの不正利用や、アカウントの売買といった新しい犯罪手法を取ることが考えられます。
現在、車のユーザアカウントの乗っ取りは、サイバー犯罪者の新しい手口の1つとなっています。ユーザアカウントへ不正にアクセスすることで、犯罪者は自動車の位置を特定します。そして、入手したアカウント情報や侵入後に窃取した部品などを売却したり、さらには他の犯罪者へ販売したりといった犯罪行為を行うことができます。また、このアカウントへのアクセスにより、自動車の所有者の住所や、所有者が不在の時間帯も知ることが可能になります。このような行為は、サイバー犯罪者と従来の犯罪グループとの共謀が必要となるでしょう。実際、過去にATMの強盗において、Carbanak、Cobaltのようなマルウェアによる大規模な攻撃でこうした共謀は確認されており、犯罪組織は10億ユーロ以上の利益を得たと言われています。
コネクテッドカーのユーザアカウントに不正アクセスし、その情報を売買する行為も、サイバー犯罪の新しいビジネスモデルとして注目されています。
コネクテッドカーからの窃取情報を巡るサイバー犯罪アンダーグラウンド市場
トレンドマイクロでは、OEMへの攻撃を追跡するために、サイバー犯罪者アンダーグラウンドのフォーラムを調査しました。調査の結果、侵害されたネットワークやVPNアクセスの販売例をいくつか確認したものの、フォーラムの議論は、IT資産を巡る収益化モデルに絞られていました。この点から、サイバー犯罪者は、コネクテッドカーから情報の価値や、その窃取情報に対する市場の需要をまだ完全には把握していないと考えられます。
現在までのところ、トレンドマイクロでも、自動車のユーザアカウントへ不正アクセスを試みる具体的な攻撃例を確認していません。サイバー犯罪者がランダムにリリースした窃取情報を確認した範囲でも、OEMから収集された情報が存在していましたが、コネクテッドカーの情報とは直接関連してはいませんでした。
コネクテッドカーからの窃取情報を取引するサイバー犯罪の市場はまだ初期段階ですが、この状況が永遠に続くわけではないでしょう。第三者がコネクテッドカーの情報を広く利用し始めれば、その価値は急速に高まると考えられます。例えば、銀行がコネクテッドカーの情報をもとにローンの条件や自動車の価値を判断するようになれば、こういった情報の意味と価値がさらに増すでしょう。こうした事実をサイバー犯罪者も早々と察知し、これらを狙う情報窃取の手口が登場する可能性が高まります。利用できる手口や技術は、すでに犯罪者の目の前にあり、利益を追求する彼らが行動を起こすのは時間の問題と言えます。
コネクテッドカーのユーザ情報を保護する
犯罪の調査に際して、専門家は「犯罪の三角形」という理論を取り上げることがよくあります。この理論は、犯罪の動機、対象、そして行為の機会がなければ犯罪は起きないという考え方です。現段階では、コネクテッドカーの利用者はサイバー犯罪者の主要なターゲットではありません。まだ彼らが市場の大部分を占めていないからです。しかし、コネクテッドカーの利用者数は増加の一途を辿っており、近い将来には主流となるでしょう。コネクテッドカーを攻撃するチャンスはすでに存在していますが、サイバー犯罪者たちはまだその機会を重視していないだけです。すでにサイバー犯罪者は、フィッシング、情報窃取、キーロギングといった手法によるアカウント乗っ取りの手口に熟知しています。他方、コネクテッドカーのユーザ情報への不正アクセスから利益を得る方法は存在しますが、それを十分に利用する方法はまだ確立されていないとも言えます。サイバー犯罪者がこの部分について有効な利用方法を見つけたとき、コネクテッドカーは、格好の標的となり、攻撃は急増するでしょう。
現在、自動車自体よりもコネクテッドカーのユーザ情報をいかに保護すべきかが最大のセキュリティリスクとなっています。しかし今後3年から5年にかけて、コネクテッドカーに保存された情報のエコシステムが拡大するにつれ、こうした状況は変化していく可能性があります。
OEMやサイバーセキュリティの専門家にとっては、今の段階でさえ、コネクテッドカーにおける情報の安全を確保することが極めて重要です。そのための方法として、コネクテッドカーのユーザアカウントに多要素認証を導入することで、さらなるセキュリティを確保することが可能となります。
上述のとおり、攻撃者はコネクテッドカーのユーザ情報へアクセスを試みる際、不正な車載インフォテインメント(IVI)アプリ、安全でないIVIアプリ、ネットワーク接続への侵害など、さまざまな手法を利用します。OEMは、車内のIVIシステムに保存されているプライベート情報への不正アクセスを防ぐため、VicOneのソリューションSmart Cockpit Protectionの導入により、不正なアプリを検出・ブロックすることが可能となります。さらに、別の記事(英語)でも言及したとおり、攻撃者は安全でないWebブラウザを通じてプライベート情報を窃取しています。このため、コネクテッドカーのユーザは、Webブラウザの脆弱性を定期的に検出し、不正なWebサイトへのアクセスを阻止するための注意喚起を行うSmart Cockpit Protectionの導入が推奨されます。
参考記事:
What Lies in Store for Connected Cars in the Cybercriminal Underground?
By Numaan Huq, Vladimir Kropotov, and David Sancho (Senior Threat Researchers, Trend Micro), and Rainer Vosseler (Manager, Threat Research, Trend Micro)
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)