Last Updated on 2024-11-11 16:20 by admin
マツダの車載インフォテインメントシステムに6つの重大な脆弱性が発見された。この発見は2024年11月9日、セキュリティ研究機関Trend Microのゼロデイ・イニシアチブ(ZDI)によって公表された。
影響を受けるのは、ミシガン州に本社を置くVisteon Corporation社が開発したマツダコネクト・コネクティビティ・マスターユニット(CMU)を搭載した車両で、具体的にはマツダ3やCX-3、CX-5、CX-9などの最近のモデルが該当する。
発見された6つの脆弱性は以下の通り:
- CVE-2024-8358、8359、8360:ソフトウェアアップデート時のファイル処理に関する脆弱性
- CVE-2024-8357:Linux搭載SoCの起動プロセスにおける認証欠如
- CVE-2024-8355:Appleデバイス接続時のSQL注入の脆弱性
- CVE-2024-8356:CMUソフトウェアアップデートプロセスの検証欠如
これらの脆弱性は、USBデバイスを車両のセンターコンソールに物理的に挿入することで悪用が可能となる。最も深刻な脆弱性であるCVE-2024-8356では、車両の中枢システムであるCANバスへのアクセスが可能となり、エンジンやエアバッグなどの重要な制御システムに影響を与える可能性がある。
本稿執筆時点(2024年11月9日)で、これらの脆弱性はすべて未修正の状態にある。共通脆弱性評価システム(CVSS)によるスコアは現時点で未評価である。
from:6 Infotainment Bugs Allow Mazdas to Be Hacked With USBs
【編集部解説】
特筆すべきは、これらの脆弱性が最新のソフトウェアバージョン(74.00.324A)で発見されたという点です。これは、長年市場に出回っている成熟した自動車製品であっても、重大な脆弱性が潜んでいる可能性を示しています。
実は、マツダコネクトシステムには活発な「Mod」コミュニティが存在しており、以前からカスタマイズ目的でこれらの脆弱性が利用されてきた経緯があります。しかし、今回の発見はそれとは異なり、車両の安全性に直接影響を与える可能性がある深刻なものです。
特に注目すべきは、CANバスへのアクセスを可能にする脆弱性です。CANバスは車両の神経系統とも言える制御ネットワークで、エンジン、ブレーキ、エアバッグなどの重要なシステムを接続しています。この脆弱性が悪用された場合、車両の安全性に関わる深刻な問題となる可能性があります。
しかし、過度な懸念は不要かもしれません。これらの脆弱性を悪用するためには、物理的なUSBアクセスが必要です。また、マツダによると、マツダコネクトで制御できる機能は限定的で、ステアリング、アクセル、ブレーキなどの直接的な車両制御には影響しないとされています。
将来的な課題として、自動車業界全体でのセキュリティ対策の強化が求められます。特に、ハードウェアの設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」の考え方が重要になってきています。
また、この事例は自動車のソフトウェアアップデート方法についても再考を促しています。無線経由のアップデート(OTA)の重要性が指摘されており、BMWやメルセデス・ベンツなどはすでにOTAによるセキュリティ更新を実装しています。
今後、自動車はますますコネクテッド化が進み、決済機能なども追加されていく可能性があります。そのため、セキュリティリスクは単なる車両制御の問題だけでなく、個人情報や決済データの保護にも及ぶことが予想されます。