innovaTopia

Tech for Human Evolution

車載ダッシュカム脆弱性:わずか6分で侵入可能 – 研究者が「ドライブスルーハッキング」の危険性を警告

車載ダッシュカム脆弱性:わずか6分で侵入可能 - 研究者が「ドライブスルーハッキング」の危険性を警告 - innovaTopia - (イノベトピア)

車載ダッシュカム脆弱性:ドライブスルーの待ち時間で侵入可能 – 研究者が24種類以上のモデルに警鐘

米Dark Reading(2025年2月27日付)によると、グローバルテック社のサイバーセキュリティ研究者ジョージ・チェン氏とHE&Tセキュリティラボの共同創設者アリナ・タン氏らの研究チームは、24種類以上の車載ダッシュカメラモデルに深刻なセキュリティ脆弱性を発見しました。この脆弱性により、ハッカーはドライブスルーで注文から受け取りまでの約6分間でダッシュカムに侵入し、車内の会話や位置情報などの機密データにアクセスできることが明らかになりました。

研究チームはこの手法を「ドライブスルーハッキング」と名付けました。チェン氏は自分のモバイルデバイスを新しいダッシュカムに接続した際、隣に駐車していた同じモデルのダッシュカムを使用する車の32GBの映像、走行ルート、録音された会話、カメラ設定に無制限にアクセスできることに気づいたといいます。

特に深刻なのは、一部のダッシュカムモデルではデバイスのデフォルトSSIDやパスワードを変更できないことです。研究チームは複数の駐車場を調査し、駐車モードで放送し続けている多数のダッシュカムSSIDを発見しました。

この研究結果は2025年4月1日から4日に開催される予定のブラックハットアジアカンファレンスで発表されます。研究チームは、調査した24台以上のダッシュカムのうち、すでにCVE(共通脆弱性識別子)が割り当てられていたのはわずか2台だったと述べています。

研究者らは、ダッシュカムベンダーがセキュア・バイ・デザインの原則を採用し、各層で適切な認証とSSID露出の削減により、デバイスがデフォルトで安全であることを確保することを推奨しています。

from:Hackers Can Crack Into Car Cameras in Minutes Flat

【編集部解説】

車載カメラのセキュリティ脆弱性に関する今回の報道は、私たちの日常生活に密接に関わる自動車テクノロジーの「影」の部分を浮き彫りにしています。

この「ドライブスルーハッキング」と呼ばれる手法は、研究者のジョージ・チェン氏が偶然発見したものです。彼は自分のモバイルデバイスを新しいダッシュカムに接続した際、隣に駐車していた同じモデルのダッシュカムを使用している車の映像や走行ルート、会話などに無制限にアクセスできてしまったことに気づきました。

この発見を受けて、チェン氏はグローバルテック社の研究者チームやHE&Tセキュリティラボの共同創設者アリナ・タン氏と共に調査を進め、24種類以上のダッシュカムモデルに同様の脆弱性が存在することを突き止めました。

特に注目すべきは、この脆弱性を悪用するのにかかる時間がわずか6分程度という点です。これはドライブスルーで注文から受け取りまでにかかる時間と同じくらいの短さです。

この問題の背景には、IoTデバイスの急速な普及があります。車載カメラも例外ではなく、多くの製品が「セキュリティ・バイ・デザイン」の原則を無視して開発されています。

元記事によると、研究チームはこの脆弱性を利用して取得した映像や会話をLLM(大規模言語モデル)を活用したパイプラインで処理し、機密情報を抽出して視覚的に提示するデモンストレーションも準備しているとのことです。これは、攻撃者がどれだけの情報を短時間で明らかにできるかを示す不穏なデモンストレーションとなるでしょう。

これらの事例は、コネクテッドカー時代における新たなセキュリティリスクの出現を示しています。自動車は今や単なる移動手段ではなく、複雑なコンピュータシステムの集合体となっており、そのセキュリティ対策は従来の自動車セキュリティとは全く異なるアプローチが必要です。

特に懸念されるのは、これらの脆弱性が単にプライバシー侵害だけでなく、車両の安全性にも影響を与える可能性があることです。元記事では、初期アクセスが二次的な攻撃に利用される可能性があり、相互接続されている場合は他の車両システムへの侵入や重要な車両機能の操作につながる可能性があると指摘されています。

一方で、こうした研究は自動車業界に警鐘を鳴らし、セキュリティ対策の強化を促す重要な役割も果たしています。研究者たちは発見した脆弱性を責任を持って製造元に報告し、修正を促しています。

今後、自動車メーカーやダッシュカムベンダーは、製品開発の初期段階からセキュリティを考慮した「セキュア・バイ・デザイン」の原則を採用することが不可欠です。また、消費者も製品購入時にセキュリティ機能を確認し、定期的なファームウェアの更新などの基本的な対策を講じることが重要になるでしょう。

テクノロジーの進化とともに、私たちの生活はより便利になる一方で、新たなリスクも生まれています。こうしたリスクを理解し、適切に対処することで、テクノロジーの恩恵を安全に享受することができるのです。

【用語解説】

  • ワードライビング(Wardriving):
    車で移動しながら無線LANアクセスポイントを探索し、その情報を記録する行為です。簡単に言えば「車でWi-Fiを探す」活動です。今回の「ドライブスルーハッキング」はこの発展形と言えます。
  • SSID:
    Service Set Identifierの略で、Wi-Fiネットワークの名前のことです。スマートフォンでWi-Fi設定を開いたときに表示されるネットワーク名がこれにあたります。
  • CVE:
    Common Vulnerabilities and Exposuresの略で、公開された情報セキュリティの脆弱性や危険性に関する共通識別子です。セキュリティ上の問題に固有の番号を付けて管理するシステムです。
  • ファームウェア(Firmware):ハードウェアを制御するためのソフトウェアで、デバイスの基本的な機能を提供します。
  • セキュア・バイ・デザイン(Secure by Design):製品やシステムの設計段階からセキュリティを考慮し、脆弱性を最小限に抑える設計手法です。
  • IoT(モノのインターネット):Internet of Thingsの略で、インターネットを介して相互に接続された物理的なデバイスやシステムのネットワークを指します。

【参考リンク】

  • Black Hat Asia(外部)
    セキュリティ研究者が最新の脆弱性や対策を発表する国際的なセキュリティカンファレンス
  • Thinkware(外部)
    ダッシュカムを製造する主要メーカーの一つ。多くの車載カメラモデルを提供

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 車載ダッシュカム脆弱性:わずか6分で侵入可能 – 研究者が「ドライブスルーハッキング」の危険性を警告