車載ネットワークのハッキングコンテストで日本人優勝のニュース

セキュリティ

セキュリティのニュースや記事についてはいつも複数のサイトを追っているのですが、その中でも気になった記事を紹介します。

「DEFCON 26」で行われた暗号化車載ネットワークのハッキングコンテストで優勝した際の記事が中々面白かったので紹介します。

なお、前もって記載しておくと記事内の佐藤勝彦氏との面識はなく、私自身も株式会社イエラエセキュリティとは繋がりはありません。(知り合いは多少いますが。)

どんなコンテストであったか?

以下の二つの記事を参考に記載します。(それぞれ元記事へリンクしてあります。)

車載ネットワークのハッキングコンテストで優勝 – イエラエ佐藤勝彦氏

「DEFCON 26」で行われた 暗号化車載ネットワークのハッキングコンテストで優勝

イスラエルのKaramba Securityが主催したハッキング技術を競うコンテスト。暗号化通信を行う車載ネットワークを模した機器をラジコンカーに搭載し、ステアリングやアクセル操作のコントロールを奪う課題で争った。

イスラエル主催のハッキング技術コンテストというところから既にすごいですね。

車関係は最近インターネットに接続できるのが当たり前になりつつあります。道路情報の取得や自動運転の車等既に皆様も聞いたことがあると思います。

なので、自動車関係のハッキングは今後ハッカーの狙い目にもなると言われています。(既になっている可能性もあります。)
※昔のバットマンで、車が乗っ取られるシーンありましたよね?あんな感じのことがリアルで起こる可能性がるということです。

なので、セキュリティ業界の隅っこで働いてる人間(私のこと)でもこの記事は興味が出ました。

どうやってハッキングしたの?

記事では詳細に書いていなかったのですが、リプレイ攻撃を使用して制御装置を乗っ取ったとのことです。

リプレイ攻撃:認証に関する通信を盗聴し、同じ内容を再度送信してなりすましを行う。
参考:https://www.ipa.go.jp/files/000040778.pdf

IPAでの説明では認証に関する通信となっていますが、車(大会ではラジコンカー)を制御する通信を拾って、それをハッカーが再度投げつけることで車を制御し、最終的には乗っ取ったということです。
※しかも暗号化を解読しなくてもそれを成し遂げたとのこと(すごい!)

文字のみだと分り難いと思いますので、図示してみました。私の想像を含んでいますので、認識に相違があるかもしれません。(佐藤様、間違っていたらごめんなさい。)

①最初制御装置(図ではロボット)から車に対して、暗号化された制御メッセージが送信されます。
※もちろん実際送信される内容はもっと複雑なものだと思います。

②メッセージを受け取った車はメッセージのとおり、右に行きます。

③攻撃者はその通信内容に何が記載されているかは分りませんが、そのメッセージを送った後に車が右に行ったという事象は確認することができます。

④次に攻撃者はそのメッセージを取得できているので、自らも同じメッセージを車へ送信します。

⑤すると車側は正規のメッセージと勘違いして右に曲がってしまいます。

イエラエセキュリティのプレスをみると、かなり条件がシビアのようですが、攻撃が実際に成功し自動車の制御を乗っ取ることに成功したようです。
(どうやって自動車の制御を乗っ取るまで行けたのかが気になる!)

また、主催者側が2日半を想定していた工程をわずか一日で終わらせたところもすごいですね。
主催泣かせですね。

このニュースの所管

日本のエンジニアは海外から見ると遅れているとよく言われていますが、実際はそんなことないぞ!と私は常に思っているのですが、こういった記事を見るととても元気が出て刺激になりますね!
※偉そうに聞こえたらすみません。。。そんなつもりは毛頭ないです。

私自身もエンジニアの端くれですが、負けじと頑張っていきたいです。(まずは英語の壁を何とかせねば・・・)

また、今後のセキュリティの状況を考える上でインターネット上のWebサイトやそのサーバ群に対しての診断以外に、IoT機器や自動車の制御等のセキュリティについてもしっかり対応していく必要がありそうです。

自動車会社関係は資本としてもかなり大きいので、セキュリティ業界各社がどう関われるかは業界の生き残りの戦略の一つとして考えていく必要があるかと思います。

今後とも気になる記事やニュースがあればこちらにアップしていきますので、興味がある方は見て行って貰えれば幸いです。この記事について書いてみて!とかあれば前向きに検討しますので、ご連絡ください。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

コメント