自動車産業 プライバシー BYD データ漏洩 ハッカー 自動車セキュリティ テレマティクス 車載データ OSINT 暗号化

現代の自動車は、スマートフォンやパソコンと同様に、GPSやテレマティクスモジュールを通じて常に追跡が可能な状態にある。特に過去20年間に製造されたほとんどの車両には、航空機のブラックボックスに相当する「車載データレコーダー」が搭載されており、走行履歴や位置情報、機械的状態などの膨大なデータを記録している。

これらのデータは、モジュールが車両から取り外された後も保持されることが多く、多くの場合は暗号化されていない。そのため、第三者が車載モジュールに物理的にアクセスできれば、車両の製造から廃棄までの全行動を再構築することが可能だ。

廃車のモジュールから全行動を再構築

白ハッカーのグループが、中国の工場で製造されイギリスで使用された後、ポーランドで廃棄されたBYD Sealのテレマティクスユニット(通話・インターネット接続機能を担うモジュール)を解析し、その実証に成功した。彼らは中古で入手したこのモジュールに顧客データが記録されている可能性が高いと判断し、独自の配線ハーネスを製作してUSBフラッシュツールと接続することでデータの読み取りを試みた。

「ubireaderツールを使用して、モデム、カスタムアプリ、システムパーティションの完全なファイルシステムを取得した」とハッカーらは報告書に記している。「抽出したファイルを分析することで、ルートファイルシステム(rootfs)やユーザースペース(usrfs)に隠された興味深いデータを発見できた」と続けた。

データが暗号化されていなかったため、解析は比較的容易だったという。ハッカーらはGNSS(全地球航法衛星システム)のログを解析し、車両の製造からイギリスでの使用、ポーランドでの廃棄に至るまでの全行動を再構築した。

「GNSSログを解析することで、中国の工場で製造されイギリスで運用された後、ポーランドで廃棄されるまでの車両の全行動を再構築できた」と彼らは述べている。「各地点の座標をマッピングすることで、車両の全行程を可視化できた」

専門的なツールやデータベースは不要

この解析には、チップ上のデータだけでなく、OSINT(オープンソースインテリジェンス)と呼ばれる公開情報を活用した。OSINTとは、インターネット上で公開されている情報を活用して調査を行う手法であり、専門的なツールや有料のデータベースを必要としない。

ハッカーらは、この2段階のアプローチにより、異常なデータポイントを実世界の出来事とリンクさせることができた。例えば、特定の座標が特定の都市の特定の建物と一致する場合、その車両がその場所を訪れた可能性が高いと推測できる。

暗号化されていないデータのリスク

この事例は、現代の自動車におけるプライバシーとセキュリティの脆弱性を浮き彫りにしている。多くの車載モジュールが暗号化されていないデータを保存しており、物理的なアクセスさえあれば誰でも簡単に解析できる状況にある。これは、個人の行動履歴や居住地、職場などの機密情報が容易に漏洩する可能性を示唆している。

自動車メーカーや関連業界は、今後、車載データの暗号化やアクセス制限の強化に取り組む必要があるだろう。また、消費者も車両購入時に搭載されているテレマティクス機能やデータ記録の有無を確認し、プライバシー保護に対する意識を高めることが重要だ。

出典: The Drive
フレームワーク、新型「Laptop 13 Pro」を発表 — Linuxユーザー向けMacBook Proの代替を目指す
← 前へ

フレームワーク、新型「Laptop 13 Pro」を発表 — Linuxユーザー向けMacBook...

 連邦準備制度理事会議長候補、トランプ発言の虚偽を暴露されたウォーシュ氏
次へ →

連邦準備制度理事会議長候補、トランプ発言の虚偽を暴露されたウォーシュ氏