{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
仮想空間を活用したコネクテッドカーに対するハッキングコンテスト開催 ~CTF for Connected Carsからの示唆
2022-07-01
1.コネクテッドカーのサイバーリスク
コネクテッドカーや自動運転が身近なものになりつつありますが、それに伴い、コネクテッドカーに対するサイバー攻撃の脅威は増大しています。
コネクテッドカーに対する攻撃は自動車単体にとどまらず、常時稼働しているコネクテッドサービスもターゲットとなります。コネクテッドサービスは多数の車両に関わっているため、攻撃が成功した際には大規模かつ多数の自動車あるいは車両オーナーに被害がおよぶ可能性があります。
自動車そのものはいわばICS(産業制御システム)に近いものですが、コネクテッドサービスを提供するコネクテッドサーバーはITシステムとなっています。そこに多くのITシステムと同様にインターネット経由でアクセスできる個人情報や自動車に関する情報などが蓄積されています。
コネクテッドサーバーへの攻撃は技術的にはITシステムへの攻撃とほぼ同じと考えることができますが、被害内容や社会への影響は一般のITシステムよりも大きくなることが想定されます。そのため、ITシステムへの攻撃とコネクテッドサーバーへの攻撃を判別する必要があります。
コネクテッドサーバーを介してのコネクテッドカーに対する攻撃可能性を検証するため、車両を含むコネクテッドシステムの攻撃検証用システムを用意し、CTFを実施しました。
2.ハッキングコンテストの概要 - コネクテッドカーCTFとは
今回開催したCTFは、コネクテッドサーバーを介してコネクテッドカーを攻撃する形式としました。用意されたコネクテッドカーシステムに対してリモート攻撃を行い、発見した脆弱性の数・性質、報告内容によってスコアをつけ、国内外(台湾、シンガポール、イタリア、日本)から9チームが参加し、48時間にわたって競技を行いました。
今回CTFのために用意したシステムは大きく3つに分かれています。
Connected Partはコネクテッドサーバーであり、ウェブアプリケーション、サーバーアプリケーション、データベースなどからなります。
TCU(Telematics Control Unit)Partは、Connected Partからの指令を受け取り、Vehicle Simulator Partの制御を行います。
また、このシステムで実現されたコネクテッド機能は下記のようになっています。
発見された脆弱性は8件
最終的にウェブアプリケーション脆弱性7件、データベースからユーザーIDを窃取できる脆弱性が1件、合計8件の脆弱性が発見されました。論理的には侵入が可能となる脆弱性も見つかりましたが、実際に車両の侵入にいたった攻撃はありませんでした。しかし、このうち2件の脆弱性を組み合わせることによって、他人の車両を操作できる可能性がありました。
| # | Target | Vulnerability Report |
|---|---|---|
| 1 | Web Portal | Single Page ApplicationであるフロントのWebpackを解析し、本来閲覧できない情報が閲覧できた。 |
| 2 | Database | NoSQLインジェクションを利用して、他者のユーザーIDを取得できる。 |
| 3 | Web Portal | X-Forwarded-Forを偽造することでログイン試行回数の制限をバイパスできる。 |
| 4 | Web Portal | パストラバーサルの脆弱性により本来意図しないファイルを取得することができる。 |
| 5 | Web Portal | (理論的には)URLを書き換えることでXSSが可能だが、ブラウザでの実行は不可。 |
| 6 | Web Portal | (理論的には)urパラメータのエスケープ漏れを利用して書き換え、レスポンスJSONファイルを書き換えることが可能。報告では、urパラメータの書き換えができていない。 |
| 7 | Web Portal | (理論的には)Hostヘッダーを書き換えることで、XSSが可能。報告では、Hostヘッダーの書き換えができていない。 |
| 8 | Web Portal | (理論的には)任意のCSSが読み込まれる可能性がある。実際に任意のCSSを読み込めていない(攻撃者がCSSをディレクトリに置けていない)。 |
結果からわかったこと
単体の脆弱性によるリスク判断では不十分で、複数の脆弱性を組み合わせることで有効な攻撃を行える可能性があります。今回見つかった単体の脆弱性のうち2番目と3番目を組み合わせることで、他者のパスワードに対して無制限にログインを試みることが可能になります。
ITシステムへの攻撃方法のみの知見でも自動車への攻撃は可能であることがわかりました。脆弱性の発見に用いられた手法は車に特化したものではなく、一般的なウェブサーバーへの攻撃でも用いられるものでした。また、発見された脆弱性も同様です。ここからさらに車両の制御を奪うには、車に特化した知識が必要となりますが、コネクテッドサーバーを攻撃する範囲では一般的なウェブサーバーへの攻撃知識があれば足りることがわかりました。このことはコネクテッドカーの普及によって攻撃者の裾野が広がることを意味しています。
イベント後に一部の参加チームとディスカッションしたところ、主宰者側が用意したダミーデータが有効であったことが確認できました。このことから攻撃者を罠に誘導(ディセプション)、ハニーポッドを設置するなどの対策が有効である可能性があることがわかりました。また、対策効果は、ハッカーとの情報交換が重要となります。
3.コネクテッドカーセキュリティを推進する上で重要な3つの視点
コネクテッドカーのセキュリティを考えるにあたって、次の3つの視点が必要になると考えます。
1.車とITの融合
コネクテッドサービスは、インターネット上のウェブサービスを介して車両操作・機能を提供しています。そのため、既存Web・ITに関するセキュリティの知見と、車両に関するセキュリティの知見の双方が必要となります。車載セキュリティ組織とITセキュリティ組織の有機的な連携が不可欠となります。
一般的にITとICS/OTの間には技術そのものだけでなく、文化的な壁があることによって統合的な体制をとりにくいことがわかっています。コネクテッドカーは、このふたつが融合して実現されているサービスのためふたつの技術と組織の統合的体制が課題となります。
2.被害の制御
コネクテッドサーバーはインターネットに接続されているため、ランサムウェアなどの脅威に常にさらされることになります。最近はIAB(イニシャル・アクセスブローカー)や攻撃に必要なリソース(ゼロデイ脆弱性、攻撃ツール、アクセスなど)を提供するquartermasterの影響力も拡大しており、コネクテッドサーバーがこれらのターゲットになる可能性は低くありません。
こうした攻撃を完全に防御することは不可能であり、被害を最小限に制御することが現実的と言えます。そのために多層防御(図の上の流れ)やディセプション技術(図の下の流れ)等で、「攻撃の遅滞化」や「被害の局所化」を行い、車両に被害が及ばないようにします。
ディセプションでは攻撃者をダミーの車両に誘導するだけではなく、攻撃が成功したと錯覚させ、ダミー環境に攻撃者を長く留まらせる事がポイントで、その結果として実環境への攻撃を遅らせることが期待されます。
3.攻撃手法の収集
サイバー攻撃は日進月歩であり、車両に到達する新たな攻撃手法の出現は必然です。業界全体として取り組み、共有し、対策を講じることが重要になってきます。
くわえて未来の脅威に備えるためには、最先端ホワイトハッカー・研究者との対話や継続的な最新情報収集・理解の取り組みが必要です。
脆弱性情報や、脆弱性を悪用した攻撃に関する脅威情報は、各企業が個別に収集や分析をするだけではなく、自動車業界全体で活用できるよう発信・共有していく事が今後の課題です。
執筆者
和栗 直英
シニアマネージャー, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
