カスペルスキーが自動車産業の脆弱性を明らかにし、ドライバーの安全を脅かす

ジャカルタ - 世界的なサイバーセキュリティ企業であるカスペルスキーは、自動車メーカーの1つからコネクテッドカーシステムのセキュリティ上の欠陥を発見しました。

この調査結果は、この脆弱性は、一般にアクセスできる請負業者のアプリケーションのゼロデイの脆弱性から来ていると述べています。

このギャップにより、攻撃者はテレマティクスシステムを乗っ取り、エンジンを切ったり、車両が走行中にギアの交換を強制したりするなどの悪意のあるコマンドを送信することさえできます。

セキュリティ監査はリモートで実施され、メーカーと請負業者のインフラストラクチャに属する公共サービスを対象としています。カスペルスキーは、公開されたいくつかのWebサービスを特定しました。

まず、ウィキアプリのゼロデイTHE注入の脆弱性により、ハッカーがパスワードハッシュとともにユーザーリストを抽出できるTHE注入の脆弱性により、それらのいくつかは弱いパスワードセキュリティポリシーのために首尾よく推測されました。

接続された車両の側面で、カスペルスキーは誤った構成のファイアウォールを見つけ、内部サーバーを公開しました。以前に取得した資格情報を使用すると、ファイルシステムにアクセスし、テレマティクスシステムを完全に制御できる他の請負業者のアカウントを見つけることができます。

「最も心配なのは、研究者が改造されたファームウェアをテレマティクスコントロールユニット(TCU)にアップロードできるファームウェアアップデートコマンドを発見したことです」とKaspersky氏は述べています。

これにより、ドライバーと乗客の安全を危険にさらす可能性のある車両のさまざまな重要な機能の潜在的な操作が可能になります。

カスペルスキーは、請負業者がVPNを介したウェブサービスへのインターネットアクセスを制限し、企業ネットワークからサービスを隔離し、厳格なパスワードポリシーを実装し、2FAを実装し、機密データを暗号化し、レコードをSIEMシステムと統合してリアルタイム監視を行うことを推奨しています。

自動車メーカーの場合、カスペルスキーは、SIEM統合に加えて、車両ネットワークセグメントのテレマティクスプラットフォームへのアクセスを制限し、ネットワーク操作の許可リストを使用し、SSHパスワード認証を無効にし、最小限の特権でサービスを実行し、TCUでコマンドの信憑性を確保することをお勧めします。