脆弱性競技会、EVのテスラを含むIoT機器から数十の脆弱性を発見
2024年2月10日(土)13時31分 マイナビニュース
eSecurity Planetはこのほど、「Tesla Hacks Show Importance of Protecting Connected Devices」において、Trend Microが運営するZero Day Initiativeが「Pwn2Own Automotive 2024」を開催し、電気自動車に関連するモノのインターネット(IoT: Internet of Things)機器から3日間で数十の脆弱性を発見したと報じた。
○Pwn2Own Automotive 2024
「Pwn2Own Automotive 2024」はTrend Microが運営するZero Day Initiativeが2024年1月24日から26日にかけて東京ビッグサイトで開催したセキュリティコンペティション。多額の賞金が用意された大規模な脆弱性発見報奨金プログラムとされる(参考:「Zero Day Initiative — Pwn2Own Automotive 2024 - Day One Results」)。
タイトルスポンサーが電気自動車大手のTeslaということもあり、Teslaの電気自動車に関連した機器への攻撃も実施。その結果、SynacktivチームがTeslaモデムに対する3つのバグチェーンの実行に成功し、10万ドルの賞金を獲得している。他にもSony、Alpine、Pioneer、Ubiquiti、Phoenix Contactなどさまざまなメーカーの製品から脆弱性が発見され、その侵害の様子が公開されている。
○IoT機器のゼロデイの脆弱性
IoT機器に潜むゼロデイの脆弱性は、その機器への影響だけにとどまらない。侵害可能な電気自動車がオフィスの近くに止まっていた場合、電気自動車を踏み台にしてオフィスの通信機器へ横方向の侵害が行われる可能性がある。同様の危険性はすべてのIoT機器に存在するが、コンピューターのように高度なセキュリティソリューションがIoT機器には提供されていないため、潜在的なリスクに対して十分なセキュリティが確保されていないとの指摘がある。
eSecurity PlanetはこのようなIoT機器を利用する上で、最低限のセキュリティを確保するために企業が取り組むべき対策として次の行動を推奨している。
デモ製品 - IoT機器の購入検討時には、ベンダーの言葉を鵜呑みにしない。IoT製品に含まれるセキュリティ対策がどのように機能するのか説明を求める。また、その製品に焦点を当てたデモを閲覧するか、または製品が長期に渡ってどのような成功を収めたのかベンダーに確認する
ペネトレーションテスト - 接続されたIoT機器が多い場合は、ネットワーク監査を実施することが推奨される。このとき、ペネトレーションテストを実施することも推奨される。ペネトレーションテストではPwn2Own Automotive 2024と同様に、ゼロデイの脆弱性の発見が期待できる
IoT機器のセキュリティソリューション - サイバーセキュリティベンダーの中には、IoT機器をサポートする製品を提供している企業がある。また、運用・制御技術(OT: Operational Technology)向けのセキュリティソリューションを提供しているセキュリティベンダーも存在する。このような企業の製品を導入することを検討する
電気自動車も情報セキュリティの分野ではもはや安全とは言えない状況にある。Pwn2Own Automotive 2024では充電ステーションへの侵害にも成功しており、従業員の車両や充電ステーションを踏み台にして企業のネットワークが侵害される可能性もある。企業のセキュリティ担当者がすべての脆弱性を把握することはもはや困難な状況だが、侵害に遭遇した際に迅速に対応するため、できるだけ多くのセキュリティ関連情報を事前に収集しておくことが推奨されている。
○Pwn2Own Automotive 2024
「Pwn2Own Automotive 2024」はTrend Microが運営するZero Day Initiativeが2024年1月24日から26日にかけて東京ビッグサイトで開催したセキュリティコンペティション。多額の賞金が用意された大規模な脆弱性発見報奨金プログラムとされる(参考:「Zero Day Initiative — Pwn2Own Automotive 2024 - Day One Results」)。
タイトルスポンサーが電気自動車大手のTeslaということもあり、Teslaの電気自動車に関連した機器への攻撃も実施。その結果、SynacktivチームがTeslaモデムに対する3つのバグチェーンの実行に成功し、10万ドルの賞金を獲得している。他にもSony、Alpine、Pioneer、Ubiquiti、Phoenix Contactなどさまざまなメーカーの製品から脆弱性が発見され、その侵害の様子が公開されている。
○IoT機器のゼロデイの脆弱性
IoT機器に潜むゼロデイの脆弱性は、その機器への影響だけにとどまらない。侵害可能な電気自動車がオフィスの近くに止まっていた場合、電気自動車を踏み台にしてオフィスの通信機器へ横方向の侵害が行われる可能性がある。同様の危険性はすべてのIoT機器に存在するが、コンピューターのように高度なセキュリティソリューションがIoT機器には提供されていないため、潜在的なリスクに対して十分なセキュリティが確保されていないとの指摘がある。
eSecurity PlanetはこのようなIoT機器を利用する上で、最低限のセキュリティを確保するために企業が取り組むべき対策として次の行動を推奨している。
デモ製品 - IoT機器の購入検討時には、ベンダーの言葉を鵜呑みにしない。IoT製品に含まれるセキュリティ対策がどのように機能するのか説明を求める。また、その製品に焦点を当てたデモを閲覧するか、または製品が長期に渡ってどのような成功を収めたのかベンダーに確認する
ペネトレーションテスト - 接続されたIoT機器が多い場合は、ネットワーク監査を実施することが推奨される。このとき、ペネトレーションテストを実施することも推奨される。ペネトレーションテストではPwn2Own Automotive 2024と同様に、ゼロデイの脆弱性の発見が期待できる
IoT機器のセキュリティソリューション - サイバーセキュリティベンダーの中には、IoT機器をサポートする製品を提供している企業がある。また、運用・制御技術(OT: Operational Technology)向けのセキュリティソリューションを提供しているセキュリティベンダーも存在する。このような企業の製品を導入することを検討する
電気自動車も情報セキュリティの分野ではもはや安全とは言えない状況にある。Pwn2Own Automotive 2024では充電ステーションへの侵害にも成功しており、従業員の車両や充電ステーションを踏み台にして企業のネットワークが侵害される可能性もある。企業のセキュリティ担当者がすべての脆弱性を把握することはもはや困難な状況だが、侵害に遭遇した際に迅速に対応するため、できるだけ多くのセキュリティ関連情報を事前に収集しておくことが推奨されている。
