Mofope

Troubleshooting

スバルのハッキングで位置情報が流出、リモートアクセスが可能に

Mofope
fqab
0 Comments
スバルのハッキングで位置情報が流出、リモートアクセスが可能に
スバルのハッキングで位置情報が流出、リモートアクセスが可能に

車はこれまで以上にインターネットに接続できるようになっていることは周知の事実です。これは、駐車した場所を思い出すときや、ベッドにいながら車の窓の霜取りを始めたいときなどに役立ちます。しかし、スバル車とその Starlink ソフトウェアに対する新たなハッキングが示すように、この最新技術にはセキュリティとプライバシーに関する懸念が伴います。

セキュリティ研究者のサム・カリー氏とシュバム・シャー氏は、ブログ記事で、スバルが運営するコネクテッドカーサービス「Starlink」にリモートハッキングした方法を説明しています。具体的には、カリー氏の母親の車のソフトウェアを標的としましたが、米国、カナダ、日本のスバル車にも同じプラットフォームが運用されています。

運転手の姓と郵便番号、メールアドレス、電話番号、またはナンバープレートの情報にアクセスすることで、カリー氏とシャー氏はスバル車のエンジン始動、停止、施錠・解錠、そして現在位置の取得に成功した。さらに、1年間分の位置情報履歴(駐車場所まで)を閲覧することもできた。

同じハッキングにより、運転手の住所、請求情報(クレジットカード番号は非公開)、緊急連絡先などの個人情報にもアクセス可能でした。サポートへの通話履歴、走行距離計の記録、そして車の以前の所有者にもアクセス可能でした。

カリー氏とシャー氏は、友人の一人が所有するスバル車でアクセスをテストし、再びアクセスが成功した。しかも、アクセスされていることをドライバーに通知したり警告したりすることなく、アクセスは可能だった。必要なのは、Starlinkポータルへのログインとドライバーの基本情報の入力だけだった。

スバルログイン

スバルの従業員向けポータルサイトがハッキングの標的となった。 写真提供:サム・カリー

Starlinkのログインは二要素認証とセキュリティ質問で保護されていましたが、これらのセキュリティ対策は特殊な方法で適用されており、研究者たちはウェブサイトのコードを修正してこれらの対策を無視するだけで回避することができました。つまり、パスワードを入力する必要がなかったのです。

比較的単純なハッキングによって、膨大な機能とデータへのアクセスが可能になったと言えるでしょう。幸いなことに、カリー氏とシャー氏はスバルに脆弱性を報告し、スバルは24時間以内に修正プログラムを適用しました。これにより、このハッキングはもはや不可能となりました。しかし、このデータはすべてスバルの従業員がアクセス可能な状態のままであり、さらなる疑問が生じています。

最初のハッキングは、LinkedInでの調査とウェブサイトのコードのわずかな変更を経て、スバルの従業員としてスターリンク端末にログインすることで行われました。このアクセスルートは現在は封鎖されていますが、スバルの正規の従業員は、カリー氏とシャー氏が発見したすべての情報、特に1年間の位置履歴に依然としてアクセスできます。

「自動車業界は、テキサス州の18歳の従業員がカリフォルニア州の車両の請求情報を照会しても、特に警戒されることはないという点で特異だ」とカリー氏は記している。「これは彼らの日常業務の一部だ。従業員全員が大量の個人情報にアクセスでき、すべては信頼の上に成り立っているのだ。」

これまでのところどう思いますか?

スバルの拠点

スバルの従業員はスターリンクを通じて、あなたの行動履歴を把握できます。 写真:サム・カリー

スバルはWiredに対し、従業員は「職務上の関連性に基づき」位置情報データにアクセスできると説明している。例えば、衝突を検知した際に救急隊員に連絡する場合などだ(ただし、そのために1年分のデータが必要になることはまずない)。スバルによると、これらの従業員はプライバシー、セキュリティ、および秘密保持契約(NDA)に署名しているという。

スバルのプライバシーポリシーはこちらとこちらでご覧いただけます。Starlinkでは、発着地点、車速、診断情報など、お客様と車両に関する多くのデータが収集されていることにお気づきでしょう。スバルのウェブサイトやアプリをご利用いただくと、お客様のデバイスに搭載されたマイクやカメラによって収集されるデータを含む、全く新しいデータへのアクセスを許可することになります。

さらに悪いことに、これらのポリシーはスバル車に乗るすべての乗客に適用されます。Firefoxの開発元であるMozillaは、こちらで包括的な説明を提供しています(スバルのアプリとウェブサイト、そしてStarlinkも対象となります)。スバルはユーザーのデータを第三者に販売しないことを約束しており、サポートの向上と犯罪行為の検出のために情報が必要であると述べていますが、広告、コミュニケーション、プロモーションのターゲティングは可能です。

スバルフォーム

研究者たちは大量のユーザーデータを入手することに成功した。 クレジット:サム・カリー

こうしたデータ収集の一部を制限する方法があります。もちろん、Starlinkのサブスクリプションをキャンセルすることもできますが、その場合、緊急支援などの機能が利用できなくなります。また、スマートフォンからスバル関連アプリをアンインストールしたり、MySubaruポータルでマーケティングの設定を変更したり、特定の州でデータ収集と共有に一定の制限を設定するためのフォームに記入したりすることも可能です。ただし、このフォームで対象となるデータが何なのか、また既存のデータがどれくらいの期間保持されるのかは明確ではありません。

セキュリティ上の脆弱性やプライバシーポリシーの不備に関しては、スバルだけが問題を抱えているわけではない。しかし、これは、コネクティビティ機能の追加には、ユーザーデータという点で追加コストがかかることが多いことを改めて認識させるものだ。次にどの車を購入するかを決める際には、メーカーのデータ収集ポリシーも確認する必要があるだろう。

Mofope

Mofope

This author has no bio yet.

You May Also Like