車両ハッキングにはすでに15年の血統があります。現在、道路には少なくとも3,600万台の車両がすでにインターネットに接続されていますが、メーカーはインターネット時代の最大のセキュリティ危機からほとんど学んでいないようです。サイバーセキュリティは、再び、相互接続された車両のエンジニアリングの不可欠な部分というよりも、ボルトで固定された後付けです。

ハッカーは2002年頃から、パフォーマンスのスーパーチャージャーと燃料噴射装置を制御するエンジン管理技術をターゲットにしています。 2005年、TrifiniteはBluetoothを使用して、車内オーディオ信号を密かに傍受または送信することを実証しました。 2007年、英国の企業Inverse Pathは、FMを介して偽の交通情報を送信し、車の経路を変更することにより、ハッカーが車載ナビゲーションシステムの整合性をいかに侵害するかを示しました。

2010年、実験は自動車自体の機動性に影響を与える可能性のある、より劇的な介入によって追い抜かれました。テキサス州では、不満を抱いた元自動車ディーラーの従業員が盗まれた資格情報を使用してウェブベースの車両固定コンソールにアクセスし、元雇用主によって販売されていた自動車を体系的に「ブリック」し始めました。

この遠隔攻撃はアフターマーケットの車両イモビライザー(咳払いを「奨励」するために実装された)に依存しており、そのため、接続された車両の弱点として直接起因することはできません。

リモートハックが現実になる

しかし、チャーリー・ミラーとクリス・ヴァラセクが公道で運転されていたジープ・チェロキーをリモートで指揮できるようになった2015年に、そのような議論は適用されませんでした。車両のエンターテイメントソフトウェアのゼロデイ脆弱性を利用して、ダッシュボード機能、ステアリング、ブレーキ、トランスミッションを引き継ぐことができました。

2年後、MillerとValasekは、限られたオンボードのデジタルセキュリティとエラー修正メカニズムをバイパスして、車両を効果的に完全に制御できるようになるまで研究を洗練し、ブレーキを強く押し、加速し、任意の速度でホイール。

MillerとValasekはこれらの2番目の攻撃をリモートで実行しませんでしたが、代わりに車両内のController Area Network(別名CANバス)に直接接続されたラップトップで攻撃に集中しましたが、以前の研究ではこれが可能性が残っていることが示されています。

全自動車両は、世界中の道路網の大部分でまだ認可されておらず、コネクテッドカー業界はまだ初期段階にあります。それでは、この研究と関連する脆弱性とエクスプロイトは、私たちの将来にとって何を意味するのでしょうか?

2015年でさえ、ミラーとヴァラセクは、道路上の471,000人のジープチェロキーをリモートで特定することができました。完全自動運転車の採用率の推定値は異なりますが、BCGの1つの研究では、2035年までに世界中で年間1,200万台以上の完全自動運転車が販売され、さらに1,800万台の半自動運転車が25%新車市場。

現在の技術は将来に適さない

私たちはすでに、すべての企業がある程度ソフトウェア企業になっている世界に住んでいます。ロジスティクス、ヘルスケア、農業、自動車業界のいずれであっても、その製品と関連するエコシステムはすでに高度にデジタル化され、ソフトウェア主導型であり、相互接続されています。

残念ながら、多くの従来のメーカーは、それぞれの専門分野に熟練していましたが、以前は設計段階でデジタルセキュリティを考慮する必要がありませんでした。従来の自動車技術は内部で慎重に相互接続されていた可能性がありますが、意味のある外部データ交換はオンボード診断ポートを経由しました。

その結果、現在CANバス技術に組み込まれているセキュリティのレベルは、せいぜい初歩的なものであり、簡単に克服できます。 CANバスアーキテクチャの欠陥は非常に基本的なものであり、CANアーキテクチャ標準の更新によってのみ完全に対処できることが研究によってすでに示されています。

自動運転車の将来は、指数関数的に増加する接続に依存しています。車両間伝送(V2V)により、道路上でアドホックワイヤレスネットワークを作成できます。たとえば、車両は道路状況や交通データを交換します。

モノのインターネット(IoT)がすぐにすべてのインターネット(IoE)に取って代わったように、V2VはすでにV2XまたはVehicle to Everythingに取って代わられています。

これには、V2V、V2I(Vehicle to Infrastructure)、V2P(Vehicle to Pedestrian)、V2D(Vehicle to Device)、およびV2G(Vehicle to Grid)が含まれます。頭字語のリストは拡大し続けるでしょう。

接続性が高まると、コード行が増え、コード行が増えると、脆弱性が増えます。拡大するエコシステムは、悪意のあるアクセスの安全で潜在的なポイントを増やすためのより多くのジョイントを意味します。

将来の攻撃、先進的な防御

サイバー犯罪者がお金に動機付けられていると考えており、なぜ彼らが車両を攻撃する動機付けになっているのかわからない場合は、いくつかのシナリオを残します。

最初の、そしておそらく最もよく知られているのは、自動車用のランサムウェアです。午前中に車両のロックを解除し、デジタルアシスタントに仕事に出かけるよう指示することを想像してください。おなじみのデジタルペルソナに迎えられる代わりに、身代金の要求に迎えられます。「この車を再び運転したい場合は、CrypCoinを1つ送信してください。このランサムウェアを削除しようとすると、エンジンブロックが融合します。」

はるかにscenarioなシナリオでは、現在好まれているテロリストグループの武器を考慮してください。ロンドン、ニューヨーク、ニース、バルセロナでの最近の攻撃で目撃されたように、私はそれが乗り物であるという強い主張をすることができました。

私たちの道路で、一般的なリモートアクセス可能な脆弱性を共有する自動運転車の将来の艦隊を想像してください。車両のオンボードセンサーを使用してターゲットを特定し、V2V通信が協調グループとして機能するように破壊されますが、攻撃者は何千マイルも離れた場所からすべてを操作します。

サイバーセキュリティ組織と研究者が自動車業界と緊密に連携して、スキルのギャップを埋めるのを支援することが不可欠です-サイバースキルの不足は言うまでもなく-自動運転車時代のセキュリティが強化されず、代わりに構築されることを保証するに。

今日のインターネットが教えてくれる貴重な教訓を学ぶ必要があります。セキュリティを考慮せずに迅速なイノベーションと採用を行うことにより、犯罪や不正行為の繁殖地が生まれます。