BMW車から14件の脆弱性が発見される、車両に触れずに遠隔から操作可能になる「危険性が高い」ものも

BMW車の車載ユニットに14件もの脆弱性が存在していることを、テンセントのサイバーセキュリティの研究部門であるKeen Security Labの研究者たちが発見しました。発見された脆弱性のうち6件については、車両に触れることなく遠隔から自動車を操作できてしまうものであり、危険性の高い脆弱性であると報告されています

Experimental Security Assessment of BMW Cars: A Summary Report
(PDFファイル)https://keenlab.tencent.com/en/Experimental_Security_Assessment_of_BMW_Cars_by_KeenLab.pdf

Chinese Hackers Find Over a Dozen Vulnerabilities in BMW Cars
https://thehackernews.com/2018/05/bmw-smart-car-hacking.html

Kenn Security Labによると、BMW iシリーズ、BMW Xシリーズ、BMW 3シリーズ、BMW 5シリーズ、BMW 7シリーズの5つのモデルにこれらの脆弱性が存在しているとのこと。14件の脆弱性リストは以下に示されており、これらの脆弱性は、音楽やメディアの再生とインターネット接続も行うインフォテインメントシステム、車両位置の追跡などに使用するテレマティクスコントロールユニット(TCU)、車内のさまざまな機器間で行われるデータのやり取りを制御するセントラルゲートウェイモジュールの3カ所で確認されています。

報告された脆弱性のうち8件がUSBポートを使用するなど、何らかの物理的なアクセスを必要とするもので、悪意のある人物によって意図的に細工されない限り、影響を受けることはないとされています。しかし、残りの6件は、Bluetoothもしくは携帯電話などの通信に使用するセルラーネットワークを介して悪用できるもので、走行中の車であっても悪意を持った人物に乗っ取られる可能性があるとしています。

今回発見された脆弱性はBMWに報告済みであり、同社はすでに脆弱性の修正に取り組んでいます。TCUに関する脆弱性については、すでにアップデートの提供が開始されていますが、その他の脆弱性については、ディーラーによる対応が必要になるため、対策に時間がかかるとのこと。

Keen Security Labは、脆弱性に関する詳細なレポートをBMWの対応が完了する2019年3月に公開するとしています。