車両追跡アプリを利用している数万件のアカウントがハックされ遠隔操作でエンジンを停止されかねない状態に

by Life Of Pix

運送業者など多くの車両の運行管理をする必要がある企業では、GPSを用いたカートラッキングアプリを利用している場合があります。こうしたアプリの中には車両のエンジンを止めるという機能がついているものもあります。あるハッカーが、この種のアプリを利用しているアカウント合計3万件弱のハッキングに成功したことを明かしており、その危険性が指摘されています。

Hacker Can Monitor Cars And Kill Their Engines After Breaking Into GPS Tracking Apps - Motherboard
https://motherboard.vice.com/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

L&Mと名乗るハッカーはテクノロジー系メディアのMotherboardに対し、7000以上のiTrackアカウントと2万以上のProTrackアカウントをハッキングしたと述べました。いずれもGPS追跡装置を介して企業が車両の監視と管理を行えるようにするアプリであり、L&Mは南アフリカやモロッコ、インド、フィリピンなどの国々で使われている車両を追跡できたとのこと。

以下のスクリーンショットは、Motherboardに対してL&Mが送ったアプリの車両追跡画面です。場所はモロッコで、多くの車両の居場所がGPS追跡装置によって一目瞭然であることがわかります。

また、アプリは車両の位置追跡だけではなく、停車時や時速20km以下で走行中の車両のエンジンを停止させることも可能。ProTrackを使用している南アフリカの企業・Probotik SystemsのオーナーであるRahim Luqmaan氏は、Motherboardの電話取材に対して「ハッカーは我々や顧客をみんなめちゃくちゃにしてしまうことができます」と、その危険性を認めています。

L&Mもこのエンジン停止機能について触れ「世界中で大きな交通問題を引き起こすこともできます」と語っています。ただし、本当にリモートで勝手にエンジンを停止させるのは危険なので、L&Mがこの機能を使ったことはないそうです。

L&MはiTrackとProTrackに対してリバースエンジニアリングを行った際、全ユーザーがアカウント登録時にデフォルトで「123456」というパスワードを与えられていることに気付きました。そこで、APIを用いてあらゆるユーザー名と「123456」の組み合わせでログインを試行するスクリプトを書き、パスワードを変更せずに利用していたアカウントへの侵入に成功したとのこと。

Motherboardによれば、L&Mが入手したのはGPS追跡装置の名称やモデル、固有のIMEI番号、登録ユーザー名、本名、電話番号、メールアドレス、住所などの個人情報で、実際に提供されたサンプルの中から4名に連絡を取り、データが本物であると確認できたそうです。

by Oleksandr Pidvalnyi

L&Mは今回のハッキングの動機について、「私のターゲットはアプリのユーザーではなくアプリを開発した会社です。ユーザーはセキュリティの甘い企業のせいでリスクにさらされています」と述べ、アプリを販売して利益を得ているのにセキュリティが甘い企業には問題があるとの見解を示しました。

ProTrackを開発したのは中国・深圳市に本拠を置くiTryBrand Technology、iTrackを開発したのは広州市に本拠を置くSEEWORLD。いずれの会社も追跡装置とクラウドプラットフォームの販売を行っていて、アプリは基本コードを共有しているとみられています。

ProTrackとiTrackでは2019年4月下旬にユーザーに対してパスワード変更を促す連絡を取っています。Motherboardの取材に対して、ProTrackは「パスワード変更を促すのは普通のこと」とコメントしデータが漏れたことについては否定。iTrackからはコメントが得られなかったとのことです。

by Mikechie Esparagoza