中国製の車両用GPSトラッカーに「車が追跡されたり遠隔操作でエンジンを切られたりするリスク」があることが発覚

近年ではAppleの「AirTag」などGPSを用いたトラッカーが広く普及していますが、GPSトラッカーを悪用したストーカー被害なども問題視されています。新たに、セキュリティ企業のBigSightとアメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)の調査により、世界各国で用いられている中国製の車両用GPSトラッカーに「誰かに行動を追跡されたり遠隔操作でエンジンを切られたりするリスク」が存在することが明らかとなりました。

MiCODUS MV720 GPS tracker | CISA
https://www.cisa.gov/uscert/ics/advisories/icsa-22-200-01

BitSight Discovers Critical Vulnerabilities in GPS Tracker
https://www.bitsight.com/blog/bitsight-discovers-critical-vulnerabilities-widely-used-vehicle-gps-tracker

Attackers can surveil, disrupt vehicles outfitted with popular GPS tracker, CISA warns
https://www.cyberscoop.com/vulnerabilities-gps-tracker-cisa-warns/

Security flaws in a popular GPS tracker are exposing a million vehicle locations | TechCrunch
https://techcrunch.com/2022/07/19/micodus-gps-tracker-exposing-vehicle-locations/

車両用のGPSトラッカーは、企業や団体が保有する車両の現在地や走行速度、移動ルートなどをチェックしたり、車両盗難の兆候を察知したりするために使われています。中には盗難された時のため、「燃料を遠隔操作でカットオフする機能」が搭載されているものも存在します。実際にGPSトラッカーを利用して遠隔操作で燃料を遮断し、エンジンを強制的に停止させてみた様子は、YouTubeやSNSに投稿された動画などで確認することが可能です。

(1) Fuel cut off gps tracker - YouTube

新たにBigSightとCISAは、世界各国の企業・政府機関・個人などに使用されている車両用GPSトラッカーに、合計6つの脆弱性が存在していることを報告しました。今回脆弱性が見つかったのは、中国の深圳に拠点を置くメーカー・MiCODUSが製造した「MiCODUS MV720」というGPSトラッカーです。MiCODUS MV720はAliExpressやEbayなどの通販サイトで購入可能であり、1個3000円以下と誰でも手軽に入手できるとのこと。

発見された脆弱性はGPSトラッカー本体および車両追跡用のウェブダッシュボードに存在しており、最も深刻な欠陥「CVE-2022-2107」はハードコードされたマスターパスワードの脆弱性です。「MiCODUS MV720」では、GPSトラッカーの完全な制御、車両の現在位置と過去の移動履歴へのアクセス、車両へのリモート燃料カットオフを可能にするマスターパスワードがAndroidアプリのコードに直接埋め込まれており、コードを掘り下げれば誰でもマスターパスワードを見つけることができるとのこと。

また、デフォルトのパスワードが「123456」に設定されており、ユーザーがデバイスのパスワードを変更していない場合、誰でもこのパスワードでアクセスできることも明らかになっています。BigSightが1000台のサンプルを調査したところ、実に95％はパスワードが変更されておらず、デフォルトパスワードでアクセス可能だったとのこと。他にも、ダッシュボードにログインしているユーザーが別のGPSトラッカーのデータにアクセス可能な脆弱性や、ユーザーがパスワードなしでSMSコマンドを送信できる脆弱性などが発見されています。

これらの脆弱性が悪用されることで、実業家や政治家などの位置情報が同意なしで追跡され、プライバシーの侵害に加えて犯罪行為に利用される可能性があります。また、攻撃者が遠隔操作で燃料カットオフを実行することで、車両を動かすために身代金を要求したり、商用車両や緊急車両を動かせなくしてサプライチェーンや警察の対応を遅らせたり、高速道路上などの危険な場所で停車させたりするリスクがあるとBigSightは警告しています。BitSightの主任セキュリティ研究者であるPedro Umbelino氏は、「MiCODUS MV720」以外のMiCODUS製GPSトラッカーにも、同様の脆弱性が存在する可能性があると示唆しています。

BigSightによると、MiCODUS製のGPSトラッカーは世界有数のエネルギー関連企業・航空宇宙企業・テクノロジー企業・メーカー・海運業者・アメリカの州当局・ヨーロッパのある国の中央政府および法執行機関・南米や東ヨーロッパの軍隊・原子力発電所のオペレーターなどに展開され、記事作成時点では世界169カ国で150万台以上の車両に搭載されているとのこと。中でもウクライナはヨーロッパ全土で最も多くのMiCODUS製GPSトラッカーを有しており、国営交通システムやキーウの主要銀行でも使用されているそうです。

BigSightが公開した、世界中に存在するMiCODUS製のGPSトラッカーの位置を示したマップがこれ。特にヨーロッパに多いほか、アフリカ・南米・オセアニア・中東・アジアなど世界各国に分布していることがわかります。

BigSightは2021年9月に、一連の脆弱性についてMiCODUSへ連絡したものの、レポートの公開前に脆弱性を修正する試みはみられませんでした。脆弱性の重大度と修正パッチがないことから、BitSightとCISAはユーザーに対し、リスクを軽減するためにできるだけ早くデバイスを取り除くよう警告しています。

国家安全保障の専門家でサイバーセキュリティに関する元大統領顧問のリチャード・クラーク氏は、「中国がアメリカの車両を遠隔操作できるのであれば問題です。モバイル機器の普及が急速に進み、社会がよりつながっていることが望まれる中、セキュリティを考慮して構築されていなければ、このようなGPSトラッカーがサイバーリスクを大幅に増大させるという事実が見過ごされがちです」とコメントしました。