スバルのコネクティッドカーサービス「SUBARU STARLINK」に過去1年間の位置情報を取得できたりリモートでの始動・停止・ロック・ロック解除できたりする脆弱性が存在したことが判明

スバルは「SUBARU STARLINK」というコネクティッドカーサービスを提供しているのですが、セキュリティ上の脆弱性があり、すべての車両と顧客アカウントに対して無制限の標的型アクセスを仕掛けることが可能になっていたことがわかりました。専門家からの指摘を受けて、すでに脆弱性は修正されています。

SUBARU STARLINK | SUBARU
https://www.subaru.jp/connected/

Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel
https://samcurry.net/hacking-subaru

問題を指摘したのはセキュリティ専門家のサム・カリー氏です。

以前からカリー氏は自動車メーカーの提供するサービスに脆弱性がないか調査を行っており、スバルは調査の機会がなかったのですが、1年ほど前に母親がスバル・インプレッサに乗るようになり、2024年11月の感謝祭の時期にスバルのサービスに関する調査を開始したとのこと。

カリー氏によれば、最初に試したMy Subaruアプリは「すべて適切に保護が行われているようだった」とのことですが、友人のシュバム・シャー氏からスバルに関連する未知のドメインを入手。深掘りして、管理者向けポータルのようなところを発見しました。

カリー氏はポータルサービスのドメイン内に置かれていたJavaScriptの中に、有効な従業員のメールアドレスを乗っ取り可能な脆弱性を確認。さらなる調査を行い、母親のインプレッサの情報を見られることや、知り合いの車をリモートでロック可能なことなどを確認しました。

カリー氏によると、「顧客アカウントの性、郵便番号、メールアドレス、車のナンバー」のいずれかを知っている攻撃者であれば、車両をリモートで始動、停止、ロック、ロック解除が可能な状態だったとのこと。

また、現在および過去1年間の車両の位置情報を、5m以内という精度で取得可能でした。

このほか、緊急連絡先や住所、クレジットカードの末尾4ケタ、車両PINといった個人識別情報の紹介・取得ができ、サポート通話履歴やオーナー履歴、販売履歴、走行距離情報などのユーザーデータにもアクセス可能だったとのこと。

当該脆弱性は2024年11月、カリー氏による通報を受けてから24時間以内に対処が行われており、悪用はできなくなっています。

◆フォーラム開設中
本記事に関連するフォーラムをGIGAZINE公式Discordサーバーに設置しました。誰でも自由に書き込めるので、どしどしコメントしてください！Discordアカウントを持っていない場合は、アカウント作成手順解説記事を参考にアカウントを作成してみてください！

コネクテッドカーの便利なポイントや使いこなし術を募集中！
https://discord.com/channels/1037961069903216680/1332278389536460844