全3949文字
PR

 中国テンセント(Tencent)のセキュリティー研究チームが、トヨタ自動車のレクサス「NX300」のハッキングに成功した(図7)。近距離無線経由で、ボディー関連部品を遠隔操作できるものだ。トヨタはハッキングの報告を受けた後、“歓迎”の意向を表明し、適切に対応した。過去の苦い経験をしっかり生かした。後編では自動車セキュリティーの専門家である日本シノプシスの岡デニス健五氏が、今回の経緯の評価とともに、トヨタを含めた自動車業界全体のセキュリティー開発の方向を解説する。(日経クロステック編集部)

前編はこちら

 「ハッキングは悪」と勘違いするメーカーがいまだに存在する中、テンセントの「キーン・セキュリティー・ラボ(Keen Security Lab)」による「ホワイト(善意に基づく)ハッキング」に対して、トヨタは「セキュリティー研究者と協力する方針」をニュースリリースで発表した。“歓迎”の意向を示したわけだ。攻撃を受けたことに“感謝”するセキュリティー開発の“作法”を身に付けたといえる。

 テンセントがNXのハッキングに成功した結果をトヨタに報告したのは、2019年10月のことだ。セキュリティー業界で「責任ある開示(Responsible Disclosure)」と言われる行動を実践した。脆弱(ぜいじゃく)性を発見したときにいきなり公表するのではなく、まずは開発者に報告して対応を促すもの。開発者の対策後に公表することで、悪意のあるハッカーによる攻撃を抑えられる。ホワイトハッキングに不慣れな企業は無視することがあるが、これは最悪である。

 トヨタはテンセントの報告に迅速に対応した注2)。約2カ月で分析し、19年12月には対象車両のソフトの修正に取り組む。20年3月末までに対策を終えたのと併せて、テンセントが脆弱性の概要を公表した。数年単位が普通の自動車の開発期間を考えれば、わずか半年間で対策ソフトを開発したのは見事だ。

図7 NXのカーナビから攻撃を仕掛けられた
図7 NXのカーナビから攻撃を仕掛けられた
写真は標的になったNXのガソリン車「300」ではなく、ハイブリッド車「300h」。(出所:トヨタ)
[画像のクリックで拡大表示]

 トヨタは、13年に「プリウス」をハッキングされた苦い経験がある。世界の自動車メーカーの中でハッカーに狙われたのは早い方で、それ以来、セキュリティー開発を推進する体制を構築してきた。それが今回の迅速な対応につながった。トヨタは自動車業界のトップ級企業であり、攻撃の標的になりやすい。

 テンセントが詳細を明かさずに概要の公表にとどめたのは、車両のソフト更新に時間がかかることに配慮したのだろう。販売店などで実施する必要がある。詳細の公表は、21年後半まで待つことにした。なお発見された脆弱性には「CVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)」が既にある(CVE-2020-5551)12)

注2)セキュリティー研究者を“仲間”と見なす開発姿勢は、海外メーカーを中心に自動車業界で徐々に一般的になりつつある。トヨタもかねて取り組む。例えば脆弱性を見つけると報奨金などを支払う「バグバウンティープログラム」13)などに参加し、セキュリティー研究者と熱心に連携する。自動車メーカー間の協力活動にも力を注いでおり、脆弱性情報を業界で共有する組織「Auto-ISAC」14)や「J-Auto-ISAC」15)に参加する。