「SUBARU STARLINK」ネット経由でハッキング成功

セキュリティ研究者のSam Curry氏が、スバルのコネクテッドカーサービス「SUBARU STARLINK」に存在していた重大な脆弱性について説明した。
Curry氏は同僚のShubham Shah氏の協力を得て、STARLINKの管理パネルへ侵入する手法を発見した。この脆弱性を利用したい攻撃者は、攻撃したい相手の苗字と「郵便番号、メールアドレス、電話番号、またはナンバープレートのいずれか一つ」を入手するだけで、様々な操作を行うことができた。より具体的には

・車両の遠隔操作（始動、停止、ロック、アンロック）
・現在位置の取得
・過去1年分の詳細な位置履歴の取得（精度は5メートル以内）
・顧客の個人情報（PII）、その他のユーザーデータ（サポート履歴、過去の所有者、走行距離など）へのアクセス

が可能だった。この標的型の攻撃では、米国、カナダ、日本のスバル車両と顧客アカウントに対して無制限にアクセスできたという。Curry氏は実際に、自分の母親が利用している車両（インプレッサ2023年モデル）の1年分の位置履歴を取得した。さらに確認のため、スバル車を所有している友人の許可を得て、リモート操作だけで友人の車をアンロックできることを実証した。

Curry氏は2024年11月20日、この脆弱性をスバルへ報告した。それを深刻に受け止めたスバルは、報告を受けてから24時間以内に欠陥の修正を完了させている。重大な脆弱性ではあったものの、ホワイトハッカーへの企業対応は優秀だったと言えるだろう。

それでもCurry氏は、自動車業界全体の慣行や習慣の「独特さ」について警鐘を鳴らしている。具体的には「すべての従業員が大量の個人情報にアクセスでき、すべてが信頼に依存している」セキュリティの危うさを指摘した。彼は次のように結論づけている。
「このような広範なアクセスがシステムにデフォルトで組み込まれている場合、それらのシステムを保護するのは非常に困難なことだと考えられる」

たしかに製造業のジャンルのひとつとして考えるなら、それは自動車業界独特のセキュリティの問題点と言えるのかもしれない。しかし公共事業や銀行やインフラ、医療機関、通信業さらに警察などの法執行機関なども、Curry氏が指摘したものと同様の、あるいはそれ以上の危うさを抱えている可能性があるのではないだろうか。

それらの組織は多くの場合、膨大な数の一般市民の、極めてセンシティブなデータを管理している。ちょっとした悪用が甚大な人権侵害に繋がりかねない内容のデータを大量に取り扱っている。さらに「自動車のロックシステム」よりも基本的な、個人の生活に欠かせないツールの制御を遠隔で行っているケースもある。

その組織で利用されている従業員向けシステムのアクセス権限は、果たして適切に設定されているのか、それとも多くの職員が（あるいは全職員が）アクセスできる状態になっているのか。職員がデータを正しく取り扱うための技術的な対策は立てられているのか、それとも職員個人の良心に任されているだけなのか。従業員（特に管理者権限を持った従業員）のアカウントが第三者に乗っ取られたときの状況を想定した措置は取られているのか、まったく想定されていないのか。部外者、あるいは身内による悪用が行われていないかどうかを定期的に確認するための取り組みはあるのか。さらにいえば、その組織自体が何らかの意図をもってデータを悪用した場合、一般市民に対してどのようなことができるのか。それらについて、私たちはほとんど何も知らされていない。

この脆弱性に関する、より詳細な情報（発見の過程、オープンソースを利用したソーシャルエンジニアリング的な手法、実際に用いられたファジングやブルートフォースなど）はSam Curry氏自身のウェブサイトで読むことができる。

※Sam Curry氏は、とりわけ自動車に関するセキュリティの研究で知られている専門家で、過去にも数多くの自動車メーカーで使用されているインフラや、自動車関連サービスの脆弱性を発見している。
Xアカウント：https://x.com/samwcyo

※なお、この記事に記されている「SUBARU STARLINK」はスバルの車載情報システムの名前で、SpaceXの衛星インターネットサービス「Starlink」（カナダのオンタリオ州が契約を破棄したばかり）とは関係がない、念のため。