ゼロデイ脆弱性が発見され、世界のコネクテッドカーシステムのセキュリティを脅かす

この発表は、Security Analyst Summit 2025カンファレンスで行われたばかりですが、パートナー企業の公開アプリケーションに存在するゼロデイ脆弱性により、テレマティクスシステム（車両の制御とデータ収集を司る頭脳）への不正アクセスが可能になるというものです。実際の攻撃シナリオでは、攻撃者は車両のギアシフトを強制的に実行したり、走行中にエンジンを停止させたりすることで、ドライバーと乗客の安全を直接脅かす可能性があります。

Phát hiện lỗ hổng zero-day đe dọa an toàn hệ thống xe kết nối toàn cầu - Ảnh 1. — カスペルスキー、車両の安全を脅かす重大なセキュリティ脆弱性を発見

カスペルスキー社によると、セキュリティ評価はリモートで実施され、製造業者と請負業者の公開サービスに重点が置かれていました。専門家は、インターネットに公開されている複数のアクセスポートと、WikiアプリケーションにSQLインジェクションの脆弱性を発見しました。これらの脆弱性により、ユーザーデータと暗号化されたパスワードが抽出されました。これらのパスワードの一部は復号され、テレマティクスインフラの機密設定情報を含むインシデント追跡システムへのアクセスが可能になりました。この情報には、サーバーユーザーのハッシュ化されたパスワードを含むファイルも含まれていました。

コネクテッドカーシステム側では、チームはファイアウォールの設定ミスにより内部サーバーが公開されていることを発見しました。

入手した資格情報を使用してファイルシステムにアクセスし、変更されたファームウェア更新コマンドをテレマティクスコントローラ (TCU) に送信することさえできました。

このアクションにより、エンジン、トランスミッション、センサーを調整するローカルエリアネットワーク (CAN) にアクセスできるようになり、多くの重要な車両機能を制御できるようになります。

「これらの脆弱性は、脆弱なパスワードの使用、二要素認証の欠如、機密データの暗号化不足といったよくあるミスに起因しています。サプライチェーンにおけるたった一つの脆弱なリンクが、スマートカーシステム全体を危険にさらす可能性があります」と、カスペルスキーのICS CERTセキュリティ調査・評価責任者であるアルテム・ジネンコ氏は述べています。

カスペルスキーは、ユーザーの安全を確保し、コネクテッドカー技術への信頼を維持するために、自動車メーカーに対し、特にサードパーティのパートナーインフラストラクチャを活用したサイバーセキュリティ管理を強化するよう求めています。

自動車業界の請負業者および技術パートナーに対するカスペルスキーの推奨事項:

VPN経由でWebサービスへのインターネットアクセスを制限し、サービスを企業イントラネットから分離する
企業のイントラネットとは関係のない、別のウェブサービス
厳格なパスワードポリシーを適用する
2要素認証（2FA）を有効にする
機密データを暗号化する
ログシステムをSIEMプラットフォームと統合し、インシデントをリアルタイムで監視・検出します。（SIEM（セキュリティ情報イベント管理）は、異常な動作やサイバー攻撃を早期に検出するのに役立つセキュリティ情報イベント管理システムです。）

カスペルスキーは自動車メーカーに対し、車両ネットワークからテレマティクスプラットフォーム（車両データを収集・処理するシステム）へのアクセスを制限し、ホワイトリストに登録されたネットワーク接続のみを許可し、SSH パスワードログインを無効にし、サービスを必要最小限の権限で運用し、TCU（車両に搭載されたテレマティクス制御ユニット）に送信される制御コマンドの信頼性を確保し、SIEM プラットフォームを統合することを推奨しています。

出典: https://nld.com.vn/phat-hien-lo-hong-zero-day-de-doa-an-toan-he-thong-o-to-ket-noi-toan-cau-196251113092524751.htm