By Reuel Magistrado, Automotive Threat Researcher
現代の自動車は、単なる移動手段から、高度なインターネット接続プラットフォームへと進化を遂げています。しかしながら、この接続性に伴い、Wi-Fi、Bluetooth、セルラー接続、センサーといった外部チャネルを含む攻撃ベクトルが拡大し、これらは全て車両の内部ネットワークへと繋がります。そこから、データやコマンドはコントローラエリアネットワーク(CAN)バス、電子制御ユニット(ECU)コントローラ、テレマティクスモジュールを経て、ナビゲーションコンソールなどのコアシステムに伝達されます。これにより、車載ネットワークからクラウドに至る広範な攻撃対象領域(アタックサーフェイス)が形成されるのです。
図1. 簡略化されたコネクテッドカーのアーキテクチャ
しかしながら、セキュリティリサーチャーは、汎用的なオープンソースインテリジェンス(OSINT)技術を用いてこれらの複雑なエコシステムを特定するうえでは依然として課題に直面しています。一方、攻撃者はOSINTを活用し、自動車用API、テレマティクスエンドポイント、フリート管理システムを特定・悪用する能力を示すようになってきています。
OSINT活動をATMに紐づける
こうした防御側と攻撃側の格差に対抗するため、本稿では公開データのみを用いて、露出している無線更新(OTA)サーバー、テレマティクス・アプリケーション・プログラミング・インターフェース(Telematics API)、フリート管理バックエンドを発見することを目的とした、自動車脅威インテリジェンスに特化した体系的なOSINT手法を提案したいと思います。
本手法は、自動車特化型の敵対者戦術・技術を体系化した標準分類法であるAuto-ISAC Automotive Threat Matrix(ATM)に基づいています。MITREのAdversarial Tactics(敵対者戦術)、Techniques(技術)、Common Knowledge(共通知識)の頭文字をとったATT&CKをモデルとし、ATMでは「Initial Access(初期アクセス)」「Discovery(発見)」「Affect Vehicle Function(車両機能への影響)」といった戦術に加え、自動車環境に特化した技術を定義しています。例えば、自動車メーカーのインターネットに公開されている資産をスキャンする行為は「発見」に該当し、公開されているAPIを悪用する行為は「初期アクセス」に分類されます。
これを基盤として、攻撃経路戦略を採用します。各コンポーネントを個別に扱うのではなく、車両アーキテクチャ全体にわたる完全な侵害チェーンを想定し、OSINTを通じて各セグメントを検証します。この観点では、異なるシステムに存在する複数の脆弱性が連鎖する可能性があります。例えば、あるモデルの車載インフォテインメント(IVI)システムの脆弱性と、別のモデルのテレマティクスAPIの欠陥が、仮想的なエクスプロイトの一部を形成し得るのです。
この攻撃経路アプローチは、自動車向けOSINT偵察のための体系的かつ段階的な枠組みを提供します。高レベルの組織的視点から始まり、具体的な攻撃ベクトルへと進展していきます。
フェーズ1:企業インフラマッピング
第一段階では、対象企業の外部インフラマッピングに焦点を当て、後続段階におけるより深いOSINT活動の基盤を確立します。企業レベルの偵察は、WHOISデータベースを用いた自律システム番号(ASN)の発見、RIPE NCC(Réseaux IP Européens Network Coordination Centre)およびARIN(American Registry for Internet Numbers)を通じたIP範囲の特定、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)におけるクラウド資産の列挙から始まります。
インターネット接続デバイス・サービス向け検索エンジンであるShodanは、以下のような対象を絞った検索により、公開された自動車関連インフラを明らかにすることが可能です:
- “telematics” (テレマティクス)ポート:443
- “OTA update” (OTAアップデート)ポート:80,443
- “fleet management”(フリート管理)ポート:8080
- org:“メーカー名” automotive
証明書透明性(CT)の監視により、*.ota.manufacturer.com や *.telematics.brand.com といったパターンを通じて、自動車関連の内部ドメイン、OTA更新エンドポイント、APIゲートウェイをさらに特定できます。これらの受動的な手法により、対象との直接的なやり取りを必要とせずに、広範なインフラの可視性を得られる場合が多くあります。
フェーズ2:サプライチェーン関係性の発見
この段階では、標的のサプライチェーン内の関係性の解明に焦点を当てます。LinkedInを活用した情報収集により、サプライヤーとの関係性や主要な担当者を特定でき、ソーシャルエンジニアリングの準備やサプライチェーン攻撃ベクトルの分析に有益な知見を提供します。特許データベースの検索では、自動車メーカー(OEM)とサプライヤー間の技術的関係性が明らかになる可能性があり、公共調達データベースはサプライヤーネットワークの包括的な見解を提供します。
GitHubリポジトリの分析により、自動車ソフトウェアの構成、APIキー、インフラストラクチャの詳細、その他の機密情報も明らかになる可能性があります。AUTOSAR(Automotive Open System Architecture)などの自動車業界特有のフレームワークや、ISO 26262に関連する実装を対象とした検索は、開発手法や潜在的なセキュリティ上の脆弱性をさらに浮き彫りにします。
フェーズ3:攻撃対象領域(アタックサーフェイス)の列挙
最終フェーズでは、標的の攻撃対象領域を構成する具体的な技術資産の特定とマッピングに焦点を当てます。APIエンドポイントの発見では、/api/v1/updates、/ota/check、/firmware/downloadなどのエンドポイントを探します。サポートされているHTTPメソッドの列挙により、GET、POST、PUTなどの利用可能な操作が明らかになる一方、認証メカニズムの分析では潜在的なバイパス機会が露呈する可能性があります。
テレマティクス制御ユニット(TCU)の発見では、セルラーネットワークスキャンと証明書分析を通じて、車両とクラウドサービス間のゲートウェイを対象とします。一般的なエンドポイントは、fleet-api.company.com や vehicle-data.manufacturer.com といった予測可能なパターンに従うことが多く見られます。
この体系的なアプローチを実例で説明します。SUBARUの車載情報システム(IVI)管理パネルの脆弱性です。この脆弱性を悪用した場合、車両のデータや制御機能へのリモートアクセスが可能となる危険性がありました。
図2. セキュリティリサーチャーがSUBARUのIVIシステムへの完全な管理者アクセス権を取得した攻撃チェーンの概要
| ATM 技法 | ATM ID | OSINT 行動 |
|---|---|---|
| 標的情報の収集 | ATM-T0076 |
|
| ファイルおよびディレクトリの発見 | ATM-T0042 |
|
| 保護されていない認証情報 | ATM-T0040 |
|
| ECU認証情報のダンプ | ATM-T0039 |
|
| ローカルシステムからのデータ | ATM-T0059 |
|
| 位置情報追跡 | ATM-T0043 |
|
| 横移動(ラテラルムーブメント)を目的としたECUの悪用 | ATM-T0052 |
|
| インターネット通信 | ATM-T0063 |
|
図3. SUBARU IVI攻撃経路が自動車脅威マトリックス(ATM)にどう対応するのか。ATM背景図はAuto-ISAC自動車脅威マトリックスを基に作成
このマッピング作業は、ATMフレームワークを活用してコネクテッドカーエコシステム内の最も重大な脆弱性を特定・優先順位付けする方法を示しています。攻撃手法を具体化することで、リサーチャーや意思決定者を含む業界関係者が共通言語を用いてコミュニケーションや防御計画を共有できるようになります。
VicOneの自動車に特化した脅威インテリジェンス(TI)プラットフォームxAurientは、このようなマッピングを実践的な行動に結びつく情報に展開する方法を示しています。偵察活動やOSINT(公開情報収集)の知見を、検知・監視・緩和戦略に向けた対策につながる知見へと変換します。
図4. VicOneの自動車脅威インテリジェンスプラットフォーム「xAurient」によるSUBARU攻撃チェーンの可視化
自動車脅威インテリジェンスへのATMフレームワークの適用
また、ATMフレームワークを自動車脅威インテリジェンスにも適用し、高度な持続的脅威(APT)グループによるキャンペーンと自動車サプライチェーンの脆弱性の両方を検証します。OSINT調査結果と脅威行動の相関関係は、どのATM技術が実際に使用されているかを特定し、防御策を優先すべき箇所を明確にするのに役立ちます。
APT活動
高度な持続的脅威(APT)グループは、知的財産の窃取、サプライチェーンへの侵入、コネクテッドカーサービスの妨害を目的として、自動車業界を標的とし続けております。これらの活動を脅威マッピング(ATM)に照らし合わせると、異なる攻撃主体が業界をどのように標的とし、どのようなツールを使用し、具体的な手法をどのように用いているかが明らかになります。以下にいくつかの事例を挙げます。
- APT 32(別名:Ocean Lotus)は、高度なmacOSバックドアとCobalt Strikeビーコン展開を用いて、複数の自動車メーカー(OEM)ネットワークを標的としました。その活動は、知的財産窃取におけるATM-T0059(ローカルシステムからのデータ取得)および体系的なデータ抽出におけるATM-T0063(インターネット通信)に該当します。
- APT41の攻撃構造には、フォレンジック痕跡を最小化するために設計されたANTSWORDおよびBLUEBEAMウェブシェル、DUSTPANドロッパー、DUSTTRAP多段階プラグインフレームワークが含まれていました。これらはATM-T0031(コード完全性の回避)およびATM-T0066(標準暗号プロトコル)に関連します。
- FIN7(別名カーボンスパイダー)は、高度な管理者権限を持つIT従業員を標的としたスピアフィッシングキャンペーンを通じて、米国の大手自動車メーカーを攻撃しました。メールにはIPスキャンツールを装ったURLが含まれていました。これらの作戦はATM-T0015(フィッシング)およびATM-T0040(保護されていない認証情報)の手法を示しており、認証情報収集活動はATM-T0039(ECU認証情報ダンプ)と一致しています。
サプライチェーンの脆弱性
サプライチェーン侵害は、自動車サイバー攻撃において戦力増強効果を発揮することが多々あります。これらのインシデントをATMにマッピングすることで、どのサプライヤー向け技術が積極的に悪用されているかを特定でき、自動車メーカーとサプライヤー双方が、攻撃者が頻繁に標的とする間接的な攻撃対象領域を強化することが可能となります。以下にいくつかの例を挙げます。
- Shodanによるインフラ発見 org:"サプライヤー名"などのクエリが、公開されたサプライヤーシステムやサービスの特定に利用されています。
ATMマッピング: ATM-T0044 (ネットワークサービススキャン) - サプライヤー関係の情報収集 LinkedInを利用した情報収集により、主要なサプライヤー関係や担当者が明らかになる可能性があり、標的型フィッシング攻撃やソーシャルエンジニアリングを可能にする恐れがあります。
ATMマッピング:ATM-T0076(標的情報の収集 - 外部からの情報) - GitHub上の公開開発資産 公開リポジトリには、フレームワークコード、ハードコードされた認証情報、APIキーを含む、機密性の高い自動車ソフトウェア構成が含まれている可能性があります。
ATMマッピング: ATM-T0059 (ローカルシステムからのデータ) - インフラ発見のための証明書インテリジェンス デジタル証明書の分析により、サプライヤーに関連する内部ドメインやサービスが明らかになる可能性があります。
ATMマッピング: ATM-T0044 (ネットワークサービススキャン)
- サプライヤーに対する組織的な標的攻撃 攻撃パターンの分析により、TOYOTAのサプライヤーが順次標的とされていることが判明し、組織的なキャンペーンの可能性が示唆されています。OSINT(公開情報収集)を用いてサプライチェーンの依存関係をマッピングし、ジャストインタイム生産システムの接続性を悪用しました。
ATMマッピング: ATM-T0017(サプライチェーン侵害)、およびATM-T0010(アフターマーケット、顧客、またはディーラー機器)
実用的なATMマッピング:6段階のOSINT手法
この6段階のプロセスは、自動車関連ターゲットに関するOSINTデータを体系的に収集・分析・関連付ける方法を概説します。各ステップはATMに沿うように設計されており、発見事項を特定の戦術・技術にマッピングすることで、より実用的な自動車脅威インテリジェンスを実現します。
- ドメイン及びサブドメイン列挙:証明書透明性ツール(例:crt.sh)とDNSブルートフォースを用いて、対象のサブドメイン(例:api.carmaker.com、starlink.carmaker.com)を収集します。SUBARU社の事例のように、より広範なカバレッジを得るため、過去のドメインファジングも組み込みます。DNSルックアップを通じて稼働中のホストを検証します。
- Shodan/Censysスキャン:発見したドメインまたはOEM名をShodanおよびCensysに入力します。組織名やSSLフィールドでフィルタリングし、公開されているサーバーやIoTモジュールを特定します。自動車プラットフォームを参照するウェブサービス(HTTP/HTTPS)、開放ポート、バナーをすべて記録します。
- ウェブクローリングとファジング:各ウェブホストでgauを実行しアーカイブURLを収集後、ffufで共通パス(例:/api/、/admin/、/ota/)をブルートフォース攻撃します。これにより隠れたJSONエンドポイント、管理パネル、ファームウェア更新インターフェースが判明する可能性があります。基盤技術のヒントを得るため、エラーメッセージやディレクトリリストを精査してください。
- ドキュメントとコード検索:Google検索で「site:carmaker.com filetype:pdf "update"」などの検索式を使用するか、GitHubやStack OverflowでOEM名に関連する情報を検索します。APIエンドポイント、ポート番号、証明書フィンガープリントを明示する漏洩した認証情報や技術マニュアルを探します。
- ソーシャルOSINT:LinkedInで従業員を検索します(例:「自動車メーカー ソフトウェアエンジニア」または「Starlink管理者」)。プロフィールから企業メール形式を推測し(例:john.doe@maker.com)、Hunter.ioなどのツールで検証します。確認済みのメールアドレスを用いて、脆弱性が疑われる管理サイトでのログインやパスワードリセットフローをテストします。
- 資産マッピングと分析:すべての発見事項をアーキテクチャ図に統合し、発見されたサービス(例:「IVI OTAサーバー」、「フリート管理API」)にラベルを付与します。各サービスをATM戦術(例:偵察、初期アクセス、発見)に照合します。このマップから、悪用可能な多段階攻撃経路(例:スマートフォンアプリ→クラウドAPI→車載ネットワーク)を特定します。
まとめ
本稿では、従来のOSINTとAuto-ISACのATMから得られた自動車に特化した戦術を統合した、コネクテッドカー偵察のための統合的フレームワークを提示します。攻撃経路アプローチと推奨手法を適用することで、自動車サイバーセキュリティリサーチャーは、攻撃者の標的となりやすいOTA更新サーバー、テレマティクスAPI、管理ポータル、その他の高価値資産を体系的に特定することが可能となります。
最終的に、この手法により自動車業界の関係者は、車両エコシステムに関する包括的な攻撃対象領域マップを構築することが可能となります。このマップには実用的な知見が含まれており、レッドチームが現実的な脅威をシミュレートする際の指針となり、自動車メーカーが防御策を最も重要な箇所に優先的に配置する上で役立ちます。
