起亜(キア)にナンバープレート情報だけで車両を遠隔操作可能な脆弱性が発見される

2024年9月30日
CyberThreat Research Lab
起亜(キア)にナンバープレート情報だけで車両を遠隔操作可能な脆弱性が発見される

By Omar Yang (Senior Threat Researcher, Automotive) and Ling Cheng (Senior Product Marketing Manager)

現代(ヒョンデ)グループ傘下の自動車メーカー「起亜(キア)」は、ナンバープレート番号だけあれば、わずか30秒で、車両のロック解除や始動など、車両の主要な機能を遠隔操作できてしまう可能性があった一連の脆弱性を修正したことを発表しました。

この脆弱性は、Neiko RiveraSam CurryJustin RhinehartIan Carrollらセキュリティ研究者のチームによって発見されました。この脆弱性により、攻撃者は車両所有者の氏名、電話番号、メールアドレス、自宅住所などの個人情報を入手することが可能でした。これにより、攻撃者は車両所有者に知られることなく、もう一人の車両ユーザーとして自分のスマートフォンやコンピューターから車両にアクセスすることが可能となります。

この脆弱性は20246月に公表され、8月までに修正されました。影響を受けるキアの車両には2013年以降のモデルも含まれますが、韓国の自動車メーカーは、この脆弱性が実環境で悪用されたことはないと主張しています。

攻撃の流れ

潜在的に悪用される危険性があった攻撃の流れは、キアのディーラー専用サイトの認証プロセスにおける脆弱性を突くところから始まります。これにより、攻撃者は正規の新規ディーラーとして登録し、キアのサーバーから機密情報にアクセスできるようになります。さらに、このシステムでは、ログインしたユーザー(攻撃者)が新しいアカウントを作成したりユーザー権限を変更したりする行為に対して充分な権限確認がありませんでした。

攻撃を実行するために、攻撃者はまずディーラーとして登録し、この後必要となるすべての機密情報を取得するためのAPIコールに必要なアクセストークンを取得します。次に攻撃者はサードパーティの「ナンバープレートから車両識別番号(VIN)を検索する」サービスを使用して、ナンバープレート番号から対象車両の車両識別番号(VIN)を特定します。VINとアクセストークンがあれば、攻撃者は車両所有者のメールアドレスや電話番号などの機密情報を照会することができます。この情報を利用して、攻撃者は自身のキア アカウントを車両に紐付け、本来の所有者をセカンダリユーザーに降格し、所有者に知られることなく自分をプライマリユーザーとして設定します。プライマリユーザーとして一度設定されると、攻撃者は車両のドアのロック解除やエンジン始動などの車両機能を制御できるようになります。

Figure 1. The potential attack chain

図1. 潜在的な攻撃の連鎖

セキュリティに関する考察

今回のケースのような脆弱性は、車両を盗難や不正アクセスなどの潜在的なリスクにさらすことになり、自動車のオーナーに被害をもたらします。その結果、キアのような自動車メーカーは、評判の低下や法的リスクに直面し、自動車のサイバーセキュリティを改善する必要に迫られます。また、保険会社や規制当局などの他の利害関係者は、このような脆弱性に対応して、ポリシーや関連法規を調整する必要があるかもしれません。

この場合、重要な問題はバックエンドAPIの脆弱性、特に車両識別番号(VIN)情報に関連する部分にあります。自動車メーカーは、強固なセキュリティを維持しながら顧客に便利なサービスを提供するために、以下の方法でセキュリティを強化することができます。

  • 積極的なリスク軽減のためのシフトレフト戦略:設計段階から継続的なAPI脆弱性評価を組み込むことにより、メーカーは潜在的なAPIの問題が重大化する前に、問題を特定し対処できるようになります。このアプローチにより、将来的なリスクを最小限に抑え、全体的なセキュリティ対策を強化することができます。
  • ダークウェブの監視による早期警告:信頼できるソリューション プロバイダーによるディープウェブやダークウェブの継続的な監視により、影響を受ける可能性のあるベンダーやコンポーネントに関する情報との相関関係を把握し、対策に役立つ情報を入手することができます。例えば、このアプローチにより、VINの流出を早期に発見することが可能となり、自動車メーカーは、流出したVINに関連する異常な行動を追跡することで、リスクを軽減するための時間を確保することができます。
  • 効率性を高める統合的なリスク可視化:APIの脆弱性とセキュリティイベントに関するデータを統合プラットフォームに集約することで、自動車メーカーは包括的なリスクの可視化を実現できます。生成AIGenAI)を含む高度な分析により、これらのイベントを過去のインシデントやダークウェブの調査データと相関させることができます。その結果、自動車メーカーは潜在的な攻撃者の悪用を予測し、対抗するための実用的な分析結果を活用できるようになります。

自動車 API のセキュリティリスクについて、実例や緩和策としての拡張された体系的なアプローチなど、さらに詳しく知りたい方は、当社のホワイトペーパーをダウンロードしてください。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼