Shin Li, Staff Threat Researcher, Automotive
ロシア全土の高級車ブランドのオーナーやディーラーから、工場出荷時の車両追跡システム(ビークルトラッキングシステム:VTS)を搭載した数百台の車両が突然走行不能になったとの報告がありました。この地域全体にわたる事象は、VTSモジュールがネットワーク接続を失い、信頼性検証チェックに失敗したことが引き金となって車両本体が「始動不能/即時停止」状態に陥ったとされています。
VTSが車両を動けなくした仕組みとは
VTSは盗難防止・イモビライザー機能として動作します。全地球測位システム(GNSS)による車両位置の監視と、セルラーネットワーク経由の通信状態、自動運転者認識(ADR)もしくはBluetooth Low Energy(BLE)認証を組み合わせて照合することにより、許可された運転者の存在確認を行う仕組みです。
VTSがオフライン状態、改ざんされた状態、または所定の事前チェックを完了できない状態にある場合、システムはデフォルトでフェイルセーフ態勢に移行するよう設計されています。下流のボディモジュールおよびゲートウェイモジュールは、この状況を潜在的な盗難事象とみなして、始動連携動作をロックした状態に維持します。
この動作は新たなものではありません。初期の2G・3Gサービス終了時や段階的停止時には、オフライン状態のVTSユニットが診断トラブルコード(DTC)を発生させ、ディーラーがVTS入力を無視するよう車両を再設定するまで、エンジンの始動を阻止することが知られていました。つまりVTSは意図的に保守的な、いわば「疑わしきは、許可せず」といった動作をとるように設計されており、これは盗難防止には有効な機能ですが、無害な障害に対して復旧が脆弱になったり、障害が明確に定義されていない場合にはデメリットとなります。
この事件が発生した際にカーオーナーとディーラー・サービス側が遭遇した動作は、まさに上述の保守的な設計と一致するものでした。6~10時間バッテリーを切断することで、ようやくラッチ状態が解除され、車両が起動する事例が確認されました。より確実な方法として、VTSモジュールを物理的に無効化または取り外して、車両が当該ノードを無視するようコーディングすることで、通常の動作を回復しました。これらの結果は、上流の前提条件が満たされなかったため、イモビライザーが保護状態に入り、ラッチ状態が維持されていたことを示しています。
考えられる根本原因
観察可能な動作、コミュニティからの報告、既知のVTSアーキテクチャに基づくと、複数の障害経路が考えられます。以下は、VicOneが脅威調査で関連性を評価したシナリオとなります。
- 暗号信頼性チェックの失敗(証明書の有効期限切れまたは失効チェック)
診断結果は認証失敗に似ているため一見有力に見えますが、公開鍵基盤(PKI)や証明書失効リスト(CRL)の問題を示す直接的な証拠はありません。同様の障害コードは純粋にローカルな接続の問題によっても発生する場合があります。
可能性:低~中程度 - ジオフェンシングに基づくバックエンドからの意図的な「キル」行為
ジオフェンシング(Geofencing)とは、端末の位置情報を利用して物理空間内に仮想的な「柵」を設けてシステムが境界の出入りを検知して所定の動作を行う仕組みを指します。現代の車両追跡技術は位置情報に基づいて車両を強制的に停止することは可能ですが、高級車メーカーにとって、そのような行為は業務上も評判上も到底容認できません。この仮説を裏付ける証拠はなく、コミュニティによるファクトチェックでも明確に否定されています。
可能性:低 - 全球測位衛星システム(GNSS)干渉または位置情報の異常による誤認
ローカル盗難防止ロジックは、持続的なGNSS状態異常やセルラー通信の劣化を不正改ざんまたはオフグリッド事象と誤認識している可能性があります。これは、全モデルで通信喪失を指摘するディーラーからの情報と一致し、VTSの削除または無効化で動作が回復する理由を説明し、密集した都市部における既知のRF環境の影響とも合致しています。
可能性:中~高 - 「デッドマンスイッチ」がサービスまたは契約終了と連動している可能性
デッドマンスイッチとは、オペレーター(ここでは正規の運転者)が死亡したり意識不明になったりした場合、あるいは意図せず操作位置を離れた場合に、機械を自動的に停止させる安全装置です。これにより、操作不能による事故を防ぎ、安全を確保しますが、これがサービス契約側の取り違えで起動したのではという疑いです。概念的には単純ですが、高級ブランドの伝統的な設計哲学、特に「接続性喪失=走行不能」というルールを高級車ブランドが避けてきたこととは矛盾します。
可能性:低 - ネットワークまたはサービスの変更が、ファームウェアまたはステートマシン(状態遷移モデル)の欠陥と相互作用した可能性
このシナリオは、意図的なコマンドがなかったにもかかわらず、全車両規模で耐性のある動作から脆弱な動作へと突然移行した現象を説明する根拠となり得ます。ネットワーク条件の変化により、トラッキングシステムの起動または認証シーケンスにおけるエッジケースが発生し、イモビライザーが安全だが回復不能な状態に陥った可能性があります。
可能性:中
総合すると、意図的な遠隔操作による「キル」状態が起きたのではなく、GNSSやセルラー通信環境の劣化状態での局所的な誤認識と、回復を不安定にするファームウェアまたは状態遷移モデルの欠陥が複合的に作用した可能性が示唆されます。
現場で発見された回避策(長時間のバッテリー切断、VTSの再起動、または取り外し)は緊急時には理解できます。しかし、これらの回避策は盗難への耐性を犠牲にして短期的なモビリティを確保するものであり、車両が後日記録されない限り、診断トラブルコード(DTC)を永続的に残します。したがって、これらの措置は診断には実用的ですが、一時的なものであり量産車両にとって適切な修正策とは言えません。
自動車メーカーにとってのセキュリティ上の教訓
VTSは車両盗難を困難にするために存在するため、設計上、必然的にフェイルセーフ寄りの動作へと傾きがちです。しかし、認証がGNSSやセルラー通信の通信環境に依存し、現場で予測不能な障害が発生する可能性が高い場合、システムには段階的な機能低下経路(グレースフル・デグラデーション・パス)も必要です。エンジニアリング上の課題は、エンジンロックなどの盗難防止制御機能が、一般的な通信障害時に可用性や安全性を脅かすリスクとならないようにすることです。
自動車メーカーにとって、当面の教訓は陰謀論的なものではなく、アーキテクチャに関するものです。
- オフライン時の動作を明確化すること
ADR/BLEドライバー認証情報がローカルで検証され、改ざん検知センサーが作動していない場合、トラッキングシステムが「ホームへの通信」を実行できなくても、車両は一定時間動作を継続すべきです。異常は即時にイモビライザーを作動させるのではなく、後日の監査用に記録されます。 - サービス停止イベント発生時のVTS再起動と状態遷移モデルの動作を強化すること
GNSSやセルラー入力が部分的に失敗した場合、モジュールが「存在は確認できるが確信できない」状態に陥らないようにすべきです。2Gおよび3Gのサービス中断時の過去のフィールドレポートから具体的なテストスクリプトが得られます。それらのサービス喪失プロファイルをシミュレートし、最新のファームウェアが正当な運転者を足留めすることなく正常に動作を終了することを確認してください。 - 脆弱性を生じさせることなく盗難に対する耐性を維持すること
無線スタックは妨害装置や偽装信号の検知を継続し、妨害行為に対して警告を発するべきです。ただし通信が利用不能な場合、車両は無期限のロックアウトではなく、強力なローカル認証によって制御される「制限付き稼働モード」に移行すべきです。これはコードで強制されるポリシーの選択であってセキュリティ上の妥協ではありません。詳細なログを保存して延期後にアップロードすることで、アカウンタビリティを維持できます。
この種のインシデントは特定のブランドやモジュールに限ったものではなく、コネクテッドカー・エコシステムの複雑化を反映しています。例えば盗難防止システムからの単一の信頼信号によって車両の移動が決定される場合、復旧経路は検知経路と同様に重要になります。
この事件は自動車サイバーセキュリティに関するより広範な課題も浮き彫りにしています。特に通信インフラや電波に障害が発生した場合でも、セキュリティ制御によってシステムリスクを生じさせることなく敵対的な攻撃者から防御するアーキテクチャが実現されなければなりません。
