1: 海江田三郎 ★ 2016/02/25(木) 12:08:50.97 ID:CAP_USER.net
http://www.itmedia.co.jp/enterprise/articles/1602/25/news067.html

8086

 日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう
脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側か
ら他人の車を操作する実証ビデオも公開している。

 セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで
行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。

 詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、個々の車に割り当てられている車両識別番号(VIN)の下5ケタさえ分かれば、他人のリーフを制御できてしまうことが判明。VINを列挙する方法で、反応があった車両をコントロールできることが分かった。

 ハント氏はこの問題を検証するため、知人のセキュリティ研究者でリーフを保有しているスコット・ヘルム氏の協力を得て、ハント氏がオーストラリアからインターネット経由で、英国にいるヘルム氏のリーフを操作する実験を行った。

 実験ではハント氏の操作でヘルム氏のリーフのエアコンやファンを作動させることに成功。リーフの走行日時や距離などの運転履歴も取得できた。両氏はこの実験の様子をビデオに収めてブログで公開している。

 ハント氏はこの問題を1月23日に日産に報告し、電話やメールで連絡を取り合っていた。ところが2月20日にカナダから届いたメールで、同じ問題が別の人物によって発見されていたことが発覚し、ネット上で公に論議されていることも分かった。このため日産に連絡した上で、24日にブログでの公開に踏み切ったと説明している。

引用元 http://anago.2ch.sc/test/read.cgi/bizplus/1456369730/

スポンサードリンク

3: 名刺は切らしておりまして 2016/02/25(木) 12:12:53.24 ID:7ouyl1K6.net
やっちゃった日産

4: 名刺は切らしておりまして 2016/02/25(木) 12:13:57.51 ID:W4iqRFM9.net
ネット経由で操作できる機能がそもそも必要なんだろうか?

7: 名刺は切らしておりまして 2016/02/25(木) 12:15:59.89 ID:pEQFETJI.net
テロリスト歓喜。

8: 名刺は切らしておりまして 2016/02/25(木) 12:17:02.93 ID:OgRy/mHL.net
>リーフのアプリのAPIには認証の仕組みが実装されておらず、
>個々の車に割り当てられている車両識別番号(VIN)の下5ケタさえ分かれば、
>他人のリーフを制御できてしまう

頭おかしいレベル。
開発した部門丸ごとクビにしたほうがいいよこれ。

20: 名刺は切らしておりまして 2016/02/25(木) 12:32:26.45 ID:R61UfnLd.net
>>8
うん
完全に頭おかしい

9: 名刺は切らしておりまして 2016/02/25(木) 12:23:23.99 ID:UNR87+2b.net
これ、脆弱性じゃなくって、
間抜けって話しだろ

13: 名刺は切らしておりまして 2016/02/25(木) 12:25:31.51 ID:1F+dqOvP.net
これは車の問題じゃなくてハッキングしようとする奴が悪いだけだろ
それにこれはアプリを使ってなかったら問題ないんだろ

19: 名刺は切らしておりまして 2016/02/25(木) 12:30:40.05 ID:fua5fVHx.net
>>13
そんな性善説みたいな理屈が通るなら、世界は平和よね

31: 名刺は切らしておりまして 2016/02/25(木) 13:08:41.65 ID:58QSpa/s.net
>>19
動画で見る限り車内にハッキングに協力する人間がいて、
ネット接続の装置を準備してるじゃん!?
今回は車両保有者が実験に合意してるんだろうけど、
知らないやつがやってるなら明らかに犯罪行為だろ?w

36: 名刺は切らしておりまして 2016/02/25(木) 13:26:50.46 ID:bNRy1i3d.net
>>31
リーフはインターネット常時接続だよ

16: 名刺は切らしておりまして 2016/02/25(木) 12:27:19.25 ID:1wnpWgLo.net
エアコンつけて、カーステもガンガンにかけた状態だと
100キロくらいでバッテリーの残量が心配になる
車だもの、乗っ取られても遠くには行けないよ(;´・ω・)

18: 名刺は切らしておりまして 2016/02/25(木) 12:30:23.24 ID:bNRy1i3d.net
日産リーフすごいな
地球の裏側からでもリモート操作できるのか

リーフ買うよ

21: 名刺は切らしておりまして 2016/02/25(木) 12:37:25.08 ID:tLFOxDdo.net
日本人はセキュリティザルすぎwまあ派遣がとりあえずで作ったら
首になってそのまま何もできないままに世に出されたとかだと気の毒だが

24: 名刺は切らしておりまして 2016/02/25(木) 12:43:42.16 ID:SNEN0H3n.net
>>21
アプリは外注かもな
とは言え、コア部分に認証の仕組みがないならどうしようもない
アプリ開発者も、これやべーって思いながら作ってたかもしれん

22: 名刺は切らしておりまして 2016/02/25(木) 12:39:12.44 ID:SNEN0H3n.net
エアコン制御と履歴取得ぐらいで済むなら不幸中の幸いだな

26: 名刺は切らしておりまして 2016/02/25(木) 12:55:43.61 ID:Mcb+wQkj.net
日産らしいと言えば日産らしい
不具合こそ日産の魂

27: 名刺は切らしておりまして 2016/02/25(木) 12:57:35.96 ID:58QSpa/s.net
うん?何で車内でやってるの?
車外からやって欲しいね

32: 名刺は切らしておりまして 2016/02/25(木) 13:11:06.63 ID:9psRaSwC.net
日本の企業はネットセキュリティ甘いからね
電機系のネット通販なんて、SSLの更新を怠って駄々漏れ状態になってるのが多い

34: 名刺は切らしておりまして 2016/02/25(木) 13:15:46.80 ID:3sCF1qci.net
>他人のリーフのエアコンなどを遠隔操作できてしまう

嫌がらせ程度しかならない気が…。

41: 名刺は切らしておりまして 2016/02/25(木) 13:59:37.32 ID:2c62gxXE.net
日産の経営陣のアホさ加減が世界中に公開されてるってことになるのか。

42: 名刺は切らしておりまして 2016/02/25(木) 16:02:11.78 ID:UyrNe9ZK.net
リーフのエアコンを操作して、何がしたいの?

44: 名刺は切らしておりまして 2016/02/25(木) 16:42:24.59 ID:biosQYAR.net
>>42
バッテリー上げ。

43: 名刺は切らしておりまして 2016/02/25(木) 16:20:27.18 ID:3sCF1qci.net
冬は冷房、夏は暖房と復讐できるんじゃね?

52: 名刺は切らしておりまして 2016/02/25(木) 19:27:10.67 ID:IkjAD+z4.net
勝手にエアコン回しちゃうなんてかなりのワルだな