167570
1: 海江田三郎 ★ 2016/02/25(木) 12:08:50.97 ID:CAP_USER.net
http://www.itmedia.co.jp/enterprise/articles/1602/25/news067.html


 日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側から他人の車を操作する実証ビデオも公開している。

 セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。

 詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、 個々の車に割り当てられている車両識別番号(VIN)の下5ケタさえ分かれば、他人のリーフを制御できてしまうことが判明。VINを列挙する方法で、反応があった車両をコントロールできることが分かった。

 ハント氏はこの問題を検証するため、知人のセキュリティ研究者でリーフを保有しているスコット・ヘルム氏の協力を得て、ハント氏がオーストラリアからインターネット経由で、英国にいるヘルム氏のリーフを操作する実験を行った。

 実験ではハント氏の操作でヘルム氏のリーフのエアコンやファンを作動させることに成功。リーフの走行日時や距離などの運転履歴も取得できた。両氏はこの実験の様子をビデオに収めてブログで公開している。

 ハント氏はこの問題を1月23日に日産に報告し、電話やメールで連絡を取り合っていた。ところが2月20日にカナダから届いたメールで、同じ問題が別の人物によって発見されていたことが発覚し、ネット上で公に論議されていることも分かった。このため日産に連絡した上で、24日にブログでの公開に踏み切ったと説明している。
元スレ:http://anago.2ch.sc/test/read.cgi/bizplus/1456369730/0-

スポンサードリンク

2: 2016/2/(木) 20:07:28 ID:kurumania
37: 名刺は切らしておりまして 2016/02/25(木) 13:35:20.56 ID:7dSA4b9J.net
>>1

なんでインタネット経由で操作させるAPIにしてるのか意味が分からん
どうせ車に乗ってる時だけなんだから、BTでいいだろうに

3: 名刺は切らしておりまして 2016/02/25(木) 12:12:53.24 ID:7ouyl1K6.net
やっちゃった日産

39: 名刺は切らしておりまして 2016/02/25(木) 13:46:48.71 ID:ZbGtzvcl.net
>>3
思わずワロタ ありがとう

4: 名刺は切らしておりまして 2016/02/25(木) 12:13:57.51 ID:W4iqRFM9.net
ネット経由で操作できる機能がそもそも必要なんだろうか?

5: 名刺は切らしておりまして 2016/02/25(木) 12:14:04.07 ID:nMyp7ANe.net
車・ハッキング・遠隔操作
でググれば無茶色々出てくるけど?
共通の問題じゃないのかな?

6: 名刺は切らしておりまして 2016/02/25(木) 12:28:29.70 ID:TAD1P1hG9
寒い日に重役がリーフ乗った瞬間、暗殺者が
冷房マックスに
証拠のこらないし完全犯罪だな

8: 名刺は切らしておりまして 2016/02/25(木) 12:17:02.93 ID:OgRy/mHL.net
>リーフのアプリのAPIには認証の仕組みが実装されておらず、
>個々の車に割り当てられている車両識別番号(VIN)の下5ケタさえ分かれば、
>他人のリーフを制御できてしまう

頭おかしいレベル。
開発した部門丸ごとクビにしたほうがいいよこれ。

20: 名刺は切らしておりまして 2016/02/25(木) 12:32:26.45 ID:R61UfnLd.net
>>8
うん
完全に頭おかしい

9: 名刺は切らしておりまして 2016/02/25(木) 12:23:23.99 ID:UNR87+2b.net
これ、脆弱性じゃなくって、
間抜けって話しだろ

10: 名刺は切らしておりまして 2016/02/25(木) 12:23:43.91 ID:jTjdDIpo.net
アナログMT車ならこんな馬鹿げた事は絶対に起こらない。MTの勝ち。

11: 名刺は切らしておりまして 2016/02/25(木) 12:24:36.09 ID:wGJPQW5q.net
iPhoneだからだろ

12: 名刺は切らしておりまして 2016/02/25(木) 12:25:00.89 ID:uecUOWF2.net
やったーーー!ぼくもリーフに乗れるんだね\(^_^)/

13: 名刺は切らしておりまして 2016/02/25(木) 12:25:31.51 ID:1F+dqOvP.net
これは車の問題じゃなくてハッキングしようとする奴が悪いだけだろ
それにこれはアプリを使ってなかったら問題ないんだろ

19: 名刺は切らしておりまして 2016/02/25(木) 12:30:40.05 ID:fua5fVHx.net
>>13
そんな性善説みたいな理屈が通るなら、世界は平和よね

31: 名刺は切らしておりまして 2016/02/25(木) 13:08:41.65 ID:58QSpa/s.net
>>19
動画で見る限り車内にハッキングに協力する人間がいて、
ネット接続の装置を準備してるじゃん!?
今回は車両保有者が実験に合意してるんだろうけど、
知らないやつがやってるなら明らかに犯罪行為だろ?w

36: 名刺は切らしておりまして 2016/02/25(木) 13:26:50.46 ID:bNRy1i3d.net
>>31
リーフはインターネット常時接続だよ

14: 名刺は切らしておりまして 2016/02/25(木) 12:26:12.31 ID:AcxX9Wzb.net
 
やっちゃえ日産→やらかしました

 

15: 名刺は切らしておりまして 2016/02/25(木) 12:26:13.42 ID:UNR87+2b.net
そういえば、こないだ「同姓同名」の人に
同じマイナンバーが「割り振られた」件で、
すっかりマイナンバーの生成方法がばれちゃったね。

18: 名刺は切らしておりまして 2016/02/25(木) 12:30:23.24 ID:bNRy1i3d.net
日産リーフすごいな
地球の裏側からでもリモート操作できるのか

リーフ買うよ

21: 名刺は切らしておりまして 2016/02/25(木) 12:37:25.08 ID:tLFOxDdo.net
日本人はセキュリティザルすぎwまあ派遣がとりあえずで作ったら
首になってそのまま何もできないままに世に出されたとかだと気の毒だが

24: 名刺は切らしておりまして 2016/02/25(木) 12:43:42.16 ID:SNEN0H3n.net
>>21
アプリは外注かもな
とは言え、コア部分に認証の仕組みがないならどうしようもない
アプリ開発者も、これやべーって思いながら作ってたかもしれん

22: 名刺は切らしておりまして 2016/02/25(木) 12:39:12.44 ID:SNEN0H3n.net
エアコン制御と履歴取得ぐらいで済むなら不幸中の幸いだな

26: 名刺は切らしておりまして 2016/02/25(木) 12:55:43.61 ID:Mcb+wQkj.net
日産らしいと言えば日産らしい
不具合こそ日産の魂

32: 名刺は切らしておりまして 2016/02/25(木) 13:11:06.63 ID:9psRaSwC.net
日本の企業はネットセキュリティ甘いからね
電機系のネット通販なんて、SSLの更新を怠って駄々漏れ状態になってるのが多い

34: 名刺は切らしておりまして 2016/02/25(木) 13:15:46.80 ID:3sCF1qci.net
>他人のリーフのエアコンなどを遠隔操作できてしまう

嫌がらせ程度しかならない気が…。

38: 名刺は切らしておりまして 2016/02/25(木) 13:35:22.62 ID:AE+qn/yf.net
キットに車名変更しろ

40: 名刺は切らしておりまして 2016/02/25(木) 13:48:27.82 ID:IwezzKp9.net
セキュリティ絡みのソフトは日本人に作らせないのがデフォ

16: 名刺は切らしておりまして 2016/02/25(木) 12:27:19.25 ID:1wnpWgLo.net
エアコンつけて、カーステもガンガンにかけた状態だと
100キロくらいでバッテリーの残量が心配になる
車だもの、乗っ取られても遠くには行けないよ(;´・ω・)

スポンサードリンク

716: 2016/2/(木) 20:07:28 ID:kURumANia


         

    スポンサードリンク

    コメント

     コメント一覧 (12)

      • 1. 名無しさん
      • 2016年02月25日 20:47
      • >これは車の問題じゃなくてハッキングしようとする奴が悪いだけだろ
        普通にアクセスできるなら「間違えてコード入れました」が通るんだよなぁ
      • 2. 名無しさん
      • 2016年02月25日 21:32
      • 技術の日産!!
      • 3. 名無しさん
      • 2016年02月25日 21:36
      • コストカットしか考えていないから、
        こういうことが起こるんだよ。
      • 4. 名無しさん
      • 2016年02月25日 22:00
      • さすが『技術のニッサン』!!
      • 5. 名無しさん
      • 2016年02月25日 23:36
      • 遠隔手動運転を一足早く実現!
      • 6. 名無しさん
      • 2016年02月26日 00:31
      • 180SXより速い車(感動するくらいのヤラセ)がこのザマかよWWW
      • 7. 名無しさん
      • 2016年02月26日 02:36
      • 何でもスマホと接続する機械を作る風潮やめないか
      • 8. 名無しさん
      • 2016年02月26日 09:19
      • 日産「リーク」
      • 9. 名無しさん
      • 2016年02月26日 09:34
      • このサイトにも時折広告が出る「リーフのオーナーに質問できるサイト」に居るリーフ儲はどう考えてるのかな?w
      • 10. 名無しさん
      • 2016年02月26日 11:08
      • これ、脆弱性とかセキュリティホールとかの話じゃない
        守る意思自体が無い、とんでもない事態

        普通にトップニュースだろ。欠陥もいいとこだぞこれ
      • 11. 名無しさん
      • 2016年02月26日 22:02
      • やっとまともに使える電気自動車が出たと思ったらこれか・・・
        三菱の電気自動車は問題ないのかな?
      • 12. 名無しさん
      • 2016年02月27日 11:49
      • 日産最大の失敗車。失敗を認めたく無いから意地だけで造り続けてる。
    コメントフォーム
    記事の評価
    • リセット
    • リセット