国産車ハッキングの衝撃

遠隔から乗っとられて140万台リコール──。自動車業界に衝撃が走った。「サイバー無策」なのはクルマも同じだ。開発プロセスそのものが変わる。

2015年8月に開かれたサイバーセキュリティーイベント「ブラックハット」。セキュリティー研究者のチャーリー・ミラー氏（右）とクリス・バラセック氏（左）が「ジープチェロキー」をハッキングする方法を発表。140万台のリコールに発展した（写真＝Bloomberg / Getty Images）

　2015年8月5日、自動車業界に衝撃を与える事件が米国で“実演”された。

　世界的なサイバーセキュリティーイベント「ブラックハット」で壇上に立った2人の研究者が発表したのは、クルマをハッキングする具体的な方法だった。標的になったのは、欧米フィアット・クライスラー・オートモービルズ（FCA）のSUV（多目的スポーツ車）「ジープチェロキー」だ。

　2人はチェロキーに搭載された専用無線回線「Uコネクト」にセキュリティーの穴を発見した。その“穴”から不正な命令を送り、クルマのシステムを制圧。そしてパソコンを使って、ハンドルからブレーキ、車載ディスプレーに至るまで全てを操作する手法を公開した。実際に事故は起こっていないが、「クルマの乗っ取り」が現実のものとなった。

日本メーカーの意識が一変

　それまでも米国ではクルマをハッキングする方法が見つかっていたが、それらは専用機器をクルマに物理的に取り付けるものだった。チェロキーに対する攻撃手法が衝撃的だったのは、全て遠隔操作だったからだ。セキュリティー専門家は「チェロキーには少なくとも5つの対策漏れがあった。十分な備えを怠り、“素っ裸”で走っていたようなものだ」と語る。

　2人から事前に連絡を受けていたFCAは同年7月24日、自主リコール（回収・無償修理）に踏み切った。対象は140万台だ。FCAは本誌の取材に対し「（対策によって）彼らが示した脆弱性は、その後の車両へのリモート攻撃に利用できなくなった。経験を基に改善を進めていく」と書面で回答した。

　この事件によって、「クルマの安全」の概念はがらりと変わった。サイバー攻撃からどう守るかという課題が新たに加わったからだ。

　車載制御システムの標準化を目指す日本の業界団体「JasPar」でセキュリティー技術を統括する橋本寛氏（本田技術研究所主任研究員）はこう言う。「チェロキーの事件で、国産メーカーのセキュリティー意識は一変した」。

　橋本氏が言うように、チェロキーは対岸の火事ではない。実際、この1年で国産車でも次々にセキュリティーの脆弱性が明らかになっている。

広島市立大学の実験。機器をクルマにつないで攻撃を加えると、止まっているにもかかわらず速度メーターが160kmを示したり、タコメーターの針が振り切れたりするといった現象が現れた

[画像のクリックで拡大表示]

　昨年12月、広島市立大学の敷地内に、1台の国産ハイブリッド車が止まっていた。クルマのハッキングが国産車でも可能かどうかを確かめる実験車両だ。

　販売店などでクルマの状態を診断するための接続口「OBD-Ⅱポート」に独自開発した機器を接続。その機器を経由して命令を送ると、ドアの解錠や窓の開閉、表示パネルの誤表示などを実行させることができた。大量のメッセージを送る攻撃で、メーターの針はグラグラと揺れた。

　チェロキーのように遠隔ではないが、国内でクルマのハッキングが実証されたのはこれが初めてとなる。ドライバーが制御できない状態となれば、クルマはまさしく“走る凶器”と化す。