研究者が自動車のBluetoothシステムに重大な脆弱性を特定

サイバーセキュリティの研究者たちは、世界中の数百万台の車両でリモート攻撃者がコードを実行できる可能性のある、広く使用されている自動車向けBluetoothシステムに4つの重大なセキュリティ脆弱性を特定しました。

これらの脆弱性はPCA Cyber Securityによって「PerfektBlue」と名付けられ、OpenSynergyのBlueSDK Bluetoothスタックに影響します。このスタックは、組み込みシステムでBluetooth機能を実装するために使用されており、自動車用途に強く重点が置かれています。これらの脆弱性は、メルセデス・ベンツ、フォルクスワーゲン、シュコダの自動車で使用されている技術に影響を及ぼします。研究者が公表していない4社目のメーカーも、この影響を受ける技術を使用していることが確認されています。

この発見は、Bluetooth対応インフォテインメントシステムが標準装備となった現代のコネクテッドカーにおいて、攻撃対象領域が拡大していることを浮き彫りにしています。研究者たちは、4つの脆弱性が連鎖的に悪用されることで、攻撃者がBluetooth接続を通じて車両システムへの不正アクセスを得る可能性があることを明らかにしました。

この攻撃には、攻撃者がターゲット車両のBluetooth範囲内に入り、インフォテインメントシステムとのペアリングに成功する必要があります。ペアリングプロセスは、各メーカーがBlueSDKフレームワークをどのように実装しているかによって異なり、ユーザーの操作が必要な場合もあれば、そうでない場合もあります。

特定された脆弱性には、AVRCPサービスにおける重大なuse-after-freeの欠陥（CVE-2024-45434、CVSSスコア8.0）と、L2CAPおよびRFCOMMプロトコルにおける不適切な検証や不正な関数処理に関連する3つの追加の欠陥が含まれます。

PCA Cyber Securityは、影響を受ける各メーカーの特定のインフォテインメントユニット、メルセデス・ベンツのNTG6システム、フォルクスワーゲンの電動IDモデルで使用されているMEB ICAS3ユニット、シュコダのSuperbモデルに搭載されているMIB3システムで、実際に脆弱性を悪用できることを実証しました。

この発見は、自動車サイバーセキュリティの複雑さ、特に車両ネットワーク内での横方向の移動の可能性を浮き彫りにしています。インフォテインメントシステムは通常、重要な車両制御からある程度分離されるよう設計されていますが、その有効性は各メーカーのネットワークアーキテクチャやセキュリティプロトコルに依存します。

インフォテインメントシステムの脆弱性が悪用されると、理論上、攻撃者がGPS追跡、音声録音機能、連絡先情報などにアクセスできる可能性があります。研究者はまた、ネットワークのセグメンテーションが弱い場合、追加の脆弱性や車両ごとのアーキテクチャによっては、攻撃者が他の車両システムにアクセスできる可能性もあると指摘しています。

研究者たちは2024年5月に最初にOpenSynergyに調査結果を報告しました。同社は脆弱性を認め、パッチを開発し、2024年9月に顧客へ配布しました。しかし、自動車のサプライチェーンの複雑さから、パッチの配布には課題が生じています。一部の自動車メーカーは、最初の報告からほぼ1年後の2025年6月時点でも必要なアップデートを受け取っていませんでした。この遅延を受け、研究者たちは4社目のメーカー名を伏せたまま公表に踏み切りました。

研究者たちは実際の車両ハードウェア上で概念実証を行い、リバースシェルアクセス（ターゲットシステム上でリモートコマンドを実行可能）を取得しました。これらの実証は2020年から2023年の特定のファームウェアバージョンで行われましたが、研究者はより古いバージョンや新しいバージョンも脆弱である可能性があると示唆しています。

脆弱性に関するさらなる技術情報は、PCAのウェブサイトで確認できます。