車両がますます接続され、テクノロジーに依存するようになる中、サイバーセキュリティの懸念は進化しています。車両データプライバシーの文脈でしばしば見落とされている領域の1つが、タイヤ空気圧監視システム(TPMS)です。
元々タイヤの安全性のために設計されたTPMSシステムは、不注意にもプライバシー脆弱性の源泉になってしまいました。研究者たちは、これらのシステムによって送信されるデータが傍受されて車両を追跡するために使用でき、車両所有者のプライバシーを侵害することができることを発見しました。
TPMSは車のタイヤに埋め込まれたセンサーを使用して、タイヤ空気圧情報を車の電子制御ユニットに送信します。
これらの送信は通常、暗号化されていない状態で送信され、各センサーの一意の識別子を含んでいます。これは当初、タイヤの健全性を監視し、ドライバーに空気圧の変化を警告するために設計されていましたが、暗号化されていないデータにより、第三者が受動的に車両を追跡することが可能になっています。
サイバーセキュリティ研究者によって実施された研究では、低コストのスペクトラム受信機を道路沿いに10週間配置し、20,000台以上の車両から600万を超えるTPMSメッセージを取得しました。
結果は警告的でした。研究者たちは、車両の一意の識別子を取得するだけでなく、その種類、重量、さらには動きのパターンを含む機密情報を推測することも可能であることを発見しました。
この追跡を特に懸念させるのは、わずか100ドルもの低価格の機器を持っている誰もが、このデータを収集するための受信機をセットアップできることです。
これらの送信における暗号化の欠如により、悪意のある行為者は、見通し内でない状況であっても、継続的に車両を追跡することができます。
これは大規模なプライバシー侵害の扉を開きます。というのも、時間をかけて車両の動きを追跡することで、勤務時間、買い物の習慣、医療機関などの個人的な場所への訪問など、人の日常に関する機密情報を明かす可能性があるからです。
研究によると、TPMSデータは難読化や暗号化なしで送信されており、盗聴に対して脆弱です。
ソフトウェア定義無線とオープンソースツールを使用して、攻撃者は簡単に信号をデコードし、都市部を移動する車両を追跡できます。
最大50メートル離れた場所から受け取ることができるこれらの送信は、車両がどのくらい頻繁に停止するか、どこに行くかなど、車両の旅の詳細な画像を提供します。
自動車メーカーにとって、適切なセキュリティ対策なしでTPMSを使用することは重大な見落としです。ユーザーのプライバシーを侵害する可能性があるだけでなく、この脆弱性を標的型監視や車両盗難などの悪意のある目的で悪用される可能性についての懸念も生じます。
さらに、これらの知見は、自動車産業における規制の改善と安全な設計慣行の必要性を強調しています。
多くの最新車両は膨大なデータを送信する接続システムを備えていますが、TPMSなどの基本的なコンポーネントのセキュリティの欠如は、攻撃者にとって容易なエントリーポイントを提供しています。
特にトヨタやメルセデスのような広く人気のあるブランドのメーカーは、顧客のプライバシーを保護するために、暗号化またはより堅牢な認証プロトコルを通じて、これらのシステムを保護するための即座の行動を取る必要があります。
車両におけるサイバーセキュリティの懸念が増え続ける中、TPMSは対処する必要がある重要なコンポーネントであることは明らかです。接続された車のテクノロジーへの依存の増加に伴い、受動的な車両追跡のリスクは過小評価されるべきではありません。
翻訳元: https://cyberpress.org/tire-pressure-systems-enable-tracking/