あなたの車のキーフォブは、この単純なリプレイ攻撃に対して脆弱ですか?
おそらくほとんどの人は、キーホルダーが安全であることを当然のことと考えています。 結局のところ、車のロックとロック解除は非常に重要です。 しかし、Black Hat セキュリティ カンファレンスで、研究者らは、単純なリプレイ攻撃によって車のキーフォブに組み込まれた安全対策がどのように無効になるかを示しました。
車を遠隔でロックおよびアンロックするためのシステムはリモート キーレス エントリー (RKE) と呼ばれるもので、見た目よりも複雑です。 各ボタンの押下は一意であるため、攻撃者が単にロック解除ボタンを押したことを記録し、後で再生することを防ぎます。
I2R、A*STAR の研究者である Levente Csikor 氏は、RKE システムはローリング コードを使用していると説明しました。 キーフォブと車には、ボタンを押すたびに増加するカウンターがあります。 そうすることで、以前に記録されたボタンの押下は受け付けられなくなります。
しかし、すべてのキーホルダーが車に届くわけではありません。 おそらく、通信範囲外にいるか、厚いガラスの後ろにいるか、単にキーをいじっているだけかもしれません。 これらのボタンを押すと、キーフォブのカウンターは前方に移動しますが、車は移動しません。 誤ってボタンを押して車の所有者がロックアウトされるのを防ぐため、RKE システムは、車よりもフォブのボタンが押された回数が多いことを検出すると、低いカウンター番号にリセットします。
リセット システムは、フォブのカウンター番号が車より大きい限り、リプレイ攻撃にはならないと想定しています。 しかし、これは、リセットが発生する前にキャプチャされたコード(車両には到達しなかったコード)が受け入れられることを意味します。
Csikor 氏は、これが 7 年前にさまざまな研究者によってデビュー(新しいウィンドウで開きます)された RollJam 攻撃の核心であると述べました。 低コストの材料を使用して、RollJam デバイスはキーフォブのボタン信号を捕捉し、次に放送波を妨害して 2 回目のボタン押下を捕捉しました。 2 番目の信号は車には届かず、攻撃者が後でそれを再利用して車両のロックを解除する可能性がありました。
そうですね、ジャムとリプレイのプロセス全体が必要ない可能性があることがわかりました。 Csikor 氏は、一部の車両については、攻撃者が以前にキャプチャした数回のボタン押下(新しいウィンドウで開きます)を再実行するだけで、車両のカウンターを「ロールバック」できると説明しました。 たとえそれらが車によってすでに検出されていたとしても、以前に捕捉されたボタン押下はすべて車両によって受け入れられます。
それだけでなく、この攻撃は将来的に再現される可能性があります。 攻撃者は、将来の任意の時点で、たとえ車の所有者がキーホルダーを繰り返し使用した後であっても、ボタンを押すだけで済み、車は信号を受け入れてロックを解除することができます。 Black Hat の後に公開された新しいビデオでは、再生された信号がキャプチャから 100 日以上にわたって正常に使用されていることが示されています。
Csikor は、実際の攻撃のビデオをいくつか見せました。 カスタム RollJam デバイスの代わりに、HackRF ソフトウェア無線ユニットに接続された標準の Lenovo ThinkPad を使用しました。これには数百ドルかかる場合があります。 画面上では、起亜自動車製キーフォブのボタンを 5 回押す様子が捉えられました。 車はそれらすべてに反応していることがわかります。 その後、最初の 2 つを再生しましたが、無視されましたが、次の 3 つは車両に受け入れられました。
それは良くなります(または悪くなります)。 Csikor 氏は、論文を Black Hat に提出して以来、チームは連続してボタンを押すと車のカウンターがロールバックされることを発見したと述べました。 RollBack を機能させるには、シーケンシャルなロック信号とロック解除信号を組み合わせるだけで十分です。
チームはテストした車両の完全なリストを公開する予定ですが、まだ公開していません。 Csikor のプレゼンテーションにリストされている 20 台の車両のうち、RollBack 攻撃の影響を受けないのは 6 台だけです。
チームが調査した3台のヒュンダイのうち、RollBack攻撃で倒れたのは1台だけだった。 テストされた日産車 3 台のうち 2 台は影響を受けましたが、評価されたトヨタ車 4 台はいずれも影響を受けませんでした。
各自動車ブランド内で、キャプチャする必要があるボタンの押下回数は、モデルや年式が異なっても一定でした。 脆弱な日産、起亜、ヒュンダイのモデルではボタンを 2 回押すだけでしたが、脆弱なホンダはすべて 5 回ボタンを押す必要がありました。
Csikor氏は、これは古い車両に限った問題ではないと強調した。 2020 年モデルのような新しい車や 2009 年に古い車も影響を受ける可能性があります。
NCSグループのサイバーセキュリティ研究開発ディレクター、フン・ウェイ・リム氏は、チームは2022年4月に影響を受けるキーフォブメーカーに調査結果を報告し、5月には自動車情報共有分析センター(Auto-ISAC)に調査結果を報告したと述べた。 影響を受けたすべての自動車メーカーにも連絡があり、問題を調査中です。
研究者たちは、これまでの研究にもかかわらず、まだ知らないことがたくさんあることを認めています。 たとえば、彼らは東南アジアでアクセスできる車両のみをテストしました。 これは道路を走っているすべての自動車のほんの一部であるため、脆弱性がどれほど広範囲に広がっているかはわかりません。
また、なぜ車両がそのように動作するのかもわかっていません。 車のシステムは独自のものであり、チームは調査のために車を解体する立場にない、とシコル氏は説明した。 可能性のある手掛かりは、Microchip と呼ばれるキーフォブメーカーから得られました。同社は、車の所有者が新しいキーフォブを自分の車にペアリングするプロセスの公開文書を持っていました。 その一部はチームの研究と一致しましたが、すべてではありませんでした。 Csikor 氏は、キーフォブではなく、車内の受信機がほとんどの仕事を行っているとも指摘しました。 これは、問題を解決するかどうかは自動車メーカー次第である可能性があることを示唆しています。
その結果、チームはメーカーがどのようなソリューションを導入できるか確信が持てません。 1 つの可能性は、ローリング コード システムとともにタイムスタンプを使用することです。
詳細が明らかになるまでは、フン・ウェイ・リム氏が講演の冒頭で行ったこと、つまり彼の車をハッキングしないように人々に呼びかけることが最善の策かもしれない。
Black Hat の最新情報については、PCMag を読み続けてください。
SecurityWatch にサインアップするプライバシーとセキュリティのトップ記事を受信箱に直接配信するニュースレター。
このニュースレターには、広告、取引、またはアフィリエイト リンクが含まれる場合があります。 ニュースレターを購読すると、利用規約とプライバシー ポリシーに同意したことになります。 ニュースレターはいつでも購読を解除できます。
あなたの購読が確認されました。 受信トレイに注目してください。
セキュリティウォッチ