BMWグループが、車載通信システム ConnectedDrive の脆弱性を修正するアップデータを配信しました。
アップデートしていない場合、偽の携帯ネットワークを使ったリモートアクセスにより悪意のある第三者がドアロック解除やエアコン操作、位置情報の確認などができてしまうおそれがあります。影響を受ける
BMWのConnectedDriveは車載の通信モジュールを使った各種サービスの総称。Googleマップや天気情報などのネット情報を利用したり、Twitter等ソーシャルメディア連携などさまざまなサービスがあります。
今回問題が見つかったのは、このうちモバイルアプリから自動車のロックやエアコン、ライト等の機能にアクセスするリモート・サービスの部分です。
BMWのリリースによると、 ドイツ自動車連盟ADACが実施したシミュレーションにより、偽の携帯ネットワークを使ったリモートアクセスが可能になる脆弱性が発見されたとのこと。影響を受けるのはConnectedDrive対応車 約220万台。
BMWではこの問題について、
・実際に攻撃を実行するには大掛かりな準備が必要になり、現実的ではない。
・シミュレーション環境で発見されたもので、実際の被害は報告されていない。
・リモートアクセスはドアロック解除等が可能だが、ステアリングやアクセル・ブレーキなど運転機能自体は隔離されており影響を受けない。
・すでにこの穴をHTTPS通信で塞ぐパッチを配信しており、対応車はならば次回ネットワーク接続時に自動的にアップデートされる。
としています。 影響を受ける車種の一覧は以下。ミニやロールスロイスなどBMW以外のブランドも含め、原則的には通信モジュール搭載のConnectedDriveサービス対応車全体が対象です。
BMW
1 Series Convertible, Coupé and Touring (E81, E82, E87, E88, F20, F21)
2er Active Tourer, Coupé and Convertible (F22, F23, F45)
3 with Convertible, Coupe, GT, Touring and M3 (E90, E91, E92, E93, F30, F31, F34, F80)
4p Coupe, Convertible, Gran Coupe and M4 (F32, F33, F36, F82, F83)
5 Series GT and Touring (F07, F10, F11, F18)
6 Series Gran Coupe Convertible (F06, F12, F13)
7 Series (F01, F02, F03, F04)
I3 (I01), I8 (I12)
X1 (E84), X3 (F25), X4 (F26) X 5 (E70, F15, F85), X6 (E71, E72, F16, F86), Z 4 (E89)
Mini
Three-door and five-door hatchback (F55, F56)
Rolls Royce
Phantom Coupe and Drophead Coupe (RR1, RR2, RR3)
Ghost (RR4)
Wraith (RR5)