100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性
今回は「100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性」についてご紹介します。
関連ワード (事態、保護、本記事掲載前等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Tesla(テスラ)車のオーナーに人気の高いオープンソースのログ記録ツールに、セキュリティバグが見つかった。これにより、セキュリティ研究者は世界中の数十台のテスラ車にリモートアクセスできたと述べている。
この脆弱性に関するニュースは2021年1月初め、ドイツのセキュリティ研究者であるDavid Colombo(デヴィッド・コロンボ)氏のツイートで初めて明らかになった。コロンボ氏は、25台以上のテスラを「完全に遠隔操作」できるようになったが、その詳細を公表せずに、悪意のあるハッカーに警告を与えず、影響を受けたテスラ車のオーナーに問題を開示することに苦労していたと述べている。
現在、このバグは修正されていることをコロンボ氏は確認している。TechCrunchはこの記事を、脆弱性が悪用される可能性がなくなるまで掲載を保留していた。コロンボ氏はブログで調査結果を発表した。
コロンボ氏がTechCrunchに語ったところによると、この脆弱性は「TeslaMate(テスラメイト)」というツールで見つかった。これはテスラ車のオーナーが自分の車両に接続して、車両のエネルギー消費量、位置情報の履歴、走行統計などの隠されたデータにアクセスし、問題のトラブルシューティングや診断を行うために使用する無料でダウンロードできるロギングソフトウェアだ。TeslaMateは、テスラ車マニアたちが家庭用コンピューターで実行していることも多いセルフホスト型のウェブダッシュボードで、テスラのAPIにアクセスすることで、クルマの所有者のアカウントに紐付けられている車両のデータに触れることができる。
しかし、匿名でのアクセスを許可したり、デフォルトのパスワードを変更せずに使用しているユーザーがいたりといったウェブダッシュボードのセキュリティ上の欠陥が、一部のテスラ車オーナーによる設定ミスと相まって、100台分を超えるTeslaMateのダッシュボードが、テスラ車を遠隔操作するために使用する車両オーナーのAPIキーを含めて、直接インターネットに漏洩するという事態を引き起こした。
コロンボ氏はTechCrunchに電話で、影響を受けたテスラ車の数はもっと多いだろうと語っている。
漏洩したTeslaMateのダッシュボードの1つには、あるテスラ車がカリフォルニア州を横断している最近の移動ルートが表示されていた。TeslaMateはその後、脆弱性を修正し、テスラは数千のAPIキーを失効させた(画像クレジット:David Colombo)
コロンボ氏によると、TeslaMateのダッシュボードがデフォルトでは保護されていないことを発見したのは、2021年、漏洩したダッシュボードを偶然見つけたことがきっかけだったという。インターネットで他のダッシュボードを検索した結果、同氏は英国、欧州、カナダ、中国、米国でダッシュボードが露呈されたテスラ車を発見した。
しかし、ダッシュボードが露呈しているテスラ車のオーナーに個別に連絡を取ることは非常に困難であり、多くの場合、影響を受けたテスラの顧客に連絡できる方法を正確に知ることはできないと、コロンボ氏は説明する。
さらに悪いことに、露呈したダッシュボードからテスラ車ユーザーのAPIキーを抽出することが可能だったため、悪意のあるハッカーが、ドライバーに気づかれず、テスラ車に長期的なアクセスを続けることができてしまったのだ(APIは、インターネット上で2つのソフトウェアが相互にやり取りすることを可能にする。この場合、テスラの車両と同社のサーバー、Teslaアプリ、またはTeslaMateダッシュボード)。テスラのAPIへのアクセスは、所有者のアカウントに紐付けされたプライベートAPIキーによって、テスラ車の所有者に制限されている。
コロンボ氏は、流出したAPIキーを利用することによって、ドアや窓のロック解除、クラクションの吹鳴、キーレス運転の開始など、車両の一部機能に遠隔操作でアクセスできることを、アイルランドのあるテスラ車オーナーに確認したという。また、車両の位置情報、最近の走行ルート、駐車場の場所など、車両内部のデータにもアクセスできたとのこと。ただし、APIへのアクセスを利用してインターネットから遠隔的に車両を動かすことができるとは思えないと、コロンボ氏はいう。
今回のセキュリティ問題は、テスラのインフラにあったわけではないものの、業界標準の措置であるパスワードが変更された時に顧客のAPIキーを失効させるなど、テスラはセキュリティを向上させるためにもっとできることがあると、コロンボ氏は述べている。
TeslaMateは内密に脆弱性を報告した後、アクセスを防ぐためにユーザーが手動でインストールしなければならないソフトウェア修正を配信した。
TeslaMateプロジェクトの保守管理者であるAdrian Kumpf(エイドリアン・クンプフ)氏は、コロンボ氏のメールを受け取ってから数時間以内に更新プログラムを配信したと、TechCrunchに語っている。このソフトウェアはセルフホスト型であるため、ユーザーが誤って自分のシステムをインターネットに露呈させてしまうことを防ぐことはできないと、クンプフ氏はメールで語っており、TeslaMateの説明書では以前から、ソフトウェアを「ホームネットワーク上にインストールするように。さもなければ、あなたのテスラAPIトークンが危険にさらされる可能性があります」と警告していると付け加えた。また、クンプフ氏は、高度なインストールオプションを選択したユーザーは影響を受けないはずだ、とも述べている。
テスラが数千人のドライバーのAPIキーを失効させたことから、この問題は当初考えられていたよりも広範囲に渡っていた可能性があると、コロンボ氏はTechCrunchに語った。なお、テスラには本記事掲載前にコメントを求めたが、回答は得られなかった(テスラは2020年に広報チームを廃止している)。
画像クレジット:Patricia de Melo Moreira / AFP / Getty Images
【原文】
A security researcher said he was able to remotely access dozens of Teslas around the world because security bugs found in an open source logging tool popular with Tesla owners exposed their cars directly to the internet.
News of the vulnerability was first revealed earlier this month in a tweet by David Colombo, a security researcher in Germany, who said he had “full remote control” of more than 25 Teslas, but was struggling to disclose the issue to affected Tesla owners without making the details public and also alerting malicious hackers.
The bug is now fixed, Colombo confirmed. TechCrunch held this story until the vulnerability could no longer be exploited. Colombo published his findings in a blog post.
Colombo told TechCrunch that the vulnerabilities were found in TeslaMate, a free-to-download logging software used by Tesla owners to connect to their vehicles and access their cars’ otherwise hidden data — their car’s energy consumption, location history, driving statistics and other granular data for troubleshooting and diagnosing problems. TeslaMate is a self-hosted web dashboard often running on the home computers of Tesla hobbyists, and relies on access to Tesla’s API to tap into their car’s data, which is tied to the car owner’s account.
But security flaws in the web dashboard — like allowing anonymous access and using default passwords that some users never changed — coupled with misconfigurations by some Tesla owners, resulted in at least a hundred TeslaMate dashboards being exposed directly to the internet, including the car owner’s API key used to remotely control their Teslas.
In a call with TechCrunch, Colombo said the number of impacted Teslas is likely higher.
One of the exposed TeslaMate dashboards showed one Tesla’s recent travel routes across California. TeslaMate has since fixed its vulnerabilities and Tesla has revoked thousands of API keys. Image Credits: David Colombo (supplied)
Colombo said he discovered that TeslaMate dashboards were unprotected by default after stumbling on an exposed dashboard last year. After scanning the internet for more open dashboards, he found exposed Teslas in the U.K., Europe, Canada, China and across the United States.
But contacting individual Tesla owners with exposed dashboards would be a Herculean task, Colombo explained, and in many cases, it’s not possible to accurately discern a way to contact affected Tesla customers.
Worse, it was possible to extract the Tesla users’ API key from the exposed dashboard, allowing a malicious hacker to retain long-term access to Teslas without the drivers’ knowledge. (An API allows two things to talk to each other over the internet — in this case, a Tesla car and the company’s servers, the Tesla app or a TeslaMate dashboard.) Access to Tesla’s API is restricted to Tesla owners through a private API key associated with the owner’s account.
With access to an exposed API key, Colombo said he could remotely access some features of the car, such as unlocking the doors and windows, honking the horn and starting keyless driving, which he verified with one Tesla owner in Ireland. He could also access the data inside, such as the car’s location data, recent driving routes and where it’s parked. Colombo said he does not believe it’s possible to use the API access to move the vehicle remotely over the internet.
Colombo said that while the security issues weren’t in Tesla’s infrastructure, Tesla could do more to improve its security, such as revoking a customer’s API key when their password is changed, an industry-standard practice.
After privately reporting the vulnerabilities, TeslaMate pushed a software fix that users have to manually install to prevent access. TeslaMate project maintainer Adrian Kumpf told TechCrunch that the update went out within a few hours of receiving Colombo’s email. In an email, Kumpf said that because the software is self-hosted, it can’t protect against users accidentally exposing their systems to the internet, adding that TeslaMate’s documentation has long warned users to install the software “on your home network, as otherwise your Tesla API tokens might be at risk.” Kumpf also said that users who chose the advanced installation option should not be affected.
Colombo told TechCrunch that Tesla revoked thousands of drivers’ API keys, potentially indicating that the issue may have been more widespread than initially thought. Tesla did not respond to requests for comment prior to publication. (Tesla scrapped its public relations team in 2020.)
Read more:
(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)