研究者のEaton Zveare氏が、米国全土に1000以上のディーラーを持つ有名自動車メーカーのオンラインディーラーポータルにセキュリティ欠陥を発見した。
2025年8月11日にMalwarebytesが報告した。同氏はポータルのログインページでコードを変更してセキュリティチェックを回避し、全国管理者アカウントを作成することに成功した。この脆弱性により、車のフロントガラスから入手できる車両識別番号(VIN)または所有者の氏名を使って、誰でも車両の所有者を特定し、モバイルアカウントとペアリングして車両をリモートで開錠することが可能になった。
ポータルには個人特定可能な顧客データ、金融情報、レンタカーやサービス代車のリアルタイム位置追跡を行うテレマティクスシステムも含まれていた。同氏はTechCrunchに発見を共有し、自動車メーカー名は公表していない。バグは自動車メーカーに報告され、修正に1週間を要した。同氏はDefConで研究結果を発表する予定である。
From: 
Online portal exposed car and personal data, allowed anyone to remotely unlock cars
【編集部解説】
このセキュリティインシデントは、コネクテッドカー時代に突入した自動車業界が直面する深刻な構造的問題を浮き彫りにしています。Eaton Zveare氏はHarness社のセキュリティ研究者として活動しており、これまでも自動車メーカーの顧客システムや車両管理システムで脆弱性を発見した実績を持っています。
今回の脆弱性の核心は、基本的な認証機能の不備にあります。Zveare氏はポータルのログインページでコードを変更してログインセキュリティチェックを回避する方法を発見しました。この単純なミスが重大なセキュリティホールを生み出したのです。
従来の自動車における物理的なセキュリティモデルから、デジタル認証に依存するシステムへの移行期に起きた事案として捉える必要があります。車のVIN番号という公開情報と氏名だけで車両の制御権を奪取できる設計は、デジタルセキュリティの基本原則に反しています。
特に注意すべきは、シングルサインオン(SSO)機能と「ユーザーなりすまし」機能が攻撃の範囲を大幅に拡大させた点です。一つのポータルへの侵入が、1000以上のディーラーシステム全体への不正アクセスを可能にする設計は、まさに「セキュリティの悪夢」と表現されるべき状況でした。
この事案が自動車業界に与える影響は計り知れません。FCCが2024年にストーカー対策としてコネクテッドカーのセキュリティ強化を求めている中で、今回の脆弱性は規制当局の懸念を現実化させたものと言えるでしょう。
幸い、Zveare氏が今年の早い時期に報告した後、自動車メーカーは1週間以内に修正を完了しました。しかし、この迅速な対応は逆に、基本的なセキュリティ原則の軽視がいかに広範囲な被害をもたらし得るかを示しています。
自動車業界はこの事案を機に、ディーラーシステムの相互接続設計を根本的に見直す必要があります。単一の侵害点が全システムの乗っ取りを可能にする現在のアーキテクチャは、サイバーセキュリティの観点から完全に時代遅れです。
今後、自動車メーカー各社には、テレマティクス機能とセキュリティのバランスを慎重に設計することが求められます。利便性の追求と引き換えに、車両所有者のプライバシーと安全を犠牲にすることは許されません。
【用語解説】
車両識別番号(VIN)
車両の個体識別を行う17桁の固有番号で、フロントガラス下部に表示される。車両の製造情報、年式、仕様などが含まれている。
テレマティクス
自動車に通信機能を組み込み、車両の位置情報、運転データ、車両の状態をリアルタイムで送受信するシステムである。
シングルサインオン(SSO)
一度の認証で複数のシステムにアクセスできる機能。一つの認証情報で関連サービス全体を利用可能にする。
API(Application Programming Interface)
ソフトウェア同士が情報をやり取りするためのインターフェース規格。今回の脆弱性はAPIの認証機能に問題があった。
DefCon
ラスベガスで毎年開催される世界最大級のハッカーカンファレンス。サイバーセキュリティ研究者が最新の発見を発表する場として知られる。
【参考リンク】
Malwarebytes(外部)
マルウェア対策とサイバーセキュリティソリューションを提供する企業。
TechCrunch(外部)
テクノロジー業界の最新ニュースとスタートアップ情報を提供するメディア。
連邦通信委員会(FCC)(外部)
米国の通信規制を担当する政府機関。コネクテッドカー対策を検討している。
Car Hacking Village(外部)
DefConで開催される自動車セキュリティ専門のコミュニティ。
Harness(外部)
ソフトウェア開発プラットフォームを提供する企業。研究者の所属企業。
【参考記事】
Security flaws in a carmaker’s web portal let one hacker remotely unlock cars from anywhere(外部)
TechCrunchによる詳細な技術解説記事。脆弱性の発見経緯と攻撃手法を解説。
Web Portal Flaws Allowed Hackers to Remotely Unlock Cars Across the U.S.(外部)
報告日程と修正完了までのタイムラインを含む技術的側面の分析記事。
Carmaker Portal Flaw Could Let Hackers Unlock Cars, Steal Data(外部)
研究者の過去の実績を含む包括的な解説記事。スマートジャグジー脆弱性も紹介。
Security flaws in a carmaker’s web portal let one hacker remotely unlock cars from anywhere(外部)
Yahoo Financeによる記事。研究者の所属企業と脆弱性の技術的詳細を含む。
【編集部後記】
今回のセキュリティインシデントを読んで、皆さんはどのように感じられたでしょうか。コネクテッドカーの利便性と引き換えに、私たちは想像以上のリスクを受け入れているのかもしれません。ご自身の車両に搭載されているテレマティクス機能について、一度確認してみませんか。
また、車の「デジタル化」が進む中で、どこまでの機能をオンラインに委ねるべきか、皆さんのお考えをお聞かせください。未来の移動体験を安全に楽しむために、私たち消費者ができることは何でしょうか。ぜひSNSで議論を深めていければと思います。
