10代のハッカーが25台のテスラを遠隔操作したと公表

ドイツのセキュリティ研究者が、テスラ車に影響を与えるソフトウェアの欠陥を発見したと発表した。この欠陥により、ドアや窓のロック解除、鍵のない車両の始動、セキュリティシステムの無効化が可能になる。

デイビッド・コロンボは、ドイツのディンケルスビュールを拠点とする19歳のサイバーセキュリティ専門家と称している。コロンボは11日の初めに、13カ国の25台以上のテスラに所有者の知らないうちにリモートアクセスできたとツイートした。

コロンボは米セキュリティ系メディアISMGにこのように語っている。「これを発見したときはクレイジーに感じられた。なぜなら、オーナーが買い物や通勤をしているのを見て、車のある部分をコントロールできると思ったからだ」。

コロンボによると、明らかにプライバシーに関わる車両の位置情報を照会することもできたとのことである。また、セキュリティシステムの一部としてモーションセンサーやカメラを使用するセントリーモードをオフにすることもできるそうである。

さらにコロンボは、ドライバーがいるかどうかを確認したり、エンターテインメントシステムを操作したり、クラクションを鳴らしたりすることもできると言いる。例えば、オーナーがテスラに付けた名前を見ることができ、コロンボがツイートしたあるケースでは、"Red Dwarf（宇宙船レッド・ドワーフ号

）”となっていた。しかし、コロンボによれば、この欠陥を利用してステアリング、加速、ブレーキを制御することはできないという。

コロンボは、この問題を車の所有者に開示したかったが、誰が所有しているのかわからなかったという。コロンボによると、その後、テスラのセキュリティチームと連絡を取り、この脆弱性について説明する文章を作成しているとのことである。また、彼が発見した問題は、セキュリティの脆弱性をカタログ化しているMitreによって、一般公開されているコンピュータセキュリティの欠陥のリストである「共通脆弱性識別子」（CVE）に割り当てられている。

SpiderLabsのシニア・オフェンス・セキュリティ・コンサルタントであり、独立系セキュリティ研究グループ「Sakura Samurai」の創設者であるジョン・ジャクソンは、コロンボの調査結果を見て、「正当なもの」だとISMGに対して述べている。

ジャクソンは「今回の調査結果は、必ずしもテスラ固有の欠陥を示すものではあらないが、重大なセキュリティ上の懸念を示すものであり、これらの所有者の中には、自分の車を公開していることに気付いていない人もいる可能性がある」と述べている。

テスラにはない欠陥

コロンボは、この脆弱性の詳細を明らかにしていないが、一連の興味深い手がかりをツイートしている。ひとつは、この脆弱性がテスラのソフトウェアやインフラにあるものではないということである。また、影響を受けるのは少数のテスラオーナーに限られるとツイートしている。

テスラの車両には、パフォーマンス指標の計算、地図や道案内などの機能や、ドアのロック解除、ライトの点滅、クラクションの鳴らし方などの遠隔操作のために、さまざまなサードパーティ製のアプリが用意されている。

この発見は、ドライバーに付随的なリスクをもたらすものと思われる。コロンボは、誰かが運転しているときに突然音楽を最大音量で鳴らすことができ、それによって誰かが車のコントロールを失う可能性があると理論的に説明した。

テスラは、脆弱性開示プラットフォームであるBugcrowdを通じて、バグバウンティプログラムを運営している。テスラでは、セキュリティ研究者が自分の車両を登録してセキュリティテストを行うことができ、テスラが事前に承認する。同社は、対象となる脆弱性に対して最大15,000ドルを支払う。

テスラは、「このプロセスを通じて、研究者との調整やコミュニケーションに最善を尽くする」と声明を出した。