10代のハッカーが25台のテスラを遠隔操作したと公表

ドイツのセキュリティ研究者が、テスラ車に影響を与えるソフトウェアの欠陥を発見したと発表した。この欠陥により、ドアや窓のロック解除、鍵のない車両の始動、セキュリティシステムの無効化が可能になる。

10代のハッカーが25台のテスラを遠隔操作したと公表
Photo by Tesla Fans Schweiz on Unsplash

ドイツのセキュリティ研究者が、テスラ車に影響を与えるソフトウェアの欠陥を発見したと発表した。この欠陥により、ドアや窓のロック解除、鍵のない車両の始動、セキュリティシステムの無効化が可能になる。

デイビッド・コロンボは、ドイツのディンケルスビュールを拠点とする19歳のサイバーセキュリティ専門家と称している。コロンボは11日の初めに、13カ国の25台以上のテスラに所有者の知らないうちにリモートアクセスできたとツイートした。

コロンボは米セキュリティ系メディアISMGにこのように語っている。「これを発見したときはクレイジーに感じられた。なぜなら、オーナーが買い物や通勤をしているのを見て、車のある部分をコントロールできると思ったからだ」。

コロンボによると、明らかにプライバシーに関わる車両の位置情報を照会することもできたとのことである。また、セキュリティシステムの一部としてモーションセンサーやカメラを使用するセントリーモードをオフにすることもできるそうである。

さらにコロンボは、ドライバーがいるかどうかを確認したり、エンターテインメントシステムを操作したり、クラクションを鳴らしたりすることもできると言いる。例えば、オーナーがテスラに付けた名前を見ることができ、コロンボがツイートしたあるケースでは、"Red Dwarf(宇宙船レッド・ドワーフ号

)”となっていた。しかし、コロンボによれば、この欠陥を利用してステアリング、加速、ブレーキを制御することはできないという。

コロンボは、この問題を車の所有者に開示したかったが、誰が所有しているのかわからなかったという。コロンボによると、その後、テスラのセキュリティチームと連絡を取り、この脆弱性について説明する文章を作成しているとのことである。また、彼が発見した問題は、セキュリティの脆弱性をカタログ化しているMitreによって、一般公開されているコンピュータセキュリティの欠陥のリストである「共通脆弱性識別子」(CVE)に割り当てられている。

SpiderLabsのシニア・オフェンス・セキュリティ・コンサルタントであり、独立系セキュリティ研究グループ「Sakura Samurai」の創設者であるジョン・ジャクソンは、コロンボの調査結果を見て、「正当なもの」だとISMGに対して述べている。

ジャクソンは「今回の調査結果は、必ずしもテスラ固有の欠陥を示すものではあらないが、重大なセキュリティ上の懸念を示すものであり、これらの所有者の中には、自分の車を公開していることに気付いていない人もいる可能性がある」と述べている。

テスラにはない欠陥

コロンボは、この脆弱性の詳細を明らかにしていないが、一連の興味深い手がかりをツイートしている。ひとつは、この脆弱性がテスラのソフトウェアやインフラにあるものではないということである。また、影響を受けるのは少数のテスラオーナーに限られるとツイートしている。

テスラの車両には、パフォーマンス指標の計算、地図や道案内などの機能や、ドアのロック解除、ライトの点滅、クラクションの鳴らし方などの遠隔操作のために、さまざまなサードパーティ製のアプリが用意されている。

この発見は、ドライバーに付随的なリスクをもたらすものと思われる。コロンボは、誰かが運転しているときに突然音楽を最大音量で鳴らすことができ、それによって誰かが車のコントロールを失う可能性があると理論的に説明した。

テスラは、脆弱性開示プラットフォームであるBugcrowdを通じて、バグバウンティプログラムを運営している。テスラでは、セキュリティ研究者が自分の車両を登録してセキュリティテストを行うことができ、テスラが事前に承認する。同社は、対象となる脆弱性に対して最大15,000ドルを支払う。

テスラは、「このプロセスを通じて、研究者との調整やコミュニケーションに最善を尽くする」と声明を出した。

Read more

AI時代のエッジ戦略 - Fastly プロダクト責任者コンプトンが展望を語る

AI時代のエッジ戦略 - Fastly プロダクト責任者コンプトンが展望を語る

Fastlyは、LLMのAPI応答をキャッシュすることで、コスト削減と高速化を実現する「Fastly AI Accelerator」の提供を開始した。キップ・コンプトン最高プロダクト責任者(CPO)は、類似した質問への応答を再利用し、効率的な処理を可能にすると説明した。さらに、コンプトンは、エッジコンピューティングの利点を活かしたパーソナライズや、エッジにおけるGPUの経済性、セキュリティへの取り組みなど、FastlyのAI戦略について語った。

By 吉田拓史
宮崎市が実践するゼロトラスト:Google Cloud 採用で災害対応を強化し、市民サービス向上へ

宮崎市が実践するゼロトラスト:Google Cloud 採用で災害対応を強化し、市民サービス向上へ

Google Cloudは10月8日、「自治体におけるゼロトラスト セキュリティ 実現に向けて」と題した記者説明会を開催し、自治体向けにゼロトラストセキュリティ導入を支援するプログラムを発表した。宮崎市の事例では、Google WorkspaceやChrome Enterprise Premiumなどを導入し、災害時の情報共有の効率化などに成功したようだ。

By 吉田拓史
​​イオンリテール、Cloud Runでデータ分析基盤内製化 - 顧客LTV向上と従業員主導の分析体制へ

​​イオンリテール、Cloud Runでデータ分析基盤内製化 - 顧客LTV向上と従業員主導の分析体制へ

Google Cloudが9月25日に開催した記者説明会では、イオンリテール株式会社がCloud Runを活用し顧客生涯価値(LTV)向上を目指したデータ分析基盤を内製化した事例を紹介。従業員1,000人以上がデータ分析を行う体制を目指し、BIツールによる販促効果分析、生成AIによる会話分析、リテールメディア活用などの取り組みを進めている。

By 吉田拓史
Geminiが切り拓くAIエージェントの新時代:Google Cloud Next Tokyo '24, VPカルダー氏インタビュー

Geminiが切り拓くAIエージェントの新時代:Google Cloud Next Tokyo '24, VPカルダー氏インタビュー

Google Cloudは、年次イベント「Google Cloud Next Tokyo '24」で、大規模言語モデル「Gemini」を活用したAIエージェントの取り組みを多数発表した。Geminiは、コーディング支援、データ分析、アプリケーション開発など、様々な分野で活用され、業務効率化や新たな価値創出に貢献することが期待されている。

By 吉田拓史