電動スクーター「Xiaomi M365」に脆弱性--完全な遠隔制御が可能になるおそれ

　セキュリティ企業のZimperiumが米国時間2月12日に明らかにした情報によると、複数のスクーターレンタル会社が使用する「Xiaomi M365」電動スクーターに脆弱性が含まれており、ハッカーによる完全な遠隔制御（例えば、スクーターの急加速や急ブレーキ）が可能になるおそれがあるという。Zimperiumは、Bluetooth経由で実行されるM365のパスワード認証プロセスに問題があると主張している。

Xioami M365
提供：Sean Hollister/CNET

　Zimperiumはウェブサイトに掲載した記事の中で、「われわれの調査で、パスワードがM365の認証プロセスの一部として適切に使用されていないこと、そして、パスワードなしですべてのコマンドを実行できることが確認された。パスワードはアプリケーション側でのみ検証されるが、スクーター自体は認証状態を追跡しない」と述べた。

　研究者らは、必要な認証をせずに、M365の盗難防止システムやクルーズコントロール、エコモードを操作したり、ファームウェアをアップデートしたりできるとした。

　Zimperiumは、アプリで近くのM365をスキャンし、盗難防止機能を通してスクーターを無効化する様子を撮影した概念実証動画を公開した。このような操作は半径100m以内のあらゆるM365に対して有効だという。

　今回の脆弱性の発見により、電動スクーターを取り巻く懸念がさらに高まるだろう。電動スクーターが米国の多くの都市に普及し、規制当局がこの新しい交通手段に関する法律の制定を急ぐ中で、電動スクーターは論争の的になっている。

　Zimperiumは、既にこの脆弱性をXiaomiに報告済みだと述べた。