アルグス・サイバー・セキュリティが公共安全と車両ハッキング抑制の推進でボッシュと連携

アルグス・サイバー・セキュリティが公共安全と車両ハッキング抑制の推進でボッシュと連携

AsiaNet 68240

テルアビブ（イスラエル）、シュトゥットガルト（ドイツ）、2017年4月20日/PRニュースワイヤー/ --

業界をリードするアルグスのサイバー研究チームは、ボッシュ・ドライブログ・コネクター・ドングルとドライブログ・コネクト・アプリケーションの認証プロセスにセキュリティの欠陥を発見し、ただちにボッシュに通告。同社はすみやかに脆弱性に対処した。

本日、世界最大の独立系自動車サイバー・セキュリティ企業、アルグス・サイバー・セキュリティ（Argus Cyber Security：リンク ）と技術とサービスの世界的サプライヤー、ボッシュ（Bosch：リンク ）は、ボッシュ・ドライブログ・コネクター（Bosch Drivelog Connector：リンク ）ドングルとドライブログ・コネクト（Drivelog Connect：リンク ）スマートフォン・アプリの認証プロセスに、ブルートゥース経由で車をコントロールできるセキュリティ脆弱性をアルグスの研究チームが発見したことを発表しました。アルグスはボッシュに対して責任ある開示を行い、それを受けた同社の製品セキュリティ問題対応チーム（PSIRT：Product Security Incident Response Team）が脆弱性に対応すべく断固かつ迅速な行動をとりました。

(ロゴ: リンク )

アルグスの研究グループは、車両に内蔵されたボッシュ・ドライブログ・コネクター・ドングルを使って車両システムの安全上重要な部位を遠隔で乗っ取ることに成功しました。ドングルとドライブログ・コネクトのスマートフォン・アプリの間に見つかった脆弱性を使って、アルグスの研究チームは数分以内にセキュリティコードを解析し、スマートフォンやノートパソコンなどの標準ブルートゥース機器を使ってドングルと通信することに成功しました。通信チャネルへのアクセスに成功した後、メッセージのコマンド・ストラクチャーを複製して車載ネットワークに有害メッセージを送り込むことができました。アルグスの研究グループはこれらの脆弱性を使うことで、特定のメッセージだけを通すように設計されたセキュア・メッセージフィルターを回避して走行中の車を制御し、遠隔でエンジンを停止させてみせました。

攻撃の技術的解説全文はアルグスのブログ（リンク ）に掲載されています。

アルグスの最高技術責任者兼共同創業者、ヤロン・ガルーラは、次のように述べました。「アルグスは、車両をサイバーセーフすること、そして、世界のティア1サプライヤーや自動車メーカーとの提携による自動車産業向けの最先端サイバー・セキュリティ・ソリューション提供に尽力することを基盤としています。暗号化に基づくソリューションはたとえ業界トップが考案したものであっても絶対確実ではなく、車両を有効的にサイバー脅威から守るためには多層防御が必要であることを、ボッシュの発見が示しています」

アルグスがボッシュ・ドライブログ・コネクター・ドングルのサイバー・セキュリティの脆弱性を発見すると、ボッシュは直ちに報告を受けました。この件に対してボッシュ経営陣は大きく注目し、直ちにセキュリティと開発を担当する部門にこの問題に当たらせるよう、製品セキュリティ問題対応チームが迅速に動きました。

ボッシュは、これら脆弱性の責任ある開示とそのプロセスを通しての支援に対しアルグスに謝意を表しました。ボッシュ製品セキュリティ問題対応チーム（PSIRT）の責任者、Thorsten Kuhlesは、「ボッシュはセキュリティを非常に深刻にとらえています。アルグスからセキュリティの欠陥の報告を受け、わが社はその問題を検証、解決すべく直ちに行動しました」と話します。通知があって間もなく、ボッシュは最初の処置を行いました。物理的にドングルに近くなければ悪意ある攻撃は効果を拡大できないことが重要な点です。つまり攻撃に使われる機器はブルートゥースの通信範囲内になくてはならないのです。その上、最初の攻撃でドングルのブルートゥースPINをブルートフォース方式で解析し、続いてドングルと車両の制限に適合した有害なCANメッセージを送り込まなくてはなりません。「セキュリティの更なる向上のため、暗号化プロトコルの潜在的な脆弱性を解決するパッチがまもなく利用可能になります。このパッチが、アルグスが言及する種類の攻撃を防ぎます」とKuhlesは付け加えています。望ましくないCANメッセージ送信の可能性をより制限するための追加作業も行っており、更なる改良とともに年内に出荷できるでしょう。

詳細は、ボッシュ・セキュリティ・アドバイザリ
（リンク ）をご参照ください。

アルグスについて

アルグスは、世界最大の自動車サイバー・セキュリティー独立系企業です。包括的で実績のあるソリューションパッケージは、コネクテッド・カーや商用車をサイバー攻撃から守ります。サイバー・セキュリティーと自動車業界双方で数十年の経験者を有するアルグスは、自動車のベストプラクティスへの深い理解に基づいた革新的なセキュリティ技術と実績のあるコンピューターネットワークのノウハウを提供します。顧客は、自動車メーカー、そのティア1供給業者、アフターマーケットの接続プロバイダーなどです。アルグスは2013年に設立され、イスラエルのテルアビブに本社を置き、ミシガン、シリコンバレー、シュツットガルトおよび東京に事務所を構えています。詳細情報はリンク をご参照ください。

ボッシュについて

ボッシュ・グループは、技術とサービスの世界的サプライヤーです。世界中に約39万人のアソシエイトがいます（2016年12月31日現在）。2016年には速報値で731億ユーロを売り上げました。業務はモビリティ・ソリューション、産業技術、コンシューマー・グッズ、エネルギー・建築技術の4つの事業部門に分かれています。ボッシュ・グループはロバート・ボッシュ（Robert Bosch GmbH）および60か国にある約450の子会社と地域企業から成っています。販売とサービスのパートナーを含めると、ボッシュの製造・エンジニアリング・販売のグローバル・ネットワークは世界のほとんどすべての国にめぐらされています。追加情報は、リンク でご覧ください。

@ArgusSec （リンク ）| LinkedIn （リンク ）

アルグスに関する問合せ先:
Brandon Weinstock
argus@headline-media.com
+1-914-336-4878

ボッシュに関する問合せ先:
Annett Fischer
Annett.Fischer@bosch.com
+49-7062-911-7837

ソース: アルグス・サイバー・セキュリティ（Argus Cyber Security ）／ボッシュ・グループ（The Bosch Group）


（日本語リリース：クライアント提供）