アンダーグラウンド市場で販売される自動車の物理的ハッキング手法

アンダーグラウンド市場の性質を考慮すると、サイバー犯罪者は元より、通常の犯罪者までもがオンライン掲示板で情報を交換し、商品やサービスを販売していることは驚くべきことではありません。本記事では、アンダーグラウンド市場で確認された物理的犯罪に利用可能なツールについて解説します。

■人気商品:自動車改造ツール

アンダーグランドのオンライン掲示板を監視する中で、トレンドマイクロは、自動車に関連したツールを販売する多くの広告を確認しました。その1つに、自動車メーカーによる物理的なセキュリティの仕組みを回避し、センサーの情報に基づいてエンジンの動作を決定する「エンジン制御モジュール(Engine Control Module、ECM)」のファームウェアを更新したり再プログラミングしたりといった管理タスクの実行が可能だとするツールがありました。この広告は、ファームウェアの更新により、専用の鍵以外ではエンジンを始動できないようにする「イモビライザー」の回避を主な機能として宣伝していました。この不正モジュールの販売価格は、約450米ドル(2019年2月18日時点で約49,740円)でした。

図

図1:製品が有効に機能することを証明する動画
他にも、同じスレッド内で「ユニバーサル・イグニッション・キー」を含むいくつかの補助ツールが販売されていました。このユニバーサル・イグニッション・キーの販売価格は約75米ドル(2019年2月18日時点で約8,290円)でした。この補助ツールを使用すると、標準的なセキュリティや警報の仕組みを回避し、約1分で鍵を開けエンジンを始動することが可能です。事実上、自動車を盗難できるということです。販売されている鍵のタイプとして、リモコンタイプの「キーフォブ」と物理キーの両方が確認されています。キーフォブは、正規の信号に偽装することで扉を開錠し、車内に侵入することを可能とします。

これらのツールは、対象となる自動車に物理的に接触する必要がありますが、留意すべき点が2つあります。第一に、侵入経路となる脆弱性が存在する場合、理論上、同様の攻撃を遠隔から実行することが可能だということです。実際に、社内エンターテインメントシステムに脆弱性が存在する場合、車載機器ネットワークの通信規格「Controller Area Network(CAN)」に無線でアクセスできることが実証実験で示されています。第二に、ECMはエンジンを制御する「脳」の役割を担っているため、上述したツールに、2017年8月の記事で解説したようなCAN通信から車載機器を切断するような機能が含まれていた場合、そのような攻撃は人命を脅かすものになりかねません。サイバー犯罪者が、マルウェアを拡散する手段として、違法にコピーまたはクラックした有料ソフトウェアを利用することを踏まえると、彼らが同じような手口で車載ソフトウェアを悪用することも十分可能でしょう。Deere & Company(John Deere)製トラクターのユーザが、自身で修理や機能追加を行うためにウクライナ製の海賊版ファームウェアを利用していることが問題となった事例に見られるように、エンドユーザが自身で入手したバージョンを使って正規ファームウェアを更新したいと考える場合、サイバー犯罪者によって悪用される恐れがあります。

■サイバー犯罪と物理的な犯罪の相乗効果:自動車は理想的な標的?

ここまで見てきたように、サイバー犯罪と物理的な犯罪を組み合わせることでハイブリッド型の犯罪が可能になります。著名人を狙ったサイバー脅迫や、単に人命を脅かすサイバー脅迫のように、さまざまな目的のためのオンデマンド型攻撃サービスがその一例です。トレンドマイクロは、2015年に「Deep Web(ディープWeb)」におけるサイバー犯罪活動を詳しく調査したリサーチペーパーを公開し、暗殺を含むオンデマンド型犯罪サービス事例について解説しています。

自動車はサイバー犯罪と物理的な犯罪を組み合わせたハイブリッド型の犯罪にとって格好の攻撃対象です。製品のライフサイクルが比較的長く、ハードウェアやファームウェアを大規模に遠隔から更新する機能が限られているためです。脆弱性を修正する更新プログラムの配布やインストールがそれほど容易でない場合、脆弱な状態が続き、サイバー犯罪者にとって非常に明確な攻撃対象となります。自動車産業は、インターネットや無線通信ネットワークに接続する自動車「Connected Car(コネクテッドカー)」、さらには自動運転車の実現に向けて取り組んでいます。これを実現するには、より多くのセンサー、車両間の情報交換、「スマート」な道路、そして高度道路交通システム(Intelligent Transportation System、ITS)の全般的なインフラストラクチャが必要となり、それに応じて攻撃経路も拡大します。自動車産業は、「産業用IoT(Industrial Internet of Things、IIoT)」の世界に足を踏み入れています。そのような世界では、自動車に脆弱性が残っていた場合、攻撃者は遠隔からそれを悪用できる可能性があるということです。

図2の書き込みを投稿したユーザは、盗まれたまたは紛失したパスポート、取り付け型の車載警報システム、SIMカードのデータ復旧サービスなど、サイバーおよび物理的な多種多様なサービスを、アンダーグラウンドのさまざまなオンライン掲示板で提供しています。

図

図2:さまざまなサービスをアンダーグラウンドのオンライン掲示板で提供しているユーザの投稿
さらに、このユーザは、警報停止システムやガレージドア開閉装置などの製品やサービスに加えて、警察や緊急サービスの通信を傍受できるように改造した無線機も提供していました。警察無線の傍受自体は違法行為ではありませんが、今日の警察はしばしば無線通信をデジタル化および暗号化して傍受を困難にしています。上述した製品が、暗号化された警察の通信を復号できる可能性はありますが、これは司法管轄区域によっては違法です。このユーザは、「隣人を罰する方法(how to punish a neighbour)」と題したスレッドで、報酬を受け取って車を燃やすというサービスさえ販売していました。

図

図3:販売している製品の詳細について説明した投稿

■「物理的な犯罪」がカテゴリとして成立

今や多くのアンダーグラウンドのオンライン掲示板では、自動車関連の物理的犯罪に関する専用スレッドや独立したサブカテゴリが見られるようになっています。そこでは、偽造文書や、無線通信を解析してコマンドを窃取する「コードグラバー」のようなツールに加えて、信号を傍受して主要自動車メーカーのドアロックを解除する装置などが売買されています。

興味深いことに、このようなオンライン掲示板の販売者は、「自動車」という単語を使うことは稀で、通常、隠語で代替しています。これは警察や法執行機関に対して都合の悪い証拠を提供することを避けるためだと考えられます。使用されている隠語は、それが表す単語とはまったく関係のないものかもしれません。「Siberian Cheese」は、シベリアで盗まれたばかりの車を意味します。何も知らないユーザが読むと、どうしてアンダーグラウンドのオンライン掲示板でチーズが取引されているのか不思議に思うかもしれません。

■まとめ

近い将来、サイバー犯罪と物理的犯罪を組み合わせる方法を探究する攻撃者はさらに増加することでしょう。それに応じて、従来はサイバー犯罪のために利用されてきたアンダーグラウンド市場においても物理的犯罪サービスの増加が見られるはずです。

その理由は2つあります。まず1つは、サイバー犯罪集団は、ますます専門性を高めており、活動範囲と野心の両方で従来の組織的犯罪集団(Organized Crime Groups、OCG)に匹敵するまでになっていることです。多くのサイバー犯罪集団は、さらなる収入源を得るために物理的犯罪に活動範囲を拡大しています。一方で、従来の犯罪集団もサイバー犯罪における利益の可能性を認識しており、サイバー犯罪を扱うために独自の活動を立ち上げ始めています。

2つめは、「モノのインターネット(Internet of Things、IoT)」機器の継続的な増加により、サイバー空間と現実世界の区別が曖昧になり、従来の犯罪とサイバー犯罪の境界が無くなってきていることです。

参考記事:

翻訳: 益見 和宏(Core Technology Marketing, TrendLabs)

Related posts:

  1. ルータや IoT機器に危険をもたらす管理用機能の放置
  2. ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加
  3. 新しいLinuxマルウェア、CGIの脆弱性を利用
  4. 露出したIoTオートメーションサーバとサイバー犯罪