米で大流行中の電動スクーター、ハッキングされるとこんな恐ろしいことに

  • 22,202

  • author Melanie Ehrenkranz - Gizmodo US
  • [原文]
  • そうこ
米で大流行中の電動スクーター、ハッキングされるとこんな恐ろしいことに
Image: Zimperium/YouTube via Gizmodo US

自分が乗っている車のコントロールが効かない悪夢。

アメリカの都市部で大大大流行中のライドシェア電動スクーター。お手軽楽しく移動ができてとても便利。ダウンタウンは車両乗り入れ禁止の電動スクーターのみにして!なんて大賛成派もいる一方で、電動スクーター絡みの事故件数が急増していること、乗り捨て放置が通行の邪魔になるなど、取り締まり強化を求める声も強くあがっています。今のところ、まだ追い風ムードの方が強い電動スクーターですが、この動画見るとそうも言ってられなくなります。電動スクーター、ハッキングできるんです。

ハックできるのはXiaomi製電動スクーター

セキュリティ会社のZimperiumが、先日、Xiaomiの電動スクーターM365をハックできたという脆弱性に関するレポートを公開しました。レポートで特に強く指摘されているのは、M365スクーターがBluetoothパスワードを使用しているにも関わらず、各スクーターの認証プロセスにパスワードが使われていないこと、パスワードなしですべてのコマンドにアクセスできてしまうこと。つまり、ハッカーがスクーターにマルウェアをデプロイでき、遠隔操作によってブレーキ・アクセルまで操作できてしまうというわけ。Zimperiumは、研究員がテストしたところ、最大100メートル離れた場所からスクーター遠隔操作が可能だったといいます。こんな恐ろしいことってありますか…?

遠隔操作でスクーターをロック

Zimperiumは、スクーターをハック、遠隔操作する様子をYouTubeにポストしています。

Image: Zimperium/YouTube via Gizmodo US

動画では、赤信号で止まっている男性(白パン黒ジャケット)のスクーターをハック、遠隔操作でロックをかけています。信号が青に変わり進もうとするもうまく進めない男性。この一連の流れは、まずマルウェアを使い、近くにあるM365を検索。次に、認証やユーザー同意などのプロセスなしで、ターゲットとなる男性のスクーターの盗難防止機能を介してロックをかけました。動画のテロップにもありますが、道路の真ん中で急にスクーターのコントロールが効かなくなることは、死の危険すらある大きな問題です。

メーカーは調査中

Zimperiumは、Xiaomiにこの脆弱性を報告済みですが、現時点(2月13日時点)でパッチはまだリリースされていません。Zimperiumの研究員いわく「残念ながら、スクーターのセキュリティはユーザー個人でなんとかできることではなく、Xiaomi(またはスクータービジネスで連携している企業)がアップデートするしか策はないのです」ネタ元のThe Vergeの取材に対して、Xiaomiは「現在調査中」と回答。

Xiaomiって電動スクーターやってるんだ?と思う人も少なくないはず。ただ、それは自分が使っている電動スクーターに書いてあるのはメーカー名ではなく、ライドシェア電動スクタービジネスのサービス名(または会社名)であったり、再ブランディングされ別名で販売されているから。もしかしたら、気づいていないだけでXiaomiスクーターに何度も乗っているのかもしれません。

ちなみに、米国でライドシェア電動スクーターを展開している最大手2社、BirdLimeは、The Vergeの取材にて、XiaomiのM365は使用していないと回答しています。

Source: Zimperium, The Verge

    あわせて読みたい

    powered by