2024年、ZDI(Zero Day Initiative)のサイバーセキュリティ研究者は、2014年から2021年までのマツダ3を含む複数のマツダ車モデルに搭載されたインフォテインメントシステム「コネクティビティ マスター ユニット(CMU)」に、重大な脆弱性が存在することを特定しました。
これらの脆弱性により、攻撃者は物理アクセスを通じてシステムを完全に制御し、場合によっては車両の電子制御ユニット(ECU)に影響を及ぼす可能性があると指摘されています。
CMUユニットの脆弱性概要
CMUユニットは、Visteon Corporationによって製造され、Johnson Controls Inc(JCI)が開発したもので、最新ソフトウェアバージョン(74.00.324A)を含む複数のバージョンで脆弱性が確認されています。
判明した脆弱性一覧
- CVE-2024-8355: DeviceManagerでのSQLインジェクションにより、データベース操作やコード実行が可能。
- CVE-2024-8359: REFLASH_DDU_FindFileでのコマンドインジェクションにより、任意コマンドの実行が可能。
- CVE-2024-8360: REFLASH_DDU_ExtractFileでのコマンドインジェクションによるOSコマンド実行。
- CVE-2024-8358: UPDATES_ExtractFileでのコマンドインジェクションによる更新プロセスの侵害。
- CVE-2024-8357: 信頼のルートがないため、攻撃後の永続的なシステム制御が可能。
- CVE-2024-8356: 未署名のファームウェアを利用して、車両サブシステムの制御が可能。
攻撃手法とリスク
攻撃手法
これらの脆弱性を悪用するには、インフォテインメントシステムへの物理的なアクセスが必要です。
- 攻撃例: 駐車場やサービスセンターでの不正アクセス、USBドライブによる改ざん。
- 攻撃時間: 制御された環境では、攻撃は数分で完了可能。
潜在的な影響
- 情報漏洩: データベースの操作、情報の窃取。
- システム侵害: 任意ファイル作成、永続的なマルウェアインストール。
- 車両制御: 悪意のあるファームウェアによるCANバスアクセスでエンジン、ブレーキ、トランスミッションへの影響。
- サービス拒否: ランサムウェア攻撃やデバイスの「ブリック化(使用不能状態)」に繋がるリスク。
車両の安全性に対する影響
研究者によれば、CVE-2024-8356を悪用すると、攻撃者は以下の車両システムを操作する可能性があります:
- エンジン制御。
- ブレーキシステム。
- トランスミッション。
- パワートレイン。
また、標的型攻撃では、サービス拒否やシステム侵害が実行される可能性があり、車両の操作性や安全性に直接的な影響を与える恐れがあります。
対策と今後の展望
推奨される対策
- ソフトウェア更新: マツダは迅速にパッチを提供し、脆弱性を修正する必要があります。
- 物理アクセス制限: サービスセンターや駐車場での車両管理を厳格化。
- オーナーへの啓発: 外部デバイスの接続や不審なアクセスへの注意喚起を徹底。
業界への影響
今回の脆弱性は、車載システムのセキュリティが車両の安全性に直接関わることを示す重要な事例です。自動車業界全体でのセキュリティ標準の強化が求められます。
