ホンダの乗用車シビックのキーレスシステムに脆弱性が発見された記事をまとめた記事になります。
脆弱性の種類
キーレスシステムの脆弱性
CVSS
CVE-2022-27254 Score: 未定
https://nvd.nist.gov/vuln/detail/CVE-2022-27254
関連CVSS
過去にも類似の脆弱性が存在。
CVE-2019-20626 Score:6.5(Medium)
https://nvd.nist.gov/vuln/detail/CVE-2019-20626
対象車
Civic LX、EX、EX-L、Touring、Si、TypeR(2016〜2020)
可能な悪用
キーレスシステムへの不正アクセス。
車のドアの開閉
エンジンスタート、ストップ
攻撃方法
ユーザがログインするときのネットワークに流れる情報を盗聴してコピーし、コピーしたデータを認証サーバに送ることで不正ログインを試みる攻撃。
暗号化通信を行なっても暗号化されたまま認証サーバにログイン情報を送ってログインが可能な点は注意。
リプレイ攻撃に対する対策はチャレンジ・レスポンス認証方式を使用する。
対策
ホンダは BleepingComputer に旧モデルの修正予定はないと述べており、近くにいる攻撃者はハイテクな方法を使わなくても車にアクセス可能だとも述べているという。発見者は緩和策として、ファラデーポーチにキーフォブを入れる、RKE (remote keyless entry) の代わりに PKE (passive keyless entry) を使うなどの方法を紹介している。なお、既に攻撃者が信号を読み取って車へのアクセスが可能になっている場合、ディーラーに持ち込んでキーフォブをリセットしてもらうしかないとのこと[2]
関連記事
[1]
[2]