[雑記][PHEV]三菱リモートコントロールの不正アクセスの検証

三菱リモートコントロールに不正アクセスして、アウトランダーPHEVの車両設定を第三者が勝手に変更するかもしれないお知らせが、発表されていた。

• http://www.mitsubishi-motors.co.jp/important_news/20160613/index.html

不正アクセスと言われると、何やら非常に危険な雰囲気を醸し出すのだけど、実際どれほどの危険レベルなのだろうか？闇雲に恐れずに、どのように不正アクセスされる可能性があり、最悪どのような被害を受けるのかを検証しておくことにした。

三菱リモートコントロールの仕組み

• 三菱リモートコントロールは、個々の車ごとの専用の無線LANネットワークに接続することで操作可能になる。
• アウトランダーPHEV（車両）が無線LANルーターとなり、スマホのWi-Fi経由でそのネットワークに接続するのだ。（接続範囲は20〜30m程度）
• スマホにインストールしてある専用のリモートコントロールアプリを起動すれば、諸々の操作が可能になる。

• 但し、事前に操作するスマホを「登録」しておく必要がある。
• ドアロックを解除して、車に乗り込み、パワーボタンをACCにして、リモコンキーで特別な操作をしなければならない。
• アウトランダーPHEVのWi-Fiに接続するためのパスワードも必要になる。
• Wi-Fiパスワードだけでなく、リモコンキーも必要となるので、不正アクセスの敷居は比較的高いと思われる。

不正アクセスについて

• 今回の不正アクセスは、車ごとの専用の無線LANネットワークに不正に接続することで、実現しているようだ。
  • 三菱自動車のアウトランダーPHEVでリモートコントロール機能にセキュリティ上の問題 | スラド セキュリティ
• でも、専用の無線LANネットワークは、ちゃんとパスワードで保護されている（WPA2パーソナル）はず。
• WPA2パーソナルは現在も安全なセキュリティ方式と思っている。一体どうやってパスワードを解読しているのだろう？

• 実は、三菱リモートコントロールでは無線LANのSSID（ネットワーク名）は変更できるが、パスワードは変更できない仕様となっている。
• 自分のアウトランダーPHEVの無線LANパスワードから推測して、パスワードの文字数（それほど長くない）は決まっていて、英数字の組み合わせにもルールがあるものと思われる。
• それをクラッカーが地道に解読しているようだ。GPUなどを利用したクラッキングツールを使って4日程度で解読できるらしい。

• しかし、たとえアウトランダーPHEVの無線LANにアクセスできたとしても、未登録のスマホからは操作できないはず。
• 無線LANに不正アクセスしてから、どのように三菱リモートコントロールを不正に操作しているのか？

• どうやら、スマホアプリが送信するバイナリメッセージ（スマホ独自の数値コードのメッセージ）を解析したようだ。
  • Hacking the Mitsubishi Outlander PHEV hybrid | Pen Test Partners
  • ライトのオン・オフに成功したとある。

三菱リモートコントロールでできること

• 仮に、三菱リモートコントロールを不正操作されたとしても、できることは限られている。

• アウトランダー PHEV 三菱リモートコントロール | MITSUBISHI MOTORS JAPAN
  1. タイマー充電
  2. タイマー空調
  3. 車両情報の確認
  4. ヘッドライト・ポジションランプの点灯
  5. SSID（ネットワーク名）の変更
  6. 車両設定（セキュリティーアラーム監視中は変更できない）
     • エアコン・ワイパー・ライト類・キーレスエントリー・ウィンカーなどの動作設定
     • 盗難警報の設定・履歴確認
  7. 車両ソフトウェアアップデート（車に乗り込み、リモコンキーで特別な操作をしなければならない）

• 上記のことはできるが、上記外のことはできないのだ。
  • ドアロックは解除できない。
  • アクセル・ブレーキ・ステアリング操作も、もちろんできない。

想定被害

• 以上のことから、想定される被害を予想してみた。

• タイマー充電を変更して、ほとんど充電しない設定にする。
• ライトやタイマー空調を無駄に使って、バッテリーを浪費させる。
• 真夏にタイマー暖房とか、真冬にタイマー冷房して、いちじるしく車内環境を悪くする。
• SSIDを変更したり、車台番号登録解除して、三菱リモートコントロールにアクセスできないようにする。

攻撃者のメリットは？

• 最悪はバッテリー上がりを起こしてパワーボタンで起動できない状況も考えられるが、そこまで徹底した攻撃を続けるのは、相当な根気が必要と思う。
  • タイマー空調やライトは一定時間経過すると自動的にオフになるので、再度設定する必要があるのだ。
• また、攻撃したとしても、悪戯レベル、嫌がらせレベルの攻撃にしかならない。
• 苦労して不正アクセスしても、攻撃者としてのメリットはほとんど無いように感じる。
  • 現状、Wi-Fiパスワードの解析に4日かかるらしい。

三菱リモートコントロールを使いながらの対策

• 現状、それほど危険なレベルの不正アクセスではないと判断した。
  • 自分や他人の安全を脅かす危険はない。
• 三菱リモートコントロールを使いながら、以下の対策で十分と思った。

SSIDの変更

• デフォルトではSSIDは「REMOTE」で始まる英数字の羅列となっている。
• 「REMOTE」によって、三菱リモートコントロールの無線LANと判断されてしまう...。
• このSSIDを変更することで、今回の不正アクセスについてはかなり防げそうな気がする。

セキュリティーアラームをオン

• セキュリティーアラームが監視中なら、たとえ不正アクセスされたとしても車両設定については変更できない。

メーカーに求める対策

• ソフトウェアアップデートによって、Wi-Fiのパスワードも変更できるようにする。
• スマホ登録時にWi-Fiパスワードの変更を求める手順を追加する。