はじめに: 映画のような脅威が現実味を帯びる
最新の電気自動車でハイウェイを走行中、突如としてマルチメディアディスプレイがDoomのゲーム画面で埋め尽くされ、ナビゲーションマップや車両コントロールが完全に置き換えられる――。これはSFの話ではありません。セキュリティ研究者たちが、現代のコネクテッドカーにおいてこのシナリオが完全に可能であることを実証し、統合型セルラーモデムを搭載した車載ヘッドユニットに存在する重大な脆弱性を浮き彫りにしました。
インターネット接続デバイスの普及は、スマートフォンやラップトップをはるかに超えて広がっています。現代の車両、工場、列車、さらには航空機も、組み込みモデムを介した3G/4G/5G接続に依存しています。これらのモデムのほとんどはSystem-on-Chip (SoC) アーキテクチャに統合されており、ネットワーク接続を処理する通信プロセッサ (CP) と、車両のオペレーティングシステムを実行するアプリケーションプロセッサ (AP) を含んでいます。このシステムのセキュリティにおいて根本的かつ決定的な問題は、これらコンポーネント間のミクロアーキテクチャレベルでの相互作用、すなわち製造元にしか知られていない「ブラックボックス」に潜んでいます。
Unisoc製SoCに発見された深刻な脆弱性
研究者たちは、現代の中国製車両ヘッドユニットで一般的に見られるUnisoc UIS7862A SoCを調査し、モデムのセルラープロトコルスタックにわたる複数の重大な脆弱性を発見しました。最も重要な発見は、3G RLC (Radio Link Control) プロトコル実装におけるスタックベースのバッファオーバーフローです。これはCVE-2024-39432として追跡されており、保護メカニズムが活性化する前のセルラー接続の初期段階で、攻撃者がリモートコード実行を達成することを可能にします。
この脆弱性は、RLCプロトコルが非確認モードで着信Service Data Unit (SDU) パケットを処理する方法を悪用します。プロトコルはオプションのヘッダーフィールドを順番に処理し、データを0xB4バイトのスタックバッファに書き込みます。SDUパケットは0x5F0バイトに達する可能性があるため、90を超えるヘッダーを持つパケットを巧妙に作成することで、スタックオーバーフローをトリガーできます。さらに危険なことに、この関数にはスタックカナリア保護が欠如しているため、攻撃者はリターンアドレスを上書きし、任意のコードを実行することが可能になります。
モデムからアプリケーションプロセッサへの横展開
この脆弱性を特に危険にしているのは、それがシステム全体の侵害への入り口であるという点です。研究者たちはモデム上でコードを実行した後、隠されたDirect Memory Access (DMA) デバイスの脆弱性を介して、アプリケーションプロセッサへの横展開に成功しました。これにより、実行中のAndroidカーネルにパッチを適用し、最高権限でコードを実行することが可能となり、結果として車両のインフォテインメントシステムの完全な制御を掌握しました。
この悪用プロセスには、Return Oriented Programming (ROP) 技術を利用してMemory Protection Unit (MPU) の設定を操作し、通常は保護されているコードセクションの書き込みロックを解除することが含まれていました。その後、研究者たちはNAS (Non-Access Stratum) プロトコルハンドラーにパッチを適用し、プロトコルコマンドを隠れた通信チャネルとして使用して、車両システムとの永続的な双方向通信を確立しました。
影響と今後の課題
この脆弱性の影響は、ダッシュボードにDoomを表示するだけに留まりません。完全なシステム侵害は、攻撃者が車両制御を操作し、ナビゲーションデータを改変し、通信を傍受し、機密性の高いユーザー情報にアクセスできることを意味します。これは、ますますコネクテッド化する自動車エコシステムにおいて、道路の安全性とドライバーのプライバシーに対する根本的な脅威となります。
この脆弱性は、特に中国製ヘッドユニットが普及している市場において、数え切れないほどの車両に影響を与えます。メーカーは、攻撃者がこれらの技術を実世界で悪用する前に、数百万台の展開済み車両のファームウェアをパッチするという緊急の課題に直面しています。包括的なパッチが展開されるまで、コネクテッドカーの所有者は、悪意のあるセルラー信号によるリモートハイジャックに対して脆弱なままとなるでしょう。