2010年3月、愛知県警によると、自動車の盗難防止のための電子キーである「イモビライザー」のセキュリティ機能を瞬間的に無効にする「イモビカッター(イモビライザー・カッター)」と呼ばれるハッキング装置を、2月に公務執行妨害容疑で逮捕した高級車専門の窃盗団メンバー(男)の自動車内から押収していたことを発表しました。
これは、「イモビライザー・リセッター」とも呼ばれるもので、愛知県警は、窃盗団の全容解明とともに、このイモビカッターの入手経路などの調査に乗り出すとのこと。
この時代において、セキュリティに対する自動車メーカーの意志や開発能力そのものが、こうも貧弱なことには驚きを隠せません。
通常このイモビライザーは、100万通り以上の暗号パターン(具体的な数字は各メーカー非公表)をもってキーに記憶されており、キーを差し込んだ後即時にその暗号化された情報を車両内のコンピューターが診断し(復号化)、正規のキーパターン情報と不一致の場合はエンジンがからない仕組みを取り入れています。
そしてこれを「盗難防止の切り札」として、各メーカーが標準装備を進めているわけですが、この「イモビカッター」なるハッキングツールを使うと、その暗号を無効にするのに十数秒とかからないとのこと。
この「イモビカッター」、通常ハンドル付近にある整備時の診断用などで用いるコンピューターへのアクセスコネクターに差し込めば暗号自体が瞬時にリセットされ、その後は別の暗号を認識させた偽キーでも形状さえあって差し込めれば瞬時にエンジンをかけることができます。
これはやや邪推になりますが、つまり、メーカーは、キーロガーといわれる片っぱしから暗号を試していくブルートフォースアタックへの対策のみで、これによる時間稼ぎ、もしくは賊のギブアップのみを狙い、パンフレットには”最新確実な盗難防止装置”などの表現を使っている可能性があります。
では、直接、車のコンピューターにアクセスし電子キーを無効にする手段にメーカー自身が気づいていなかったか?
それは、おそらくありまえせん。
なぜなら、正規の自動車オーナーが鍵を失くしてしてしまったときのことを考えてみてください。
通常、こうした電子キーは特殊なので、いわゆる街の鍵の解錠救急サービスなどでは対応することができません。
その結果、おのずとディーラーへなんらかの連絡をとり対応をお願いすることになるわけですが、その場面で、新しくつくったイモビライザーキーを取り寄せるまで長い期間ディーラーがオーナーを待たせる事態は考えられるでしょうか?
いわゆる「サービスポート」というものがいまどきのほとんどの自動車には取り付けられています。
これは、通常、自動車の自己診断に使われるものですが、ここをメーカーが独自のプロテクトでアクセスの制御していることがほとんどです。
そのプロテクトさえ解除できれば、この暗号化されたシステムにも容易に到達できます。
つまり、これはコンピューターの世界の用語になりますが、開発者や設計者(この場合はメーカーと、メーカー直結のサービス部門)しか知り得ないバックドア=裏口をこじ開けるルートが見破られたことになります。
さきほどの鍵を紛失したときなどや、修理・メンテナンスに使われる秘密の解除方法でしょうが、その解除法がハッキングされたにせよ、情報が漏洩したにせよ、これはメーカーに落ち度があることも考えざるを得ません。
さて、この「イモビカッター」なるもの、現物写真などは公開されていませんが、大きさは縦6cm、横3cm、厚さ1cmほどの板状で、すっぽりと手のひらに収まるサイズとのこと。
適合は、セルシオやクラウンなどの高級車が主な対象らしく向けといい、すでに海外経由で国内にも多数出回っている可能性が浮上しています。
すでに自動車メーカーはイモビライザーに暗号化されたその自動車固有の電子錠をセットして販売しつつも、設計開発の時点からこうしたハッキング行為が行われることは想定してないこととして、通常のコピーキーやレプリカーキーでの解錠と同様に、こうしたツールによる解錠での盗難については責任を免れることとなるはずです。
こうした事情にもより、盗難防止対策はより一層自動車オーナーを悩ませることになっていきそうです。
メーカーが頼りにならない今となっては、自己防衛を前提に、振動や特殊な信号検知型盗難防止装置など複数の対策パターンを想定しなければなりません。
盗難もついにハイテクやITの世界に突入したのです。
「このまちをデザインする」をモットーに、日本のほぼど真ん中、愛知県の最西、すでに半生を過ごしたここ稲沢市を中心にエヴリデイ東奔西走中!
” ONE! INAZAWA – Our New (Next) Experience ”
ニュース!1730(イナザワ)はつぎのあたらしいサイトへ継承しました。
#稲沢をもっと知りたい https://takamura.jp