NCCグループのセキュリティ研究者は、ターゲットデバイスで認証するために、既存のすべての保護をバイパスするBluetooth Low Energy(BLE)リレー攻撃を実行するためのツールを開発しました。
BLE技術は、ノートパソコン、携帯電話、スマートロック、ビルの入退室管理システムなどの電子機器から、Tesla Model 3やModel Yなどの自動車まで、幅広い製品で使用されています。
このセキュリティ問題に対する修正プログラムの提供は複雑であり、たとえ即時かつ協調的に対応したとしても、影響を受ける製品にアップデートが行き渡るまでには長い時間がかかると思われます。
攻撃の仕組み
この種の中継(リレー)攻撃では、車の解錠・操作を行うキーフォブと車本体の2者間の通信を敵対者が傍受し、操作することができます。
この場合、攻撃者は通信の両端の中間に位置し、あたかも車のすぐそばにいるように信号を中継することができます。
BLEを利用して近接認証を行う製品では、正確な遅延量に基づくチェックやリンク層の暗号化も導入することで、既知のリレー攻撃手法から保護されています。
NCCグループでは、リンク層で動作し、GATT(Generic ATTribute Profile)レスポンスの許容範囲である30msに収まる8msのレイテンシで動作するツールを開発しました。
NCCグループのシニアセキュリティコンサルタントであるSultan Qasim Khan氏によると、この攻撃を実行するには10秒程度かかり、無限に繰り返すことが可能だという。
テスラのモデル3とモデルYは、いずれもBLEベースのエントリーシステムを採用しているため、NCCの攻撃は、車のロック解除や始動に利用できる可能性があります。
この新しいBLEリレー攻撃の背後にある技術的な詳細は公表されていませんが、研究者によると、Teslaアプリのバージョン4.6.1-891を実行するiPhone 13 miniを使って、2020年のTesla Model 3でこの方法をテストしたとのことです。
実験では、iPhoneから7メートル離れた場所と、3メートル離れた場所に設置した2つの中継装置を経由して、iPhoneからの通信をクルマに届けることができた。iPhoneとクルマの距離は25メートル。
この実験は、同様の技術を使用しているため、2021年発売のテスラモデルYでも再現に成功しました。以下は、攻撃のデモンストレーションです。
これらの調査結果は、4月21日にテスラに報告されました。その1週間後、同社は "リレー攻撃はパッシブエントリーシステムの既知の制限である "と回答しています。
研究者は、Kwikset社(スマートロックのKevoシリーズのメーカー)の親会社であるSpectrum Brands社にも通知した。
利用者ができること
この新しい近接攻撃に関するNCC Groupの研究は、BLE全般、Tesla車、Kwikset/Weiserスマートロックの3つのアドバイザリで公開されており、それぞれテストしたデバイスの問題と、他のベンダーの製品により大きな影響を与えることが説明されています。
Bluetoothのコア仕様は、デバイスメーカーにリレー攻撃について警告し、近接型認証は貴重な資産に使用すべきではないことを指摘しています。
このため、ユーザーにはいくつかの可能性が残されています。ひとつは、可能であればこの認証を無効にし、ユーザーとの対話を必要とする別の認証方式に切り替えることです。
また、メーカーがBluetoothの代わりにUWB(超広帯域)無線技術などの距離拘束型ソリューションを採用することも考えられるでしょう。
テスラのオーナーは「PIN to Drive」機能を使うことが推奨されているので、たとえ車のロックが解除されていても、少なくとも攻撃者が車で逃げ出すことはないでしょう。
さらに、静止しているときにモバイルアプリでパッシブエントリー機能を無効にすれば、リレー攻撃は不可能になります。
あなたのデバイスで上記のいずれもが不可能な場合、リレー攻撃の可能性を念頭に置き、それに応じて追加の保護対策を実施するようにしてください。