ホンダ・シビック、キーレスシステムを乗っ取り可能な脆弱性
2022年3月29日 00:06
headless 曰く、 ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性が発見された(CVE-2022-27254、The Register の記事、BleepingComputer の記事、発見者の GitHub リポジトリ)。
この脆弱性はドアの開閉時に送信される無線信号が暗号化されていないため、車の近くにいる攻撃者が信号を記録して後で再生するリプレイ攻撃が可能というものだ。影響を受けるのは 2016 年 ~ 2020 年のシビック LX / EX / EX-L / Touring / Si / Type Rとされるが、ホンダ車では同様の脆弱性が過去にも見つかっており (CVE-2019-20626)、さらに多くの車種が影響を受ける可能性もある。
ホンダは BleepingComputer に旧モデルの修正予定はないと述べており、近くにいる攻撃者はハイテクな方法を使わなくても車にアクセス可能だとも述べているという。発見者は緩和策として、ファラデーポーチにキーフォブを入れる、RKE (remote keyless entry) の代わりに PKE (passive keyless entry) を使うなどの方法を紹介している。なお、既に攻撃者が信号を読み取って車へのアクセスが可能になっている場合、ディーラーに持ち込んでキーフォブをリセットしてもらうしかないとのことだ。