ホンダ車のリモートキーレスエントリーシステムに脆弱性

　Security Affairsによると、ホンダの車両に採用されているリモートキーレスエントリー（RKE: Remote Keyless Entry）システムに、Rolling-PWNと呼ばれる脆弱性（CVE-2021-46145）があることが発見されたそうだ。悪用された場合、勝手に車両のロックが解除されたり、車両が始動されたりする危険性がある模様Rolling PWN、実演動画、GIGAZINE、TECH+、Bleeping Computer）。

　最近の自動車のキーレスエントリーシステムは、キーフォブのボタンを押すたびに乱数で一意のローリングコードが生成される。車両側には生成されたコードの時系列をチェックするカウンターがあり、新しいコードを受信するとカウントが増加する仕組み。ただし、誤ってキーフォブを押してしまった場合や、車両が圏外にある場合などのために時系列でないコードも受け付けるようになっているという。

　研究者のKevin2600とWesley Li氏は、ホンダ車に使用されているカウンターには、ロックとアンロックコマンドを連続して受けると、カウンターを再同期させる仕組みがあることを見つけ出した。これを悪用すれば無効化したはずの以前のセッションからのコードを受け入れてしまうのだとしている。現在、この問題が確認されているのは以下の車種となっている。

　Civic 2012年型　
　X-RV 2018年型　
　C-RV 2020年型　
　Accord 2020年型　
　Odyssey 2020年型　
　Inspire 2021年型　
　Fit 2022年型　
　Civic 2022年型　
　VE-1 2022年型　
　Breeze 2022年型　

スラドのコメントを読む | セキュリティセクション | セキュリティ | 交通

　関連ストーリー：
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日
24車種にキーレスエントリーの脆弱性があることが判明。電波増幅するシステムを悪用 2016年03月26日