ホンダ・シビック、Evil Maid攻撃に脆弱 USB物理アクセスでコード実行可能
ホンダ・シビックのAndroidソフトウェアパッケージがAOSPテストキーで署名されている問題が発覚。USBポートへの物理アクセスにより任意コード実行が可能となり、Evil Maid攻撃の標的となり得る。
ホンダ・シビックが、いわゆる「邪悪なメイド攻撃(Evil Maid Attack)」に対して脆弱であることが、セキュリティ研究者らの調査で明らかになった。物理的なアクセス権限を持つ攻撃者が検出困難な形でデバイスに改変を加えるこの攻撃手法が、現代のコネクテッドカーにも適用可能である実態が浮き彫りとなった。
脆弱性の本質
問題の核心は、ホンダ・シビックに搭載されているAndroidソフトウェアパッケージにある。Solidotの報道によれば、これらのパッケージは公開されたAOSP(Android Open Source Project)テストキーを用いて署名されている。テストキーは本来、開発段階での検証用に提供されるものであり、製品版で使用すべきではない。誰でも入手可能な鍵で署名されているため、署名の検証機構が実質的に機能していない状態にある。
攻撃者は車両のUSBポートに物理的にアクセスできれば、任意のソフトウェアパッケージを書き込み、任意のコードを実行できる。具体的な攻撃シナリオとして、研究者らは悪意あるホテルのバレーパーキング係を挙げている。駐車中の短時間でUSB経由の改変を行い、後日遠隔から車両にアクセスするといった手法が想定される。
技術的背景
Evil Maid Attackは、物理アクセス権を持つ攻撃者がデバイスのファームウェアやブートローダー、オペレーティングシステムに改変を加え、後からそのデバイスや内部データにアクセスする攻撃手法である。ノートPCやスマートフォンに対する攻撃として知られてきたが、自動車への適用が確認された点が今回の特筆すべき点である。
Juniperspringの研究者による詳細な分析では、ホンダ車で使用されているAndroidパッケージの署名検証に根本的な問題があることが示されている。AOSPテストキーはソースコードリポジトリで公開されており、鍵の入手に特別な権限は不要である。このため、USBポートにアクセスできる物理的な立場にある者であれば、誰でも改変パッケージを正規のものとして車両にインストールできる。
影響範囲とリスク評価
コネクテッドカーの普及に伴い、車両ソフトウェアのセキュリティは従来以上に重要になっている。車載インフォテインメントシステムはエンジン制御ユニットとは別系統であることが一般的だが、ゲートウェイを介した相互接続が進んでおり、インフォテインメント側の侵害が走行安全に関わる系統に波及するリスクも否定できない。
今回の脆弱性の悪用にはUSBポートへの物理アクセスが必要である。この制約は攻撃の現実的な難易度を高めているが、駐車中の車両を扱う駐車場スタッフ、レンタカー業者、整備工場の従業員など、正当な物理アクセス権を持つ人物による内部攻撃の可能性は無視できない。
ホンダに対しては、検証用鍵を製品出荷前に差し替える対応が求められる。この問題はテストキーの使用という基本的なセキュリティプラクティスの欠如に起因しており、根本的にはソフトウェア署名プロセスの見直しが必要である。
業界への示唆
今回の事例は、自動車業界におけるソフトウェアサプライチェーン管理の課題を浮き彫りにしている。Android Automotive OSやAndroid Autoの普及により、自動車メーカーはGoogleのエコシステムに依存する部分が増えている。AOSPテストキーの誤用は、開発効率と本番セキュリティのバランスを欠いた判断の典型例と言える。
自動車のソフトウェアスタックは年々複雑化しており、ファームウェア署名、ブートチェーン検証、アプリケーションサンドボックスといった基本的なセキュリティ機構を確実に実装することの重要性が改めて認識される。
編集部の見解
今回の問題は、自動車セキュリティの課題が従来のサイバー攻撃に加え、物理アクセスを要する古典的な手法にもなお脆弱であることを示している。短期的には、ホンダがUSBポート経由のパッケージ書き込みに対する何らかの認証機構を追加するか、OTAアップデートにより署名鍵を差し替える対応を迫られることになる。3〜6ヶ月の間には、他メーカーの車載Androidシステムでも同様のテストキー使用が発覚する可能性は否定できない。
長期的視点では、コネクテッドカーのソフトウェアセキュリティに対する規制強化の動きが加速するだろう。2025年以降、UN R155(サイバーセキュリティ管理システムの国際基準)やISO 21434の適用が義務化されつつあるが、今回の事例は基準がカバーする範囲の実効性に疑問を投げかける。自動車メーカーは、サプライチェーン全体でのセキュリティ監査と、開発工程におけるテスト鍵の管理プロセスを抜本的に見直す必要がある。
読者には、物理アクセスを前提とした脅威モデルが自動車の設計思想にどこまで組み込まれるべきか、という論点を考えていただきたい。従来は情報システムを対象としてきたEvil Maid Attackが、自動車という物理財にまで拡大したことで、セキュリティ設計の前提が大きく変わろうとしている。
参考
- Solidot: ホンダ・シビックは「邪悪なメイド攻撃」に対して脆弱 — 2026-06-15公開
- Juniperspring: Honda Evil Valet — 研究者ブログ
- [Wikipedia: Evil maid attack](https://z
よくある質問
- ホンダ・シビックのEvil Maid攻撃は具体的にどのように行われるのか
- 攻撃者は車両のUSBポートに物理的にアクセスし、悪意のあるAndroidパッケージを書き込む。このパッケージは公開されたAOSPテストキーで署名されているため、車両側で正規のものと誤認され、任意のコードが実行される。
- この脆弱性はホンダ・シビック以外の車種にも影響する可能性はあるか
- AOSPテストキーを使用している車載Androidシステムを搭載する車種であれば、同様の脆弱性が存在する可能性がある。現時点ではホンダ・シビックが確認されているが、他メーカーでも同様の実装ミスがあるかどうかは今後の調査を待つ必要がある。
- この攻撃を防ぐ方法はあるか
- 根本的にはホンダ側が署名鍵をテストキーから本番用の秘密鍵に変更するアップデートを提供することが必要。ユーザー側では、車両を信頼できない場所に預ける場合にUSBポートを物理的にロックするなどの対策が考えられるが、確実な防御にはならない。
コメント