中国企業の車両盗難防止用GPSに「深刻な」脆弱性　遠隔操作される可能性も

米国のサイバーセキュリティ企業ビットサイト（BitSight）は19日、中国企業MiCODUSが製造する盗難防止用GPSユニットに6つの「深刻な」脆弱性を発見したと発表した。第三者が遠隔操作で車両を不正操作するなど、運転の安全問題や国家安全保障の脅威につながる可能性があると警鐘を鳴らしている。

報告書によると、問題になっているのは、手軽に入手できることで人気の盗難防止用GPSユニット「MV720」。脆弱性が悪用された場合、第三者が遠隔操作で行動を追跡したりするほか、走行中の車両の燃料供給を遮断することも可能だという。同製品は現在169カ国で合計150万台が企業や個人によって使用されている。

米国のサイバーセキュリティ専門家リチャード・クラーク氏は「中国が米国内の車両を遠隔操作できるようになれば問題だ」と強調。「これらの脆弱性が容易に悪用され、個人の安全や国家の安全保障に影響を及ぼす恐れが出てきた以上、安全なIoT（モノのインターネット）インフラを持つことの重要性が改めて浮き彫りになった」と声明で述べた。

ビットサイトによると、昨年9月からMiCODUSと接触を試み、セキュリティまたはエンジニアリングの担当者との話し合いを求めたが、拒否し続けられている。5月には米国サイバーセキュリティ・社会基盤安全保障庁（CISA）も加わったが進展はない。

「悪用は簡単」

車両盗難防止用GPSユニットはトラックからスクールバス、軍用車に至るまで、車両を監視し、盗難から保護するために世界中で使用されている。また、車両位置のデータ収集に加え、ドライバーの行動や燃料の使用状況などの指標管理も可能だ。

その反面、デバイスの脆弱性により第三者に車両をコントロールされる恐れもある。ビットサイトのペドロ・アンベリーノ主任研究員によれば「脆弱性を悪用することは難しくない」という。

前出のクラーク氏はGPSユニットが「中国政府に悪意を持って使用される可能性がある」と危機感を示した。盗難防止GPSユニットが悪意ある目的で設計された可能性は低いとした上で、中国企業は中国共産党の命令に従うことが法律で義務付けられているため注意を払う必要があると述べた。

大紀元はビットサイト社の報告書について、MiCODUSにコメントを要請した。MiCODUSの営業マネージャーはメールにて、「MV720」は「一般的な車両用のGPS追跡装置」であるとし、企業として「同製品を違法行為に利用したことは一度もない」と返答した。

（翻訳編集・山中蓮夏）