アルグス・サイバー・セキュリティが公共安全と車両ハッキング抑制の推進でボッシュと連携
アルグス・サイバー・セキュリティが公共安全と車両ハッキング抑制の推進でボッシュと連携
AsiaNet 68240
テルアビブ(イスラエル)、シュトゥットガルト(ドイツ)、2017年4月20日/PRニュースワイヤー/ --
業界をリードするアルグスのサイバー研究チームは、ボッシュ・ドライブログ・コネクター・ドングルとドライブログ・コネクト・アプリケーションの認証プロセスにセキュリティの欠陥を発見し、ただちにボッシュに通告。同社はすみやかに脆弱性に対処した。
本日、世界最大の独立系自動車サイバー・セキュリティ企業、アルグス・サイバー・セキュリティ(Argus Cyber Security:https://argus-sec.com/ )と技術とサービスの世界的サプライヤー、ボッシュ(Bosch:https://www.bosch.com/ )は、ボッシュ・ドライブログ・コネクター(Bosch Drivelog Connector:https://www.bosch.com/ )ドングルとドライブログ・コネクト(Drivelog Connect:http://www.bosch-presse.de/pressportal/de/en/new-drivelog-connect-displays-car-related-information-on-the-smartphone-60160.html )スマートフォン・アプリの認証プロセスに、ブルートゥース経由で車をコントロールできるセキュリティ脆弱性をアルグスの研究チームが発見したことを発表しました。アルグスはボッシュに対して責任ある開示を行い、それを受けた同社の製品セキュリティ問題対応チーム(PSIRT:Product Security Incident Response Team)が脆弱性に対応すべく断固かつ迅速な行動をとりました。
(ロゴ: http://photos.prnewswire.com/prnh/20160721/391784LOGO )
アルグスの研究グループは、車両に内蔵されたボッシュ・ドライブログ・コネクター・ドングルを使って車両システムの安全上重要な部位を遠隔で乗っ取ることに成功しました。ドングルとドライブログ・コネクトのスマートフォン・アプリの間に見つかった脆弱性を使って、アルグスの研究チームは数分以内にセキュリティコードを解析し、スマートフォンやノートパソコンなどの標準ブルートゥース機器を使ってドングルと通信することに成功しました。通信チャネルへのアクセスに成功した後、メッセージのコマンド・ストラクチャーを複製して車載ネットワークに有害メッセージを送り込むことができました。アルグスの研究グループはこれらの脆弱性を使うことで、特定のメッセージだけを通すように設計されたセキュア・メッセージフィルターを回避して走行中の車を制御し、遠隔でエンジンを停止させてみせました。
攻撃の技術的解説全文はアルグスのブログ(https://argus-sec.com/blog/ )に掲載されています。
アルグスの最高技術責任者兼共同創業者、ヤロン・ガルーラは、次のように述べました。「アルグスは、車両をサイバーセーフすること、そして、世界のティア1サプライヤーや自動車メーカーとの提携による自動車産業向けの最先端サイバー・セキュリティ・ソリューション提供に尽力することを基盤としています。暗号化に基づくソリューションはたとえ業界トップが考案したものであっても絶対確実ではなく、車両を有効的にサイバー脅威から守るためには多層防御が必要であることを、ボッシュの発見が示しています」
アルグスがボッシュ・ドライブログ・コネクター・ドングルのサイバー・セキュリティの脆弱性を発見すると、ボッシュは直ちに報告を受けました。この件に対してボッシュ経営陣は大きく注目し、直ちにセキュリティと開発を担当する部門にこの問題に当たらせるよう、製品セキュリティ問題対応チームが迅速に動きました。
ボッシュは、これら脆弱性の責任ある開示とそのプロセスを通しての支援に対しアルグスに謝意を表しました。ボッシュ製品セキュリティ問題対応チーム(PSIRT)の責任者、Thorsten Kuhlesは、「ボッシュはセキュリティを非常に深刻にとらえています。アルグスからセキュリティの欠陥の報告を受け、わが社はその問題を検証、解決すべく直ちに行動しました」と話します。通知があって間もなく、ボッシュは最初の処置を行いました。物理的にドングルに近くなければ悪意ある攻撃は効果を拡大できないことが重要な点です。つまり攻撃に使われる機器はブルートゥースの通信範囲内になくてはならないのです。その上、最初の攻撃でドングルのブルートゥースPINをブルートフォース方式で解析し、続いてドングルと車両の制限に適合した有害なCANメッセージを送り込まなくてはなりません。「セキュリティの更なる向上のため、暗号化プロトコルの潜在的な脆弱性を解決するパッチがまもなく利用可能になります。このパッチが、アルグスが言及する種類の攻撃を防ぎます」とKuhlesは付け加えています。望ましくないCANメッセージ送信の可能性をより制限するための追加作業も行っており、更なる改良とともに年内に出荷できるでしょう。
詳細は、ボッシュ・セキュリティ・アドバイザリ
(https://psirt.bosch.com/Advisory/BOSCH-2017-0201.html )をご参照ください。
アルグスについて
アルグスは、世界最大の自動車サイバー・セキュリティー独立系企業です。包括的で実績のあるソリューションパッケージは、コネクテッド・カーや商用車をサイバー攻撃から守ります。サイバー・セキュリティーと自動車業界双方で数十年の経験者を有するアルグスは、自動車のベストプラクティスへの深い理解に基づいた革新的なセキュリティ技術と実績のあるコンピューターネットワークのノウハウを提供します。顧客は、自動車メーカー、そのティア1供給業者、アフターマーケットの接続プロバイダーなどです。アルグスは2013年に設立され、イスラエルのテルアビブに本社を置き、ミシガン、シリコンバレー、シュツットガルトおよび東京に事務所を構えています。詳細情報はhttps://argus-sec.com/argus-solution-suites/ をご参照ください。
ボッシュについて
ボッシュ・グループは、技術とサービスの世界的サプライヤーです。世界中に約39万人のアソシエイトがいます(2016年12月31日現在)。2016年には速報値で731億ユーロを売り上げました。業務はモビリティ・ソリューション、産業技術、コンシューマー・グッズ、エネルギー・建築技術の4つの事業部門に分かれています。ボッシュ・グループはロバート・ボッシュ(Robert Bosch GmbH)および60か国にある約450の子会社と地域企業から成っています。販売とサービスのパートナーを含めると、ボッシュの製造・エンジニアリング・販売のグローバル・ネットワークは世界のほとんどすべての国にめぐらされています。追加情報は、http://www.bosch.com/ でご覧ください。
@ArgusSec (https://twitter.com/ArgusSec )| LinkedIn (https://www.linkedin.com/company-beta/5200367 )
アルグスに関する問合せ先:
Brandon Weinstock
argus@headline-media.com
+1-914-336-4878
ボッシュに関する問合せ先:
Annett Fischer
Annett.Fischer@bosch.com
+49-7062-911-7837
ソース: アルグス・サイバー・セキュリティ(Argus Cyber Security )/ボッシュ・グループ(The Bosch Group)
(日本語リリース:クライアント提供)
Argus Cyber Security Working With Bosch To Promote Public Safety And Mitigate Car Hacking
PR68240
TEL AVIV, Israel and STUTTGART, Germany, Apr. 20, 2017 /PRNewswire=KYODO JBN/ --
Argus' Industry-Leading Cyber Research Group Found Security Gaps In The
Bosch Drivelog Connector Dongle and in its Authentication Process With The
Drivelog Connect Application And Promptly Informed Bosch, Who Took Immediate
Action to Address the Vulnerabilities
Argus Cyber Security [https://argus-sec.com ], the world's largest
independent automotive cyber security company, and Bosch, the global supplier
of technology and services, announced today that security vulnerabilities were
found by Argus researchers in the Bosch [https://www.bosch.com ] Drivelog
Connector [
] dongle and in its authentication process with the
Drivelog Connect [
] smartphone application which enabled the researchers to take control of a car
via Bluetooth. Following a responsible disclosure made by Argus to Bosch, their
Product Security Incident Response Team (PSIRT) took decisive and immediate
action to address the vulnerabilities.
(Logo: http://photos.prnewswire.com/prnh/20160721/391784LOGO )
The Argus research group succeeded in remotely taking over safety-critical
vehicle systems via a Bosch Drivelog Connector dongle installed in the vehicle.
A vulnerability found in the authentication process between the dongle and the
Drivelog Connect smartphone application enabled Argus researchers to uncover
the security code within minutes and communicate with the dongle from a
standard Bluetooth device, such as a smartphone or laptop. After gaining access
to the communications channel, Argus researchers were able to duplicate the
message command structure and inject malicious messages into the in-vehicle
network. Effectively bypassing the secure message filter that was designed to
allow only specific messages, these vulnerabilities enabled the Argus research
group to take control of a moving car, demonstrated through remotely stopping
the engine.
A full technical account of the attack is posted on Argus' blog
[https://argus-sec.com/blog ].
"At our core, Argus is dedicated to ensuring that vehicles are cyber-safe
and our ongoing collaboration with global Tier 1 suppliers and car
manufacturers enables us to provide the most advanced cyber security solutions
for the automotive industry," said Yaron Galula, Argus CTO and Co-Founder. "The
Bosch discovery demonstrates that solutions based on cryptography, even when
designed by leaders in the industry, are not foolproof and that multi-layered
defenses are required to effectively protect vehicles from cyber threats."
As soon as Argus found cyber security vulnerabilities in the Bosch Drivelog
Connector dongle, Bosch was duly informed. The level of attention the matter
received from Bosch top management was significant and their Product Security
Incident Response Team worked quickly to immediately address the issues across
their security and development divisions.
Bosch expressed its gratitude to the Argus team for the responsible
disclosure of these vulnerabilities and their help throughout the process.
"Bosch takes security very seriously. When Argus informed us about the security
gaps, we took immediate action to verify and fix the issues." said Thorsten
Kuhles, head of the Bosch Product Security Incident Response Team (PSIRT). Only
a short time after being notified Bosch has already implemented an initial fix.
It is important to note that scalability of a potential malicious attack is
limited by the fact that such an attack requires physical proximity to the
dongle. This means that the attacking device needs to be within Bluetooth range
of the vehicle. Furthermore, an initial attack requires brute forcing the PIN
for a given dongle and sending a malicious CAN message that fits the
constraints of the dongle and the vehicle. "To further increase security a
patch that fixes the underlying weaknesses in the encryption protocol will be
available shortly. This patch will prevent the kind of attack as described by
Argus," Kuhles adds. Additional work is also being done to further limit the
possibility to send unwanted CAN messages and will be rolled out alongside
further improvements later in the year.
For more information please refer to the Bosch Security Advisory
[https://psirt.bosch.com/Advisory/BOSCH-2017-0201.html ].
About Argus:
Argus is the world's largest independent automotive cyber security company.
Argus's comprehensive and proven solution suites protect connected cars and
commercial vehicles against cyberattacks. With decades of experience in both
cyber security and the automotive industry, Argus offers innovative security
methods and proven computer networking know-how with a deep understanding of
automotive best practices. Customers include car manufacturers, their Tier 1
suppliers, and aftermarket connectivity providers. Founded in 2013, Argus is
headquartered in Tel-Aviv, Israel, with offices in Michigan, Silicon Valley,
Stuttgart and Tokyo. Visit argus-sec.com
[https://argus-sec.com/argus-solution-suites ] to learn more.
About Bosch:
The Bosch Group is a leading global supplier of technology and services. It
employs roughly 390,000 associates worldwide (as of December 31, 2016).
According to preliminary figures, the company generated sales of 73.1 billion
euros in 2016. Its operations are divided into four business sectors: Mobility
Solutions, Industrial Technology, Consumer Goods, and Energy and Building
Technology. The Bosch Group comprises Robert Bosch GmbH and its roughly 450
subsidiaries and regional companies in some 60 countries. Including sales and
service partners, Bosch's global manufacturing, engineering, and sales network
covers nearly every country in the world. Additional information is available
online at http://www.bosch.com
[http://C:\Users\Monique\Documents\Argus\Press\Bosch\www.bosch.com ].
@ArgusSec [https://twitter.com/ArgusSec ] | LinkedIn
[https://www.linkedin.com/company-beta/5200367 ]
Contact for Argus:
Brandon Weinstock
argus@headline-media.com
+1-914-336-4878
Contact for Bosch:
Annett Fischer
Annett.Fischer@bosch.com
+49-7062-911-7837
SOURCE: Argus Cyber Security and The Bosch Group
本プレスリリースは発表元が入力した原稿をそのまま掲載しております。また、プレスリリースへのお問い合わせは発表元に直接お願いいたします。
このプレスリリースには、報道機関向けの情報があります。
プレス会員登録を行うと、広報担当者の連絡先や、イベント・記者会見の情報など、報道機関だけに公開する情報が閲覧できるようになります。