アルグス・サイバー・セキュリティが公共安全と車両ハッキング抑制の推進でボッシュと連携

AsiaNet 68240

テルアビブ（イスラエル）、シュトゥットガルト（ドイツ）、2017年4月20日/PRニュースワイヤー/ --

業界をリードするアルグスのサイバー研究チームは、ボッシュ・ドライブログ・コネクター・ドングルとドライブログ・コネクト・アプリケーションの認証プロセスにセキュリティの欠陥を発見し、ただちにボッシュに通告。同社はすみやかに脆弱性に対処した。

本日、世界最大の独立系自動車サイバー・セキュリティ企業、アルグス・サイバー・セキュリティ（Argus Cyber Security：https://argus-sec.com/ ）と技術とサービスの世界的サプライヤー、ボッシュ（Bosch：https://www.bosch.com/ ）は、ボッシュ・ドライブログ・コネクター（Bosch Drivelog Connector：https://www.bosch.com/ ）ドングルとドライブログ・コネクト（Drivelog Connect：http://www.bosch-presse.de/pressportal/de/en/new-drivelog-connect-displays-car-related-information-on-the-smartphone-60160.html ）スマートフォン・アプリの認証プロセスに、ブルートゥース経由で車をコントロールできるセキュリティ脆弱性をアルグスの研究チームが発見したことを発表しました。アルグスはボッシュに対して責任ある開示を行い、それを受けた同社の製品セキュリティ問題対応チーム（PSIRT：Product Security Incident Response Team）が脆弱性に対応すべく断固かつ迅速な行動をとりました。

(ロゴ: http://photos.prnewswire.com/prnh/20160721/391784LOGO )

アルグスの研究グループは、車両に内蔵されたボッシュ・ドライブログ・コネクター・ドングルを使って車両システムの安全上重要な部位を遠隔で乗っ取ることに成功しました。ドングルとドライブログ・コネクトのスマートフォン・アプリの間に見つかった脆弱性を使って、アルグスの研究チームは数分以内にセキュリティコードを解析し、スマートフォンやノートパソコンなどの標準ブルートゥース機器を使ってドングルと通信することに成功しました。通信チャネルへのアクセスに成功した後、メッセージのコマンド・ストラクチャーを複製して車載ネットワークに有害メッセージを送り込むことができました。アルグスの研究グループはこれらの脆弱性を使うことで、特定のメッセージだけを通すように設計されたセキュア・メッセージフィルターを回避して走行中の車を制御し、遠隔でエンジンを停止させてみせました。

攻撃の技術的解説全文はアルグスのブログ（https://argus-sec.com/blog/ ）に掲載されています。

アルグスの最高技術責任者兼共同創業者、ヤロン・ガルーラは、次のように述べました。「アルグスは、車両をサイバーセーフすること、そして、世界のティア1サプライヤーや自動車メーカーとの提携による自動車産業向けの最先端サイバー・セキュリティ・ソリューション提供に尽力することを基盤としています。暗号化に基づくソリューションはたとえ業界トップが考案したものであっても絶対確実ではなく、車両を有効的にサイバー脅威から守るためには多層防御が必要であることを、ボッシュの発見が示しています」

アルグスがボッシュ・ドライブログ・コネクター・ドングルのサイバー・セキュリティの脆弱性を発見すると、ボッシュは直ちに報告を受けました。この件に対してボッシュ経営陣は大きく注目し、直ちにセキュリティと開発を担当する部門にこの問題に当たらせるよう、製品セキュリティ問題対応チームが迅速に動きました。

ボッシュは、これら脆弱性の責任ある開示とそのプロセスを通しての支援に対しアルグスに謝意を表しました。ボッシュ製品セキュリティ問題対応チーム（PSIRT）の責任者、Thorsten Kuhlesは、「ボッシュはセキュリティを非常に深刻にとらえています。アルグスからセキュリティの欠陥の報告を受け、わが社はその問題を検証、解決すべく直ちに行動しました」と話します。通知があって間もなく、ボッシュは最初の処置を行いました。物理的にドングルに近くなければ悪意ある攻撃は効果を拡大できないことが重要な点です。つまり攻撃に使われる機器はブルートゥースの通信範囲内になくてはならないのです。その上、最初の攻撃でドングルのブルートゥースPINをブルートフォース方式で解析し、続いてドングルと車両の制限に適合した有害なCANメッセージを送り込まなくてはなりません。「セキュリティの更なる向上のため、暗号化プロトコルの潜在的な脆弱性を解決するパッチがまもなく利用可能になります。このパッチが、アルグスが言及する種類の攻撃を防ぎます」とKuhlesは付け加えています。望ましくないCANメッセージ送信の可能性をより制限するための追加作業も行っており、更なる改良とともに年内に出荷できるでしょう。

詳細は、ボッシュ・セキュリティ・アドバイザリ

（https://psirt.bosch.com/Advisory/BOSCH-2017-0201.html ）をご参照ください。

アルグスについて

アルグスは、世界最大の自動車サイバー・セキュリティー独立系企業です。包括的で実績のあるソリューションパッケージは、コネクテッド・カーや商用車をサイバー攻撃から守ります。サイバー・セキュリティーと自動車業界双方で数十年の経験者を有するアルグスは、自動車のベストプラクティスへの深い理解に基づいた革新的なセキュリティ技術と実績のあるコンピューターネットワークのノウハウを提供します。顧客は、自動車メーカー、そのティア1供給業者、アフターマーケットの接続プロバイダーなどです。アルグスは2013年に設立され、イスラエルのテルアビブに本社を置き、ミシガン、シリコンバレー、シュツットガルトおよび東京に事務所を構えています。詳細情報はhttps://argus-sec.com/argus-solution-suites/ をご参照ください。

ボッシュについて

ボッシュ・グループは、技術とサービスの世界的サプライヤーです。世界中に約39万人のアソシエイトがいます（2016年12月31日現在）。2016年には速報値で731億ユーロを売り上げました。業務はモビリティ・ソリューション、産業技術、コンシューマー・グッズ、エネルギー・建築技術の4つの事業部門に分かれています。ボッシュ・グループはロバート・ボッシュ（Robert Bosch GmbH）および60か国にある約450の子会社と地域企業から成っています。販売とサービスのパートナーを含めると、ボッシュの製造・エンジニアリング・販売のグローバル・ネットワークは世界のほとんどすべての国にめぐらされています。追加情報は、http://www.bosch.com/ でご覧ください。

@ArgusSec （https://twitter.com/ArgusSec ）| LinkedIn （https://www.linkedin.com/company-beta/5200367 ）

アルグスに関する問合せ先:

Brandon Weinstock

argus@headline-media.com

+1-914-336-4878

ボッシュに関する問合せ先:

Annett Fischer

Annett.Fischer@bosch.com

+49-7062-911-7837

ソース: アルグス・サイバー・セキュリティ（Argus Cyber Security ）／ボッシュ・グループ（The Bosch Group）

（日本語リリース：クライアント提供）

Argus Cyber Security Working With Bosch To Promote Public Safety And Mitigate Car Hacking

PR68240

TEL AVIV, Israel and STUTTGART, Germany, Apr. 20, 2017 /PRNewswire=KYODO JBN/ --

    Argus' Industry-Leading Cyber Research Group Found Security Gaps In The

Bosch Drivelog Connector Dongle and in its Authentication Process With The

Drivelog Connect Application And Promptly Informed Bosch, Who Took Immediate

Action to Address the Vulnerabilities

    Argus Cyber Security [https://argus-sec.com ], the world's largest

independent automotive cyber security company, and Bosch, the global supplier

of technology and services, announced today that security vulnerabilities were

found by Argus researchers in the Bosch [https://www.bosch.com ] Drivelog

Connector [

http://www.bosch-presse.de/pressportal/de/en/new-drivelog-connect-displays-car-related-information-on-the-smartphone-60160.html

] dongle and in its authentication process with the

Drivelog Connect [

http://www.bosch-presse.de/pressportal/de/en/new-drivelog-connect-displays-car-related-information-on-the-smartphone-60160.html

] smartphone application which enabled the researchers to take control of a car

via Bluetooth. Following a responsible disclosure made by Argus to Bosch, their

Product Security Incident Response Team (PSIRT) took decisive and immediate

action to address the vulnerabilities.

    (Logo: http://photos.prnewswire.com/prnh/20160721/391784LOGO )

    The Argus research group succeeded in remotely taking over safety-critical

vehicle systems via a Bosch Drivelog Connector dongle installed in the vehicle.

A vulnerability found in the authentication process between the dongle and the

Drivelog Connect smartphone application enabled Argus researchers to uncover

the security code within minutes and communicate with the dongle from a

standard Bluetooth device, such as a smartphone or laptop. After gaining access

to the communications channel, Argus researchers were able to duplicate the

message command structure and inject malicious messages into the in-vehicle

network. Effectively bypassing the secure message filter that was designed to

allow only specific messages, these vulnerabilities enabled the Argus research

group to take control of a moving car, demonstrated through remotely stopping

the engine.

    A full technical account of the attack is posted on Argus' blog

[https://argus-sec.com/blog ].

    "At our core, Argus is dedicated to ensuring that vehicles are cyber-safe

and our ongoing collaboration with global Tier 1 suppliers and car

manufacturers enables us to provide the most advanced cyber security solutions

for the automotive industry," said Yaron Galula, Argus CTO and Co-Founder. "The

Bosch discovery demonstrates that solutions based on cryptography, even when

designed by leaders in the industry, are not foolproof and that multi-layered

defenses are required to effectively protect vehicles from cyber threats."

    As soon as Argus found cyber security vulnerabilities in the Bosch Drivelog

Connector dongle, Bosch was duly informed. The level of attention the matter

received from Bosch top management was significant and their Product Security

Incident Response Team worked quickly to immediately address the issues across

their security and development divisions.

    Bosch expressed its gratitude to the Argus team for the responsible

disclosure of these vulnerabilities and their help throughout the process.

"Bosch takes security very seriously. When Argus informed us about the security

gaps, we took immediate action to verify and fix the issues." said Thorsten

Kuhles, head of the Bosch Product Security Incident Response Team (PSIRT). Only

a short time after being notified Bosch has already implemented an initial fix.

It is important to note that scalability of a potential malicious attack is

limited by the fact that such an attack requires physical proximity to the

dongle. This means that the attacking device needs to be within Bluetooth range

of the vehicle. Furthermore, an initial attack requires brute forcing the PIN

for a given dongle and sending a malicious CAN message that fits the

constraints of the dongle and the vehicle. "To further increase security a

patch that fixes the underlying weaknesses in the encryption protocol will be

available shortly. This patch will prevent the kind of attack as described by

Argus," Kuhles adds. Additional work is also being done to further limit the

possibility to send unwanted CAN messages and will be rolled out alongside

further improvements later in the year.

    For more information please refer to the Bosch Security Advisory

[https://psirt.bosch.com/Advisory/BOSCH-2017-0201.html ].

    About Argus:  

    Argus is the world's largest independent automotive cyber security company.

Argus's comprehensive and proven solution suites protect connected cars and

commercial vehicles against cyberattacks. With decades of experience in both

cyber security and the automotive industry, Argus offers innovative security

methods and proven computer networking know-how with a deep understanding of

automotive best practices. Customers include car manufacturers, their Tier 1

suppliers, and aftermarket connectivity providers. Founded in 2013, Argus is

headquartered in Tel-Aviv, Israel, with offices in Michigan, Silicon Valley,

Stuttgart and Tokyo. Visit argus-sec.com

[https://argus-sec.com/argus-solution-suites ] to learn more.

    About Bosch:  

    The Bosch Group is a leading global supplier of technology and services. It

employs roughly 390,000 associates worldwide (as of December 31, 2016).

According to preliminary figures, the company generated sales of 73.1 billion

euros in 2016. Its operations are divided into four business sectors: Mobility

Solutions, Industrial Technology, Consumer Goods, and Energy and Building

Technology. The Bosch Group comprises Robert Bosch GmbH and its roughly 450

subsidiaries and regional companies in some 60 countries. Including sales and

service partners, Bosch's global manufacturing, engineering, and sales network

covers nearly every country in the world. Additional information is available

online at http://www.bosch.com

[http://C:\Users\Monique\Documents\Argus\Press\Bosch\www.bosch.com ].

    @ArgusSec [https://twitter.com/ArgusSec ] | LinkedIn

[https://www.linkedin.com/company-beta/5200367 ]

    Contact for Argus:

    Brandon Weinstock

    argus@headline-media.com

    +1-914-336-4878

    Contact for Bosch:

    Annett Fischer

    Annett.Fischer@bosch.com

    +49-7062-911-7837

SOURCE: Argus Cyber Security and The Bosch Group