これまでは タイヤ空気圧を監視するためのシンプルな安全システム これは監視と個人データに関する議論の中心となっている。マドリードを拠点とする欧州の調査では、これらのセンサーは実際には次のようなことを可能にしていると主張されている。 何千台もの車両の動きを静かに追跡する 飼い主に知られることなく。
この仕事は、 マドリード高等研究所 IMDEAネットワーク ヨーロッパ大陸の複数のパートナーと共同で、これまでほとんど気づかれていなかったリスクを指摘しています。それは、タイヤ空気圧監視システム(TPMS)の無線信号です。 暗号化されずに固有の識別子とともに送信されるこれにより、比較的シンプルな機器を持つ人なら誰でも再構築できるようになります。 運転の旅程、スケジュール、ルーチン.
TPMS とは何ですか? なぜほとんどすべての車に搭載されているのですか?
El タイヤ空気圧監視システム(TPMS) これは車両の標準装備となっている。 欧州連合は2014年から新車乗用車に義務付けている2012年に新モデルから段階的に導入が開始され、米国では2000年代半ばから義務付けられています。その公式目的は明確です。 交通安全を改善するパンクを減らし、パンクを適時に検出し、燃料消費と排出量を最適化します。
ダイレクトTPMS搭載車では、 各車輪のタイヤ内には小さなセンサーが内蔵されているこの装置は圧力と、多くの場合温度も測定し、定期的に無線信号を介して車載コンピュータに情報を送信します。圧力が一定の閾値を下回ると、計器盤が 警告灯が点灯する ドライバーが車輪を確認できるようにするためです。
これらのシステムはすでに導入されています。 市場に導入されてほぼ20年 無線通信の設計に大きな変更を加えることなく、これらの技術を利用できるようにした。設計当初は、信頼性の高いドライバーアラートの確保が優先され、空中を伝わる情報の保護はそれほど重視されていなかった。 自動車サイバーセキュリティ 研究者たちが今指摘しているのはまさにそれだ。
IMDEAチーム自身が行っているように、次の2つを区別することが重要です。 直接型および間接型TPMS直接システムは無線周波数を発するセンサーを使用するため、傍受される可能性があります。間接システムは、ABSやスタビリティコントロールなどの他のシステムから圧力を計算します。 識別可能な信号を生成しないしたがって、同じ追跡問題は発生しません。
IMDEA Networksの発見:数百万の信号と20.000万台の車両
TPMSが監視ツールとしてどの程度使用できるかをテストするために、IMDEA Networksの研究者は 10週間のフィールドスタディその期間中、彼らは 低コストの無線受信ネットワーク 戦略的なポイント:道路の一部、出入り口、屋外駐車場、駐車場。
これらのレシーバーのそれぞれ、チームの詳細は、約 100ドル(約90~100ユーロ) そして、手頃な価格のハードウェアで実行できる Raspberry Piとシンプルな無線モジュールその最小限のインフラで、彼らは収集することができました 600万件以上の無線メッセージ 世界中から来た 20.000台の異なる車両.
収集されたデータには、主にシステムに関する機能情報と タイヤ空気圧の測定値— もう一つの、より繊細な要素として、 各センサーに関連付けられた一意の識別子これらのコードを時間の経過とともに、そして様々な場所で分析することで、チームは 特定の車の動きのパターンを再構築する.
IMDEA Networksの研究教授であり、この論文の著者の一人であるDomenico Giustiniano氏は、問題の範囲を次のように要約している。 「これらの信号は車両を追跡し、その移動パターンを学習するために使用できます。」そこから推測できるのは 毎日やること たとえば、職場への到着時間、特定の地域への定期的な訪問、長距離旅行の習慣などです。
研究者たちはさらに一歩進んで 彼らは同じ車両の4つのタイヤからの信号をグループ化する方法を開発した。このホイールの組み合わせにより、さらに細かい識別が可能になり、エラーが減り、 車が到着、出発、またはルートを繰り返すタイミングをより正確に特定する 都市部または都市間環境において。
TPMS信号が追跡に最適な理由
この問題の最もデリケートな側面の一つは、TPMSが 視線を必要としない交通カメラや自動ナンバープレート読み取り機とは異なり、センサーから発せられる無線信号は空気中を伝わり、 壁、他の車両、構造要素を通過できます。 比較的簡単に、車が見えなくても信号を受信することができます。
実施されたテストでは、IMDEAチームはTPMS排出ガスが 50メートル以上の距離から撮影されます車両が走行中の場合も、 建物内に駐車つまり、道路や屋根付き駐車場の入り口に設置された受信機は、通過する車や駐車中の車の音を聞くことができます。
重要なのは、各圧力センサーが 固定かつ一意のIDこの識別子は時間の経過とともに変化せず、ナンバープレートやドライバーにも依存しません。実際には、 「ワイヤレスナンバープレート」 車両の全寿命に渡って付随するものです。 暗号化または認証適切な受信機があれば誰でもキャプチャできます。
識別に加えて、データフレームには以下が含まれます。 圧力測定値一見無関係な情報のように思えるかもしれないが、他の要素と組み合わせることで、次のような詳細を推測することができる。 車両が軽いか重いか通常、荷物を積んで移動するか空で移動するかを判断したり、圧力の範囲と時間の経過に伴う動作に基づいて乗用車とトラックを区別したりします。
これらすべてにより、TPMS は画像ベースのシステムに比べていくつかの利点を備えた監視ツールになります。 照明に依存しない カメラの位置も関係なく、複雑な視覚処理も必要なく、 より安価で、より目立たないです。市内に点在する小型受信機のネットワークは、疑いを持たれることなく、何ヶ月も車両の通過を記録することができる。
道路の安全からサイバーセキュリティの課題まで
研究者たちは、TPMSの本来の目的は、 摩耗したタイヤによる事故を減らす問題は機能ではなく、通信の設計にあります。TPMS はサイバーセキュリティではなく道路の安全のために設計されました。IMDEA Networks在籍時にこの研究に参加した研究者ヤゴ・リザリバー氏はこう回想する。
現在、ほとんどの 欧州の車両に適用されるサイバーセキュリティ規制 テレマティクスユニット、ソフトウェアアップデート、モバイル接続、リモートアクセスなど、より目に見えるコネクテッドシステムに焦点を当てています。しかし、 「安全」とみなされるセンサータイヤの空気圧などの重要な要件は、規制文書で具体的に言及されることはほとんどありません。
この特定の要件の欠如は、多くのコンポーネントが引き続き使用されていることを意味します。 プレーンテキストプロトコル暗号化や最低限の認証メカニズムがなければ、センサーはデータを暗号化できず、固定された識別子を送信し続けることになる。IMDEAチームは、このリスクを次のように明確にまとめている。 彼らは受動的な監視の格好の標的であり続けるだろう 第三者による。
コネクテッドカー、そして場合によっては自動運転車への絶え間ない進歩は、露出面積を増加させます。IMDEAの元博士課程学生で、現在はマドリード・カルロス3世大学の教授であるアレッシオ・スカリギ氏は、次のように強調しています。 一見無害に見えるデータも、大規模に収集されると強力な識別子となる可能性がある。それは特定の車だけの問題ではなく、 完全なモビリティフローをマップする 近隣地域、工業団地、または都市間軸において。
この文脈では、TPMS はより広範な問題を示しています。 多くの車両センサーはアナログ環境で生まれました。接続性が制限されたこれらの技術は、徹底的なセキュリティレビューも行われないまま、ますますデジタル化が進むプラットフォームに統合されてきました。その結果、高度にセキュリティの高いモジュールと、20年前と同じように通信を続けるモジュールが共存する、技術の寄せ集め状態が生まれています。
追加のリスクと潜在的な悪意のある使用
ルートの体系的な追跡以外にも、この研究はこれらの信号の潜在的に望ましくない用途を指摘している。TPMSがオープンな情報を送信するという事実は、例えば技術的に実現可能である。 偽のメッセージを挿入する パンクや急激な圧力低下をシミュレートする。これは 予期せぬ停止を強制する 特定の場所にドライバーを配置します。
これらの状況はIMDEAの調査の中核を成すものではないが、 理論的な攻撃シナリオ これらは、車の電子システムの一部がいかに危険にさらされているかを示している。十分な知識を持つ攻撃者は、 存在しない圧力アラート 道路上の特定の地点で、安全と公共の秩序に影響を与える可能性があります。
また、輸送車両や配送車両の場合、 TPMS識別子と充電パターン これにより、トラックが通常いつ積載されるか、どのようなルートを通るか、あるいは最も危険にさらされる時間帯を推測することが可能になります。企業や政府機関にとって、これは次のような議論のきっかけとなります。 物流情報の保護 そして重要なインフラ。
専門家は、この問題は特定の国に限ったものではないと指摘している。 TPMS の義務使用は、ヨーロッパおよびその他の先進市場の大部分に影響を及ぼします。潜在的な追跡対象範囲は非常に広範囲に及びます。スペインから他の加盟国に至るまで、現在、非常に類似したアーキテクチャを持つタイヤ空気圧センサーを搭載した何百万台もの乗用車、バン、トラックが路上を走行しています。
したがって、規模の問題が生じる。アマチュアが安価な受信機で技術的に何ができるのか? より多くのリソースを持つ俳優によって実行されることもできます。 そして、広範囲なセンサーネットワークを展開する能力も備えている。そのため、チームは システム設計の問題であり、個別のケースの問題ではない.
ドライバーのプライバシーを保護するために何が提案されていますか?
このような状況を踏まえ、IMDEAネットワークグループはいくつかの行動方針を提案しています。まず、通信分野ではほぼ常識となっているのは、 暗号化とデジタル認証を組み込む TPMS排出ガス規制に準拠しています。コンテンツを暗号化することで、第三者による圧力データの解読と車両の特定を防ぎ、認証メカニズムにより偽のメッセージの挿入を困難にします。
検討されているもう一つの選択肢は 静的識別子の使用を避けるセンサーに生涯固定のIDを割り当てる代わりに、 識別子のローテーションや仮名の変更これは、一部のモバイルアプリケーションや無線通信のプライバシープロトコルで行われていることと似ています。そのため、たとえ誰かが信号を傍受できたとしても、そのコストははるかに高くなります。 同じ車の軌跡を時間の経過とともに追跡する.
チームはメーカーに対し、 既存のアーキテクチャを確認する 可能な場合には、間接的なシステムやハイブリッド設計の使用を検討する。 識別可能な無線周波数への依存を減らすいずれにせよ、研究者たちは、これらの変更は承認された部品や世界的なサプライチェーンに影響を与えるため、一夜にして行うことはできないことを認識している。
同時に、欧州および各国の規制当局は、 TPMSなどのシステムを車両のサイバーセキュリティ規制に明示的に含める要件は、車のインターネット接続などの最も目に見えるユニットに限定されるべきではなく、むしろ モバイルネットワークに接続せずに無線で情報を送信するセンサーも含まれる。.
エンドユーザーの観点から見ると、現状では対応の余地はほとんどありません。TPMSは車両システムの一部であるため、ドライバーがTPMSを法的に取り外すことはできません。 道路安全のための必須装備また、自分の車がどのようなシステムを採用しているのか、情報がどのように伝達されているのかを知る簡単な方法もありません。そのため、専門家は解決策は 業界と規制の分野で活動する責任をユーザーに移すのではなく。
IMDEAネットワークスの調査によると、パンクを警告するために設計された部品は、大きな技術的複雑さなしに、 位置情報と運転習慣に関する継続的なデータソース保護対策が設計と欧州規格に導入されるまで、圧力センサーは、自動車技術がいかにありふれたものであっても、 車を運転する人のプライバシーに直接影響を及ぼす可能性があります。.
