セキュリティ研究者は、テスラのオーナーに人気のオープンソースのログツールに見つかったセキュリティバグにより、テスラ車が直接インターネットに公開されてしまったため、世界中の何十台ものテスラ車にリモートアクセスできたと述べた。
この脆弱性に関するニュースは、今月初め、ドイツのセキュリティ研究者デビッド・コロンボ氏のツイートで初めて明らかになった。コロンボ氏は、25台以上のテスラを「完全にリモートコントロール」できたものの、詳細を公表せず、悪意のあるハッカーに警告することなく、影響を受けるテスラの所有者に問題を知らせるのに苦労していると述べた。
コロンボ氏は、バグは修正されたことを確認した。TechCrunchは、脆弱性が悪用されなくなるまでこの記事を掲載した。コロンボ氏はブログ記事で調査結果を発表した。
コロンボ氏はTechCrunchに対し、脆弱性はTeslaMateに発見されたと語った。TeslaMateは、テスラオーナーが車両に接続し、通常は隠されている車両データ(車両のエネルギー消費量、位置情報、運転統計、その他の詳細なデータ)にアクセスするために使用する、無料でダウンロードできるログソフトウェアだ。これらのデータは、問題のトラブルシューティングや診断に役立てられる。TeslaMateは、テスラ愛好家の自宅のパソコンでよく使われるセルフホスト型のウェブダッシュボードで、テスラのAPIにアクセスすることで、車両オーナーのアカウントに紐付けられた車両データにアクセスしている。
しかし、匿名アクセスを許可したり、一部のユーザーが変更したことのないデフォルトのパスワードを使用したりといったウェブダッシュボードのセキュリティ上の欠陥と、一部のテスラ所有者による誤った設定が相まって、少なくとも100台のTeslaMateダッシュボードがインターネットに直接公開され、その中にはテスラを遠隔操作するために使用する車両所有者のAPIキーも含まれていた。
コロンボ氏はテッククランチとの電話インタビューで、影響を受けるテスラの台数はさらに多い可能性があると述べた。
コロンボ氏は、昨年、TeslaMateのダッシュボードがデフォルトで保護されていないことに気づいたと述べた。ダッシュボードが露出しているのを偶然発見したのがきっかけだった。インターネットでさらに露出しているダッシュボードを探した結果、英国、ヨーロッパ、カナダ、中国、そして米国全土で、露出しているテスラ車を発見した。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
しかし、ダッシュボードが露出したテスラのオーナー一人ひとりと連絡を取るのは至難の業であり、多くの場合、影響を受けたテスラの顧客と連絡を取る方法を正確に見極めることは不可能だとコロンボ氏は説明した。
さらに悪いことに、公開されたダッシュボードからテスラユーザーのAPIキーを抽出でき、悪意のあるハッカーがドライバーに知られることなくテスラ車に長期アクセスし続けることが可能になりました。(APIは、インターネットを介して2つのもの、つまりテスラ車とテスラのサーバー、つまりテスラアプリやTeslaMateダッシュボードが相互に通信することを可能にします。)テスラのAPIへのアクセスは、オーナーアカウントに関連付けられたプライベートAPIキーを通じてテスラオーナーのみに制限されています。
コロンボ氏は、公開されたAPIキーにアクセスすることで、ドアや窓のロック解除、クラクションの鳴らし方、キーレスドライブの開始など、車の一部の機能を遠隔操作できたと述べた。これはアイルランド在住のテスラオーナーに確認済みだ。また、車の位置データ、最近の走行ルート、駐車場所といった車内のデータにもアクセスできた。コロンボ氏は、APIアクセスを利用してインターネット経由で車両を遠隔操作することは不可能だと考えている。
コロンボ氏は、セキュリティ問題はテスラのインフラに原因があったわけではないが、業界の標準慣行であるパスワード変更時に顧客のAPIキーを取り消すなど、テスラはセキュリティを向上させるためにさらに多くの対策を講じることができると述べた。
TeslaMateは脆弱性を非公開で報告した後、ユーザーがアクセスを防ぐために手動でインストールする必要があるソフトウェア修正をリリースしました。TeslaMateプロジェクトのメンテナーであるAdrian Kumpf氏は、TechCrunchに対し、アップデートはColombo氏のメールを受け取ってから数時間以内に配信されたと述べました。Kumpf氏はメールの中で、このソフトウェアは自己ホスト型であるため、ユーザーが誤ってシステムをインターネットに公開することを防ぐことはできないと述べ、TeslaMateのドキュメントでは以前から「Tesla APIトークンが危険にさらされる可能性があるため、自宅のネットワークにソフトウェアをインストールする」ように警告してきたと付け加えました。また、高度なインストールオプションを選択したユーザーには影響はないはずだとKumpf氏は付け加えました。
コロンボ氏はTechCrunchに対し、テスラが数千人のドライバーのAPIキーを失効させたと述べた。これは、当初考えられていたよりも問題が広範囲に及んでいた可能性を示唆している可能性がある。テスラは記事掲載前にコメント要請に応じなかった。(テスラは2020年に広報チームを廃止した。)
続きを読む:
- ペロトンの漏洩APIにより、誰でもライダーのプライベートアカウントデータを入手可能
- 最新のトランプ支持ソーシャルネットワーク「Gettr」はすでに混乱状態
- エシェロン、漏洩したAPIによりライダーのアカウントデータを公開
- Shopifyは、2人のサポートスタッフが販売者から顧客データを盗んだと発表
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
