英国のサイバーセキュリティ企業Pen Test Partnersは、6つの家庭用電気自動車充電器ブランドと大規模な公共EV充電ネットワークに複数の脆弱性を発見しました。充電器メーカーは問題の大半を解決しましたが、今回の発見は、今後私たちの家庭や車にほぼ遍在することになるIoTデバイスの世界における、規制の不備を示す新たな事例となっています。
5つの異なるEV充電ブランド(Project EV、Wallbox、EVBox、EO ChargingのEO HubとEO mini pro 2、Hypervolt)と公共充電ネットワークChargepointに脆弱性が確認されました。Rolecも調査されましたが、脆弱性は見つかりませんでした。
セキュリティ研究者のヴァンゲリス・スティカス氏は、さまざまなブランドにセキュリティ上の欠陥が複数あることを発見した。これらの欠陥により、悪意のあるハッカーがユーザーアカウントを乗っ取ったり、充電を妨害したり、さらには充電器の1つを所有者のホームネットワークへの「裏口」にしたりすることが可能になった可能性があるという。
公共充電ステーション ネットワークへのハッキングの結果、ドライバーのアカウントを犠牲にして電力が盗まれたり、充電器のオン/オフが切り替えられたりするおそれがあります。
Wallbox や Hypervolt などの一部の EV 充電器では、愛好家やプログラマーがよく使用する低価格のコンピューターである Raspberry Pi コンピューティング モジュールが使用されていました。
「Piは趣味や教育用のコンピューティングプラットフォームとしては素晴らしいが、いわゆる『セキュアブートローダー』がないため、商用アプリケーションには適していないと我々は考えている」とPen Test Partnersの創設者ケン・マンロー氏はTechCrunchに語った。
「つまり、家の外(つまり充電器)に物理的にアクセスできる人なら誰でも、充電器を開けてWi-Fiの認証情報を盗むことができるということです。確かにリスクは低いですが、充電器メーカーが私たちにさらなるリスクを負わせるべきではないと思います」と彼は述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
マンロー氏は、このハックは「実にシンプルです」と述べ、「5分でやり方を教えられますよ」と付け加えた。
先週末に発表された同社のレポートでは、EVRoaming Foundationが維持・管理するOpen Charge Point Interface(OCPI)などの新興プロトコルに関連する脆弱性について触れています。このプロトコルは、異なる充電ネットワークや事業者間での充電をシームレスにするために設計されています。
マンロー氏はこれを携帯電話のローミングに例え、ドライバーが普段利用している充電ネットワーク以外のネットワークを利用できるようにした。OCPIは現在広く普及していないため、これらの脆弱性はプロトコルの設計から排除できる可能性がある。しかし、対処されなければ、「あるプラットフォームの脆弱性が別のプラットフォームの脆弱性を引き起こす可能性がある」とスティカス氏は説明した。
交通手段の電化が進み、電力網を流れる電力量が増えるにつれ、充電ステーションへのハッキングは特に深刻な脅威となっています。電力網は電力消費量の大きな変動を想定して設計されていません。しかし、大規模なハッキングによって十分な数のDC急速充電器がオンオフされれば、まさにそのような事態が発生する可能性があります。
「電力網を遮断して過負荷状態にするのに、それほどの労力はかかりません」とマンロー氏は述べた。「我々はうっかり、他者が我々に攻撃を仕掛ける可能性のあるサイバー兵器を作ってしまったのです。」
サイバーセキュリティの「ワイルド・ウェスト」
電力網への影響はEV充電器に特有のものですが、サイバーセキュリティの問題はそうではありません。日常的なハッキングは、IoTデバイスに蔓延するより根深い問題を浮き彫りにしています。IoTデバイスでは、市場への先駆けが堅牢なセキュリティよりも優先されることが多く、規制当局はイノベーションのスピードに追いつくのがやっとの状態です。
「法執行はほとんど行われていません」と、コンシューマー・レポートの消費者プライバシーおよびテクノロジー政策担当ディレクター、ジャスティン・ブルックマン氏は最近のTechCrunchのインタビューで語った。米国におけるデータセキュリティの法執行は連邦取引委員会(FTC)の管轄である。しかし、汎用的な消費者保護法は存在するものの、「セキュリティが不十分なシステムを構築することは違法となる可能性は十分にあります。問題は、法執行を受けるかどうかです」とブルックマン氏は述べた。
別の連邦法案「モノのインターネットサイバーセキュリティ改善法」が昨年9月に可決されたが、適用範囲は連邦政府にのみ広く適用される。
州レベルでは、わずかな動きしかありません。カリフォルニア州は2018年に、2020年以降、新しい家電製品におけるデフォルトパスワードの設定を禁止する法案を可決しました。これは確かに有益な進歩ですが、データセキュリティの負担は消費者に大きく委ねられることになります。カリフォルニア州に加え、コロラド州やバージニア州も、IoTデバイスに適切なセキュリティ対策を義務付ける法律を可決しています。
こうした法律は良いスタートと言えるでしょう。しかし、(良くも悪くも)FTCは、消費者向け製品が市場に出る前に監査を行う米国食品医薬品局(FDA)とは異なります。現状では、消費者に届く前のテクノロジー機器に対するセキュリティチェックは行われていません。一方、英国では「今、こちらもまるで無法地帯です」とマンロー氏は言います。
この問題に取り組もうとするスタートアップ企業がいくつか登場しています。その一つがThistle Technologiesで、IoTデバイスメーカーがソフトウェアにセキュリティアップデートを受け取るための仕組みを統合できるよう支援しています。しかし、民間企業だけでこの問題を完全に解決できる可能性は低いでしょう。
EV充電器は電力網に特有の脅威となる可能性があるため、重要インフラ法案の対象となる可能性があります。先週、ジョー・バイデン大統領は、重要インフラ関連システムのサイバーセキュリティ強化を求める覚書を発表しました。「このインフラを制御するシステムの劣化、破壊、または故障は、米国の国家安全保障と経済安全保障に重大な損害をもたらす可能性があります」とバイデン大統領は述べています。これが消費者向け製品に波及するかどうかは別の問題です。
訂正:記事を更新し、研究者らがRolecの家庭用EV充電器に脆弱性を発見しなかったことを追記しました。最初の段落は以前の編集ミスを修正しました。
企業のセキュリティ攻撃者はパスワード一つで最悪の一日を過ごす
カリフォルニア州、接続デバイスのデフォルトパスワードを禁止する法律を可決
