人気のGPSトラッカーのセキュリティ欠陥により、100万台の車両の位置情報が漏洩している

新たな調査によると、中国製の人気GPS車両追跡装置にセキュリティ上の脆弱性があり、これを悪用すれば、世界中で少なくとも100万台の車両を追跡し、遠隔でエンジンを停止させることが可能だという。さらに悪いことに、このGPS追跡装置を製造している企業は、この脆弱性を修正する努力を一切行っていない。

サイバーセキュリティのスタートアップ企業BitSightは、深圳に拠点を置く電子機器メーカーMiCODUS社製の有線GPSトラッカー「MV720」に6つの脆弱性を発見したと発表した。MiCODUS社は現在、車両保有企業、法執行機関、軍隊、各国政府など、世界42万社以上の顧客に150万台以上のGPSトラッカーが使用されているとしている。BitSightは報告書の中で、フォーチュン50企業や原子力発電所運営会社が使用しているGPSトラッカーも発見したと述べている。

しかし、このセキュリティ上の欠陥は簡単に遠隔から悪用され、あらゆる車両をリアルタイムで追跡したり、過去のルートにアクセスしたり、走行中の車両のエンジンを停止したりすることが可能になる。

TechCrunchが公開前に確認したレポートを執筆したBitSightの主席セキュリティ研究者、ペドロ・ウンベリーノ氏は、これらの脆弱性は「悪用するのは難しくない」とし、欠陥の性質上「他のモデルの脆弱性について重大な疑問が残る」と述べ、バグがMiCODUSのGPSトラッカーの1つのモデルに限定されない可能性があることを示唆した。

バグの深刻さと修正方法がないことを考慮して、BitSightと米国政府のサイバーセキュリティ諮問機関CISAはともに、リスクを軽減するためにできるだけ早くデバイスを取り外すよう車両所有者に警告した。

6つの脆弱性は、深刻度と悪用可能性がそれぞれ異なりますが、1つを除いてすべて「高」以上の深刻度に分類されています。バグの一部はGPSトラッカー自体に存在し、その他は顧客が車両群を追跡するために使用するWebダッシュボードに存在します。

最も深刻な欠陥は、ハードコードされたパスワードです。このパスワードを悪用されると、あらゆるGPSトラッカーを完全に制御でき、車両のリアルタイム位置情報や過去の走行ルートにアクセスし、遠隔操作で車両への燃料供給を停止することができます。パスワードはAndroidアプリのコードに直接埋め込まれているため、誰でもコード内を解読して見つけることができます。

テッククランチイベント

サンフランシスコ | 2025年10月27日～29日

調査では、GPSトラッカーのデフォルトパスワードが「123456」に設定されており、デバイスのパスワードを変更していないGPSトラッカーであれば誰でもアクセスできることも判明しました。BitSightは、テストした1,000台のデバイスサンプルのうち95%がデフォルトパスワードを変更せずにアクセス可能だったことを明らかにしました。これは、デバイスの所有者がセットアップ時にパスワードの変更を求められないことが原因と考えられます。

残りの脆弱性のうち 2 つは、安全でない直接オブジェクト参照 (IDOR) と呼ばれ、ログインしたユーザーが自分のものではない脆弱な GPS トラッカーのデータにアクセスし、過去の位置情報や経路などのデバイス アクティビティを含むスプレッドシートを生成できるというものです。

研究者らは、世界中で脆弱なMiCODUS製GPSトラッカーを発見したと述べており、ウクライナ、ロシア、ウズベキスタン、ブラジルに加え、スペイン、ポーランド、ドイツ、フランスを含むヨーロッパ全域でデバイスの集中度が最も高かった。BitSightの広報担当者ケビン・ロング氏はTechCrunchに対し、米国で確認されたデバイスの割合は少ないものの、その数は「数千」台に上る可能性があると語った。

BitSightのCEO、スティーブン・ハーベイ氏は、これらの脆弱性は影響を受ける車両の所有者に「壊滅的な結果」をもたらす可能性があると述べた。同社は2021年9月にMiCODUSに初めて連絡を取ったが、報告書の公表前に脆弱性を修正する努力は行われなかった。セキュリティ研究者は通常、脆弱性が公開される前に企業に3ヶ月間の修正期間を与え、開発者には脆弱性の詳細が公開される前に修正を行う時間を与えている。

MiCODUSは、本記事の公開前に送られたTechCrunchのコメント要請に応じなかった。

サードパーティ製ソフトウェアの欠陥により、数十台のテスラがリモートアクセスにさらされた