日産「リーフ」にリモートアクセスの脆弱性、研究者ら指摘

日産自動車が同社のリーフなどEV向けに提供しているモバイルアプリ「日産EV」の利用を停止した。このアプリはサブスクリプション契約を結んでいるユーザーに、遠隔からEVのバッテリー充電状況の確認、充電の開始、充電完了の通知、走行距離の確認、環境制御システムのオン・オフなどの切り替え機能を提供するもの。

2月24日(米国時間)、Threatpostに掲載された記事「Nissan Car Hack Allowed Remote Access To Car｜Threatpost｜The first stop for security news」が、同アプリのリモートアクセス機能に脆弱性が存在すると指摘。同様の指摘が複数のメディアに掲載されている。これら報道はセキュリティ研究者であるTroy Hunt氏が2月24日(米国時間)に公開した記事「Controlling vehicle features of Nissan LEAFs across the globe via vulnerable APIs｜troyhunt.com」を引用する形で行われている。

Threatpostでは日産のスポークスマンが同メディアに伝えた内容を引き合いに出し、NissanConnect EV(旧名：CARWINGS)を利用するためのサーバを停止したこと、現状でもNissan Owner Portal Webサイト経由であればオーナーは安全に同機能を利用できること、この脆弱性によるインシデントは報告されていないことなどを伝えている。今回の脆弱性の影響は約20万台のリーフおよびeNV200が受けるとされている。

一方、日産自動車は公式サイトで、「スマートフォンアプリにおいて、不特定の第三者がEV-ITリモート機能を利用できる状態が判明しました。そのため、現在、本アプリは当機能を停止しております。また、専用サイト（N-Link OWNERS、日産ゼロ・エミッションサイト）からの操作は可能となっておりますので、専用サイトをご活用ください。なお、LEAFおよびe-NV200におけるクルマの運転に関わる機能・個人情報漏洩などの心配はございません」と告知している。