ハクソク

世界を動かす技術を、日本語で。

現代自動車、Ioniq 5の顧客にサイバーセキュリティパッチの支払いを求めるという不可解な動き

282日前原文(neowin.net)

概要

Hyundaiは、Ioniq 5のセキュリティ脆弱性に対するパッチを有料で提供開始。 英国で£49(約$65)の「オプション」アップグレードとして案内。 該当脆弱性は、特殊機器による車両ハッキング被害が背景。 メーカー側の説明は「進化する脅威への対応」として費用請求を正当化。 米国では同様の有料オファーは未確認。

Hyundai、Ioniq 5のセキュリティパッチを有料提供

  • HyundaiがIoniq 5の サイバーセキュリティ脆弱性 に対し、 有料パッチ 提供を英国で開始
  • 特殊な ハッキングデバイス により、Ioniq 5やKia EV6、Genesis GV60などが 盗難被害 を受ける事例が報告
  • 該当デバイスは Game Boy型 で、車両の 無線プロトコル を突破可能
  • Hyundaiは ソフトウェアおよびハードウェア のアップグレードを「オプション」として案内、費用は £49(約$65)
  • アップグレード提供は 英国限定、米国では同様の案内なし
  • ユーザーは VIN(車体番号) を専用ポータルで入力し、 アップグレード対象か確認 可能
  • 対象車両の場合、 費用対効果の判断 が必要

有料化の背景とメーカーの主張

  • Hyundaiは「 Ioniq 5は現行規格に準拠し開発・認証 済み」と説明
  • 新たなサイバー脅威が「 進化した問題」と認識し、 追加対応の費用負担 を正当化
  • サブシダイズド(補助的)アップグレード」と称し、実費より安価と主張
  • 近年のEVは 最新基準で製造 されているため、消費者からは 不満や疑問 の声も
  • 車両盗難用デバイスの価格は 約$20,000、普及率は低いと見られる

消費者への影響と今後の動向

  • セキュリティ脆弱性への対応が 有料化 される流れ
  • 自動車メーカーの 責任範囲 と、消費者負担の 線引き問題
  • 今後、他メーカーや他国での 同様事例増加の可能性
  • サイバー脅威の進化に伴う 継続的なアップデート体制 の必要性
  • 消費者による 費用対効果・リスク評価 の重要性

Hackerたちの意見

もっといいリンクかも: https://www.theverge.com/news/757205/hyundai-ioniq-5-securit...

これもイライラするけど、別の理由でね。> 2023年には「キアボーイズ」の攻撃があって、USBケーブルを使って車のセキュリティシステムをバイパスできたんだ。このUSBケーブルはスターターメカニズムを作動させるのにちょうどいいサイズだった。似たような寸法の物なら何でも使えたってことだし、その部分のキアのセキュリティデザインがどれだけひどかったかを際立たせてるよ。

開発コストはタダじゃないし、追加のハードウェアも必要なのは分かるけど、個人的にはこれをマーケティングコストとして扱うべきだと思う。

前回車を買うときにアイオニックを考えたけど、もう二度と考えないだろうな。

それを言うのは簡単だけど、実際にお金を払うのは自分じゃないからね。

マーケティングコストですらなくて、製品の不具合を直すための遅れたエンジニアリングコストだね。

これ、クリックベイトみたいなタイトルだね。「パッチ」ってハードウェアのアップグレードに使われるの聞いたことないし。

パッチはハードウェアじゃないと思うよ。彼らが言ってるハードウェアは、エクスプロイトを実行する「ゲームボーイみたいなデバイス」のことだし。

「『パッチ』という用語は、初期の電話やラジオスタジオで使われていたもので、待機中の追加機器が故障したデバイスの代わりに一時的に置き換えられることから来ている。」 - からの引用だけど、この記事では「パッチ」って言葉がちょっと変に感じるね。普通に「アップグレード」か「修理」って言えばいいのに。

ハードウェアを交換してるから、労働コストを補うためにお金を請求してるんだよね。これが正当化されるとは言わないけど、タイトルはちょっと誤解を招くよ。

タイトルはちょっと誤解を招くけど、エクスプロイトに対処するのは一種のパッチみたいに感じるね。でも確かに、「パッチ」って通常はソフトウェアを指すよね。どっちにしても、ハンディが盗難を防ぐためにコストを負担すべきだって他のコメントにも同意するよ。そうは言っても、車の値段を考えると、その料金は全く不合理ってわけでもないかな。

それは関係ないよ。もし顧客が不良品を買ったら、売り手が正常なハードウェアに交換する責任があるよね。ブレーキに製造欠陥があったら、顧客に交換費用を払わせるなんてありえないよ。

ソフトウェアの入れ替え、ペンテスト、テスト、QA、CI/CDパイプライン、イメージキャッシュも無料じゃないよ。それなら、CVEを修正するためにソフトウェア開発者としてもっとお金を稼げるようにしようか?私たちはもっと低い基準で自分たちを考えるべきだね。リクエストが5xxエラーになってる?それを直すためにもっと払ってよ、リクエストが失敗してるのは私の問題じゃないから。

ハードウェアの交換費用とソフトウェアの交換費用がなんで違う扱いになるの?

「ゲームボーイみたいなデバイス」って、RFロールコードを悪用するファームウェアが入ったFlipper Zeroのことを指してるのかな?

たぶんそうだね。

こんなのを話してるんじゃないかな?

いや、ゲームボーイみたいな専用のハードウェアデバイスだよ。約5年前のもので、フリッパーファームウェアは約6ヶ月前のものだけど、まだ便利さや普及度が足りない。実際のファームウェアのエクスプロイトは同じアイデアだよ。

ちょっと気になるんだけど、これとこの前のVWのパワーアンロックの支払い、どちらもイギリス市場を狙ってるよね。イギリスではこういうことを許す法律がないのかな?

イギリスでは、どんな方法でも車を盗むのは違法だよ。ポケットに「ゲームボーイみたいなデバイス」を持ってるだけで「装備している」と見なされて、家の外で見つかったら逮捕されるからね。言い訳は通用しないよ。イギリスには新車がたくさんあって(リースやPCP、HPのプランも安いし)、車両盗難の低レベルの流行があって、数時間以内にコンテナに詰め込まれて国外に出て行くことも多いんだ。車の保険もイギリスでは高いから、盗まれやすい人気の車(例えば数年前のレンジローバー)を持っていると、リスクを考慮した価格が特に高く感じないんだよね。イギリスは中東やアフリカへの輸送が盛んだから、経済的には良いけど、いろんな悪事を隠すのにも便利なんだよ。

バカなEVが欲しい。インフォテインメントシステムはなしで、スピーカーとデバイスをつなげる方法だけあればいい。車にとって重要な部分は完全に隔離されてて、ソフトウェアは絶対に最小限、できればゼロがいいな。

Slateトラックをチェックしてみて。これも欲しいし、完璧そうだね。窓も下ろせるし。実際に発売されることを祈ってるよ。

アメリカの新車には、バックカメラの要件があるから、基本的なスクリーンは必ずあるよ。

私たちはフォルクスワーゲンのe-Upを持ってるけど、基本的にそれだよ。アナログのメーター、世界一小さいバックカメラの映像を表示する小さなラジオ画面、そして携帯電話用のダッシュボードマウントがある。素晴らしい小さな車で、正直言って400馬力のボルボXC60よりも好きだよ。

全体のパッケージより安く売ってくれるところはないよ。スマートテレビとデジタルサイネージディスプレイ、つまりダムテレビの違いも見てみて。

https://configurator.microlino-car.com/en/edition-microlino?...

ダチア・スプリングのベースレベル、エクスプレッショントリムを選ぶと、インフォテインメントシステムなしのEVが手に入るよ。: https://www.dacia.co.uk/hybrid-and-electric-range/spring-cit...

同意だね。実はEVを買いたいんだけど、今のところ最低限の条件を満たす候補がないんだ。条件は君が言ったことに加えて、アフターマーケットパーツで修理できること、ナトリウムイオンバッテリーを使ってること、そして今の新車みたいに超ダサくないこと(例:リビアンやVW IDバズみたいな)。でも、ヨーロッパでは新車に特定の「スマート」機能が求められてるから、もうそんな車は合法的に作れないんじゃないかな。もしかしたら、そういうEVのメーカーが、ユーザーが簡単に取り出して捨てられるような一つのボックスに全部詰め込むことができるかもしれないね。

そんな車は法律に合わないよ。もしくは、あらゆるトラッキングシステムやドライバーアシストはあるけど、インフォテインメントはない車のことを言ってるの? どちらにしても、そんなのを買いたい人は大多数じゃないよ。さらに言えば、アメリカでは大多数の人が車を買いたいわけじゃない。SUVやトラックが人気なんだ。

車のイグニッションやドアロックが、簡単にシムを入れられたり、どんなキーでも操作できるように設計されてたら、顧客がその機構をちゃんとしたものに交換するためにお金を払うべきだって言うのはおかしいよね。少なくとも、私の理解ではそんな感じだよ。

確かに話の展開は悪いけど、もし欠陥ブレーキの車が出荷されたことがわかったら、顧客にその費用を払わせるのも同じくらい問題だと思う。これは製品のエラーであって、使用による摩耗やユーザーエラーじゃないから、会社がそのコストを負担すべきだよ。でも、サイバーセキュリティの観点からそれを持ち出して、消費者に費用を押し付けようとしてるのが見えるね。

ヒュンダイ・アイオニックについてはわからないけど、キア・ニーロはキーレスエントリーを永久に無効にする方法がないんだ。これが明らかに簡単なソフトウェアの修正なのにね。車をロックするたびに、リモコンのボタンを数秒間押し続ければ無効にはできるけど、次にアンロックすると自動で再有効化されちゃう。キアを買わない賢い選択をする前に知っておくべきことはこれだよ。安い理由があるんだ。でも、彼らの視点から見ると、イギリスで最も盗まれている車なんだよね。ブランドはあまり影響を受けてないみたい。ひどいセキュリティが逆に売上を助けてるんだ!

ひどいセキュリティが逆に売上を助けてるんだ! 規制当局に禁止されるか、保険に入れなくなるまではね…

私の2021年モデルのアイオニック5にはキーレスエントリーが全くないんだ。ドアを開けるにはボタンを押さなきゃいけないよ。

これは国連の規則155/156に違反してるよ。販売者は安全やサイバーセキュリティの違反があった場合、無料で修正やアップデートを提供しなきゃいけないからね。特にCANバスが関わってるから言ってるんだけど、これは安全基準に適合しなきゃいけなくて、ASIL-C/Dに準拠してる必要がある。これを保証できないと、ライセンスを失うことになるよ。国連の規則155/156に適合していないと、車のメーカーはそのプラットフォームのライセンスを失うかもしれない(下流モデルだけじゃなくて)、つまりそのプラットフォームの車を買った全ての人に返金や損害賠償をしなきゃいけなくなる。だから、これを法廷で争える可能性があるし、ヒュンダイはその欠陥部品の無料交換を提供しなきゃいけないかもしれないね。