e-Rickshawの遠隔停止報告を受け、インド政府がアプリを禁止

e-Rickshawが遠隔操作で停止させられているという衝撃的な報告を受け、インド政府は主要なアプリストアから2つのスマートフォン向けアプリケーションを削除するという断固とした措置を講じました。この取り締まりは、同国の巨大な電気自動車セクターで使用されている、インターネット接続型の車両管理システムの脆弱性に関するサイバーセキュリティ上の懸念が高まっていることを受けたものです。

BAT-BMSを巡る論争と遠隔妨害

この論争は、BAT-BMSと呼ばれるアプリケーションを使用して、個人がe-Rickshawを遠隔で停止させている様子を捉えた動画がSNSで拡散されたことで勃発しました。中国のShenzhen Grenergy Technologyによって開発されたこのアプリは、元々は電圧や温度などのパラメータを含むバッテリーの状態を監視するための正当なツールとして設計されたものでした。

しかし、このアプリケーションのリモートコントロール機能が悪用され、車両の運行を妨害するために利用されています。互換性のあるリチウムバッテリーにBluetooth経由で接続することで、権限のないユーザーがバッテリーの放電機能をオフにすることができ、結果としてドライバーを道路の真ん中で立ち往生させてしまいます。一部のドライバーは、これらのデジタル的な停止の標的となった後、車両を再始動させるために見知らぬ人に金を支払わなければならなかったとも報告しています。

中国製BMSの脆弱性

この事件は、インドの低価格帯e-Rickshawセグメントにおける重大なセキュリティ上の欠陥を浮き彫りにしました。政府当局による初期の調査結果では、インドの多くのe-Rickshawが、不可欠なセキュリティ機能を欠いた中国製のバッテリー管理システム(BMS)を使用していることが示唆されています。

これらのシステムは、パスワード保護や強固な認証プロトコルなしで動作していることが多くあります。BAT-BMSアプリは、限定された範囲内でBluetooth対応のリチウムバッテリーにワイヤレス接続できるため、セキュリティが欠如していると、近隣にいる誰もが簡単に信号を傍受し、電力出力を停止させることができてしまいます。この脆弱性は、診断ツールをデジタル的な嫌がらせや窃盗のための潜在的な武器へと変貌させてしまいます。

政府の対応と精査の要求

IT秘書官のS. Krishnan氏は、CIIサイバーセキュリティ・サミットにおいて、問題が明らかになった直後に政府が措置を講じたと述べ、アプリの削除を確認しました。特定のアプリの削除に加え、中央政府は現在、グローバルなアプリストアプロバイダーに対してより大きな説明責任を求めています。

Krishnan氏は、アプリストアはプラットフォーム上でアプリケーションを公開する前に、より高いレベルのデューデリジェンス(適正評価)と精査を行わなければならないと強調しました。政府は、潜在的に有害または悪用可能なソフトウェアが一般に提供されないようにするため、これらのプロバイダーに問題を提起する意向です。一方、デリー政府の運輸局は、BAT-BMSアプリケーションの正当性と、その特定のBluetoothベースの脆弱性について調査する任務を課されています。

主なポイント

  • 即時の措置: インド政府は、e-Rickshawのさらなる遠隔停止を防ぐため、中国で開発されたBAT-BMSを含む2つのアプリをアプリストアから削除しました。
  • セキュリティ上の欠陥: 多くの低価格帯e-Rickshawは、パスワード保護のない、セキュリティ対策が不十分な中国製バッテリー管理システム(BMS)を使用しており、Bluetoothベースの攻撃に対して脆弱です。
  • 規制の強化: 中央政府は、有害または悪用可能なアプリケーションの配布を防ぐため、アプリストアプラットフォームに対してより厳格な精査とデューデリジェンスを求めています。