e-リキシャのリモート停止を可能にするアプリを政府が禁止
インド政府は、e-リキシャを遠隔操作で停止させるために使用できるという報告を受け、主要なアプリストアから2つのスマートフォン向けアプリケーションを削除するという断固とした措置を講じた。この動きは、インドで急速に拡大している電気自動車(EV)エコシステム内におけるサイバーセキュリティの脅威を抑制することを目的としている。
リモート停止悪用事例の増加
今回の取り締まりは、走行中のe-リキシャが動かなくなる様子を映した動画がSNSで拡散され、広範な懸念を引き起こしたことを受けて行われた。これらの報告で特定された主なアプリケーションは、中国のShenzhen Grenergy Technologyが開発したツール「BAT-BMS」である。このアプリは、バッテリーの健康状態、電圧、温度を監視するための正当なユーティリティとして設計されているが、そのリモート管理機能が悪用されていると報告されている。
この悪用手法により、ユーザーは一定の範囲内にあるBluetooth対応のリチウム電池にワイヤレスで接続できる。一度接続されると、アプリを使用してバッテリーの放電機能をオフにすることができ、実質的に車両を停止させ、ドライバーを立ち往生させることが可能となる。報告されているいくつかの事例では、e-リキシャのドライバーが、こうしたデジタル妨害の標的となった後、車両を再始動させるためだけに、見知らぬ人物に金を支払わなければならなかったと主張している。
低価格帯バッテリー管理システムにおけるセキュリティ上の欠陥
この脆弱性はソフトウェアだけでなく、インド全土の多くの低価格な電気自動車に使用されているハードウェアにも存在している。政府当局者は、かなりの数のe-リキシャが、強固なセキュリティプロトコルを欠いた中国製のバッテリー管理システム(BMS)を使用していると指摘している。
これらの特定のBMSユニットは、パスワード保護や必要な認証レイヤーなしで動作していることがよくある。このような「デジタルロック」の欠如により、BAT-BMSアプリを持つ近隣の人物が、Bluetooth接続を確立して電力出力を操作することが極めて容易になっている。デリー政府の運輸局は、これらの主張の真偽を調査し、Bluetooth対応のバッテリー管理がもたらすリスクを評価する任務を課されている。
政府、アプリストアに対してより厳格な審査を要求
CIIサイバーセキュリティ・サミットにおいて、IT秘書官のS Krishnan氏は、政府がすでに問題のアプリケーションを削除する措置を講じたことを認めた。しかし、政府はアプリの削除だけで終わるつもりはない。当局は現在、プラットフォームプロバイダーに責任を問うことを検討している。
Krishnan氏は、市民に対して身体的または経済的なリスクをもたらす可能性のあるアプリケーションを公開する前に、アプリストアはより高度なデューデリジェンスを行う必要があると強調した。中央政府は、潜在的に有害または悪用可能なソフトウェアが一般に公開される前に阻止できるよう、主要なアプリストア運営者と協議する意向である。この事件は、将来の脆弱性を防ぐために、インドのEV部品製造セクターにおける標準化されたサイバーセキュリティ規制が極めて重要であることを浮き彫りにしている。
主な要点
- 即時の措置: 中央政府は、e-リキシャのリモート停止を防ぐため、中国で開発されたBAT-BMSを含む2つのアプリをアプリストアから削除した。
- ハードウェアの脆弱性: この問題は、パスワード保護や認証などの不可欠なセキュリティ機能を備えていない、低価格な中国製BMSユニットに起因している。
- 規制の推進: IT省は、物理的なインフラや輸送を妨害するために悪用される可能性のあるアプリケーションの配布を防ぐため、アプリストアに対してより厳格な審査を求めている。
