禁断のハッキング端末｢Flipper Zero｣、車両盗難に使われまくる

ハッキングに悪用される便利なツール。

開発者たちが｢マルチツール｣デバイスと呼ぶこのアクセサリーは、｢Flipper Zero｣といいます。2020年に初めて登場して以来、遊び感覚で気軽にセキュリティテストができるペンテスト用ツールと見なされてきましたが、実はハッキングに使っているユーザーが多く、専門家たちには｢悪用できてしまうのでは？｣と言われ続けてきました。今回出てきた新しい報告では、その批判が｢やっぱり｣という結果になったのです。

カスタマイズしてグレーな商売

404 Mediaによると、レベルの低いハッカーたちがツールの機能を改造する自作ソフトを開発・販売しているデジタル地下市場で、Flipperが人気となっているそう。404は｢Daniel｣という名で活動するハッカーに取材。Danielは、Flipperを車の解錠デバイスに変えるパッチを売っているのです。

カスタマイズされたこのソフトは、暗号通貨で売買されていると報じられています。2つの料金体系があり、1つは600ドル（約8万8500円）で最新バージョンのソフトが手に入り、もう1つは1,000ドル（約14万7500円）で｢今後のアップグレードとサポート｣へのアクセスが含まれているとのこと。Danielは、自分でカスタムした商品をおよそ150人に販売したと語っています。｢たぶんこれを使って車から物を盗んだり、車自体を盗んでいる人はいるかもしれない｣とDanielは話しています。

こうしたシンプルなソフトの回避策を使うことで、車泥棒たちにはかなり多くの選択肢が存在するのです。実際、Danielのソフトパッチは幅広い車種に対応しているとされています。404は次のように書いています。

Danielは、そのパッチが効くとされる車両のリストをまとめたPDFを共有しました。そこには約200の具体的な車種が記載されていて、2025年モデルも多く含まれています。スバル、フィアット、フォード、三菱、スズキ、プジョー、シトロエン、フォルクスワーゲン、シュコダ、アウディに加えて、ホンダも開発中だと文書には書かれています。

YouTubeで自分のソフトを宣伝しているDanielは、ユーザーが利用制限やコピー防止機能を解除する｢クラック｣をして支払わずに利用することのないよう、制御を設けたと404に語りました。しかし404は、Danielが販売しているようなソフトは実際にはクラックされていて、より広く、しかも無料で配布されていると報告しています。

Flipper社の見解は？

Flipperは、この件について自分たちの責任だとは考えていないようです。404に提出された声明の中で、Flipper社は｢Flipper Zeroを使った盗難が公式に確認された事例は把握していない｣と主張しています。さらに、

第三者のソフトやハードを組み合わせてFlipper Zeroを使い、特定の車の重大な脆弱性を突いた研究者からの報告については確認しています。私たちは、自動車メーカーが製品のセキュリティをより真剣に捉え、直ちに修正することを望んでいます。なぜなら車両窃盗犯は、極めて洗練されたブラックマーケットのツールにアクセスできるからです。

と続けています。

また、同社は政府が発行したサイバーセキュリティ調査を引用し、Flipperは他の多くの正規のツールと変わらないと主張しています。

Flipper Zeroは、主にセキュリティ研究者が脆弱性をテストし、責任を持って実証するための多目的ツールです。悪意ある者は通常とは異なる方法でデバイスを使っており、その多くはネット上で堂々と販売されています。最終的な問題は、一部の自動車メーカーが依然として古いセキュリティモデルを搭載したシステムを出荷し続けていることです。企業がセキュリティをもっと真剣に考え、定期的にアップデートを提供しない限り、どんなツールが使われてもこれらの脆弱性は残り続けるでしょう。

Flipperを禁止しようとしたカナダ

当局は長い間、Flipperが自動車窃盗を助長していると非難してきました。昨年2月、カナダ政府はFlipperを含む｢リモートキーの無線信号をコピーして車を盗むための機器｣を禁止しようと動きました。

当時Flipperの開発者たちは、カナダの自動車盗難問題のハッカーの化け物として不当にスケープゴートにされていると反発。Flipper社のCOOのAlex Kulagin氏は、ネット上には車への侵入専用に売られている機器が他にもたくさんあると主張しました。開発者たちはまた、Flipperはずさんな企業のセキュリティ慣行を暴くのに役立っているとも訴えています。そして結果的に、カナダはこの禁止措置を撤回したという流れがありました。