ベンツの自動車専用アプリでユーザーの個人情報が他人に漏れるバグが発生

「ハイ、メルセデス！」のTVCMでおなじみのメルセデス・ベンツは、自動車とスマートフォンをつなげることでいつでも車両状態を確認したり、遠隔操作で駐車を行ったりできるアプリ「Mercedes me connect」を配信しています。このアプリで、自分のものではないユーザー情報や車両情報が誤って表示される事態が発生していたことが明らかになっています。

Mercedes-Benz app glitch exposed car owners’ information to other users | TechCrunch
https://techcrunch.com/2019/10/19/mercedes-benz-app-glitch-exposed/

IT系ニュースサイトのTechCrunchは、メルセデス・ベンツの配信している「Mercedes me connect」アプリが、別ユーザーの氏名・最近のアクティビティ・メールアドレス・住所などを表示していたことを、2人の情報提供者から確認したと報じています。この情報提供者によると、問題が発生したのは2019年10月18日(金)のこと。問題発生から数時間後に、アプリは「サイトのメンテナンスのため」としてオフラインになり、一時的に利用できなくなりました。

自動車とペアリングして、リモートで鍵の開け閉めをしたり、エンジンのオンオフ操作をしたりするアプリは、近年珍しくなくなっています。しかし、自動車がアプリやインターネットと接続することになると、セキュリティ上のバグが発生した際に、自動車をハイジャックすることが容易になってしまうという問題点も浮き彫りになっています。

実際に、インターネットに接続することが可能な自動車をハッキングする様子を、元NSAの職員であるハッカーが実演したムービーも公開されています。

元スパイが恐怖の自動車ハッキングを実演、ブレーキやハンドルを操作するなど何でもあり - GIGAZINE

情報提供者のひとりはシアトル在住のメルセデス・ベンツのMercedes me connectアプリユーザーで、自身のアプリが他ユーザーのアカウント情報を複数取得したことが確認できたとTechCrunchに語っています。この人物の友人も同じMercedes me connectアプリユーザーであり、同じく別ユーザーのアカウント情報がアプリ内に表示されていたと話しているそうです。

Mercedes me connectアプリに表示されるユーザー情報や車両情報は以下の通り。他ユーザーの情報が表示されたのは、自身の使用している車両情報(左)、いつ車両を利用したかなどの情報が表示されるアクティビティ(真ん中)、ユーザー名やメールアドレス・住所などが表示されるマイプロフィール(右)の3つの画面。

なお、情報提供者によると、いつ車両を使用したかなどのアクティビティ画面はチェックできたものの、アプリの機能を使用してリアルタイムで他ユーザーの車両位置を追跡することはできなかったとのこと。

情報提供者がメルセデス・ベンツに連絡を入れたところ、カスタマーセンターの担当者はバグが修正されるまで「アプリを削除するように」と語ったそうです。

別の情報提供者は、自身のアプリ上に表示された別ユーザーの連絡先に連絡し、アクティビティ画面に表示されていた位置情報が正しいものであることを確認したそうです。

1人目の情報提供者によると、別ユーザ－のアカウント情報がアプリ上に表示されたのち、車両のカギの開け閉めおよびエンジンのオンオフ機能がアプリで機能しなくなったそうです。なお、2人目の情報提供者はどちらの機能も試していなかった模様。

このセキュリティ問題がどのタイミングで発生し、どの程度の範囲で起きていたのかは明確には明らかになっていません。TechCrunchがメルセデス・ベンツの親会社であるダイムラーに問い合わせたところ、広報担当者のドナ・ボーランド氏から、「表示された情報はキャッシュされた情報でした。アカウントへのリアルタイムでのアクセスではなく、財務情報なども表示できず、アカウントに関連付けられた車両とやり取りしたり、車両の現在地を特定することもできませんでした。問題に気づいたのち、システムを停止し、問題を特定し解決しました」という返答が得られたそうです。

なお、Google PlayによるとMercedes me connectアプリは10万人以上がインストールしています。

Mercedes me - Google Play のアプリ