昨年のある日、リコ・ヒーリーは電動スケートボードに乗ってメルボルンの交差点に向かっていた。そのとき、突然ボードがストップし、彼は道に投げ出された。ボードは制御不能で、何が起こっているのかわからない。見たところ機械の故障でもなさそうだ。コンピューターセキュリティーエンジニアである彼の頭には、自然と別のシナリオが浮かんだ。

まさか、ハッキングだろうか？

まもなく有力な「容疑者」が判明した。近隣のBluetoothノイズ、だ。フェレデーションスクエア近くのその交差点は、無線周波数ノイズだらけで有名だったのだ。ヒーリーがボードの操作に使っていたのは、Bluetoothでボードにコマンドを送信するタイプのリモコンだった。ハッキングではなく、周囲のデヴァイスからのBluetoothトラフィックの洪水が、ボードのリモコン操作を妨害したのだと、彼は結論づけた。

関連記事：「電動スケートボード」、2年越しの試乗リポート（動画あり）

「あのときの状況はどうなっていたのだろう、その現場を再現できるだろうか、と考えるようになりました」と、彼は語る。

決済会社、Stripeのセキュリティー部門に勤めるヒーリーは、研究者仲間で米イーベイのセキュリティー担当のマイク・ライアンとともに、電動スケートボードがハッキング可能かどうか検証した。その結果として彼らが開発したのが、他人の電動スケートボードを完璧に操作できるエクスプロイト、「FacePlant」だ。

「（攻撃は）基本的には（メルボルンの交差点と）同じ無線周波数ノイズの合成版です」と彼は言う。ボードを完全に停止させたり、逆走させたりして「ライダーを突き落とすこと」を再現できる。

彼らはこの発見を、2015年8月8日にラスベガスで開催されたデフコン（Def Con）で発表した。「たかがスケボーだろう」と言うのは簡単だが、毎日通勤に使っている人たちにとっては、重大なリスクだ。「わたしたちがこの研究を公にするのは安全性を高めるためです」と、ヒーリーは言う。

実験には、ヒーリーが愛用する米国製のBoosted Board（1,500ドル）、オーストラリアのRevo社の製品（700〜1,000ドル）、それに中国のYuneec社製のE-Go（700ドル）が使われた。

「いま買える電動スケートボード・ベスト7」

その結果、どのボードにもひとつ以上の致命的な脆弱性が見つかった。いずれもリモコンとボードの間の通信を「暗号化」していないことに起因するものだ（ボードを制御不能にする方法はどの製品でも基本的に同じだが、操作のメカニズムが少しずつ異なるため、エクスプロイトが対応しているのはいまのところBoosted Boardだけだ。E-Go用のエクスプロイトは、現在開発中という）。

PHOTOGRAPH COURTESY OF BOOSTED

「FacePlant」のハッキングの仕組み

Boosted Boardは1,000ワットのモーター2つを制御するアプリケーションを搭載しており、小型の手もちリモコンでスピードを調整する。一度のバッテリー充電で約10kmの走行可能で、いわゆるデッドマンスイッチ方式になっているので、スイッチから手を離すとボードは止まる仕組みだ。

Bluetooth通信は暗号化されておらず、認証式にもなっていないため、近くにいるハッカーは容易にリモコンとアプリの間に忍び込める。スケートボードを突然停止させてライダーを放り出したり、悪意あるエクスプロイトを送信してタイヤを逆回転させトップスピードで逆走させたり、ブレーキを利かなくさせることも可能だ。あるいは単にリモコンとボードの間の通信をジャミングすることで、急な坂を下っている最中にブレーキを無効にすることもできる。

時速35kmでの走行中にボードが急停止して、うしろに自動車がいたらと考えれば、この危険性は明らかだ。しかも、危険にさらされるのはスケートボーダーだけではない。ボードのうしろにいる自転車やバイクのライダー、自動車や歩行者にもリスクがある。

研究チームが想定した攻撃で、エクスプロイトがスケートボードのモーターを逆回転させると、ボードはトップスピードで走り出し、あらゆるモノに激突した。

しかも、ボードはモーター駆動であり、かつデッドマンスイッチ機構は無効化されているため、物に衝突しても止まるとは限らず、障害物に跳ね返り続けるかもしれないのだ。ハッカーのシグナルが届かないところまで行くか、ハッカーが停止の指示を下すまでは。

「深刻な損害を引き起こす可能性があります」と、ライアンは言う。US版『WIRED』オフィスの近くの路地で行ったデモでは、ボードはヒーリーの足元から離れ、飛び出して壁に跳ね返っても走り続け、止めようとするチームの手を逃れようとしていた。

タイミングが鍵

連邦通信委員会（FCC）によると、干渉されても障害とならないことがBluetooth認証の要件になっている。しかし実験に使われた3種のボードは、いずれも研究チームによる干渉に対して脆弱なことがわかった。

ハッカーがジャミングを2〜10秒行うだけで、Bluetoothシグナルがボードに届く。エクスプロイトが侵入可能な時間は、リモコンがボードに自動で再接続するまで、わずか10ミリ秒だ。エクスプロイトの成否は、この短い時間のうちに、リモコンからコントロールを奪えるだけのBluetooth接続に関する情報収集にかかっている。

「Bluetooth傍受は、最先端科学とは程遠い、クラシックな手法です。暗号化も認証もないので、接続さえ掌握すれば、それでおしまいです」と、ヒーリーは言う。

さらに研究チームは、ボードの最高時速も変更できることを発見した。どの電動スケートボードも、安全のために最高時速がファームウェアに記されていて、その数値はボードによって異なる。Boostedのファームウェアにコードされた最高時速は35kmだが、E-Goの最高時速は20kmだ。

しかし。Boosted Boardのファームウェアをアップデートするのに認証は不要なので、リモートアップデートで速度制限を無くしたり、変更することもできる。アップデートのインストールには2分以上かかり、実装にはボードの再起動が必要だ。だが、この時点でボードのコントロールはハッカーにある。ボードをシャットダウンして再起動し、その間にアップデートをインストールすることもできる。そして、ファームウェアが書き換えられたあとは、スケートボードの持ち主はファームウェアを初期化しない限り、ボードのコントロールを取り戻せないという。

この研究は、ボードの乗り手を道に投げ出す方法を見つけるためだけに行ったのではない。「メーカーが負っている、ユーザーに対して安全な商品をつくる責任を再認識してもらいたいのです」と、ヒーリーは言う。

「メーカーはバグ報告をしやすくすべきだし、積極的に修正を行うべきです。電動スケートボード業界は安全への意識が低く、セキュリティ問題に真剣に取り組んでいない」

彼らは2014年9月にBoosted社に脆弱性を報告したが、同社はこれまでのところ修正してはいない（デフコンでの公演前に、Boosted社は研究チームに対し、ハッキング攻撃を回避する技術を実装する予定だと語っていたそうだが）。

これは電動スケートボードだけの問題ではないのかもしれない。研究チームはBluetoothを使った「電動自転車」を使った実験はしていないが、「最高速度で走行中の自転車に巻き込まれたら、状況はスケートボードよりさらに危険だ」と、ヒーリーは指摘する。加えて、電動自転車を介してそれに乗っている人の携帯電話をハッキングするというような、中継機としての使用の可能性も懸念されるという。

関連記事：走行中のクルマ乗っ取りに成功：「コネクテッドカー」のバグ