自分が乗っている車のコントロールが効かない悪夢。

アメリカの都市部で大大大流行中のライドシェア電動スクーター。お手軽楽しく移動ができてとても便利。ダウンタウンは車両乗り入れ禁止の電動スクーターのみにして！なんて大賛成派もいる一方で、電動スクーター絡みの事故件数が急増していること、乗り捨て放置が通行の邪魔になるなど、取り締まり強化を求める声も強くあがっています。今のところ、まだ追い風ムードの方が強い電動スクーターですが、この動画見るとそうも言ってられなくなります。電動スクーター、ハッキングできるんです。

ハックできるのはXiaomi製電動スクーター

セキュリティ会社のZimperiumが、先日、Xiaomiの電動スクーターM365をハックできたという脆弱性に関するレポートを公開しました。レポートで特に強く指摘されているのは、M365スクーターがBluetoothパスワードを使用しているにも関わらず、各スクーターの認証プロセスにパスワードが使われていないこと、パスワードなしですべてのコマンドにアクセスできてしまうこと。つまり、ハッカーがスクーターにマルウェアをデプロイでき、遠隔操作によってブレーキ・アクセルまで操作できてしまうというわけ。Zimperiumは、研究員がテストしたところ、最大100メートル離れた場所からスクーター遠隔操作が可能だったといいます。こんな恐ろしいことってありますか…？

遠隔操作でスクーターをロック

Zimperiumは、スクーターをハック、遠隔操作する様子をYouTubeにポストしています。

Image: Zimperium/YouTube via Gizmodo US

動画では、赤信号で止まっている男性（白パン黒ジャケット）のスクーターをハック、遠隔操作でロックをかけています。信号が青に変わり進もうとするもうまく進めない男性。この一連の流れは、まずマルウェアを使い、近くにあるM365を検索。次に、認証やユーザー同意などのプロセスなしで、ターゲットとなる男性のスクーターの盗難防止機能を介してロックをかけました。動画のテロップにもありますが、道路の真ん中で急にスクーターのコントロールが効かなくなることは、死の危険すらある大きな問題です。

メーカーは調査中

Zimperiumは、Xiaomiにこの脆弱性を報告済みですが、現時点（2月13日時点）でパッチはまだリリースされていません。Zimperiumの研究員いわく｢残念ながら、スクーターのセキュリティはユーザー個人でなんとかできることではなく、Xiaomi（またはスクータービジネスで連携している企業）がアップデートするしか策はないのです｣ネタ元のThe Vergeの取材に対して、Xiaomiは｢現在調査中｣と回答。

Xiaomiって電動スクーターやってるんだ？と思う人も少なくないはず。ただ、それは自分が使っている電動スクーターに書いてあるのはメーカー名ではなく、ライドシェア電動スクタービジネスのサービス名（または会社名）であったり、再ブランディングされ別名で販売されているから。もしかしたら、気づいていないだけでXiaomiスクーターに何度も乗っているのかもしれません。

ちなみに、米国でライドシェア電動スクーターを展開している最大手2社、BirdとLimeは、The Vergeの取材にて、XiaomiのM365は使用していないと回答しています。