フィアット クライスラー（Fiat Chrysler Automobile；以下、クライスラー）が米国時間24日、Chryslerブランドの車輌約140万台を対象とするリコールを発表。これらの車輌に搭載されるテレマティクス・システムのバグをフィックスし、遠隔からの乗っ取りに悪用されることを防止するための措置とされている。

米各媒体の報道によると、今回リコールの対象となった車輌にはスプリント（Sprint）の携帯通信網に接続する「UConnect」テレマティクス・システムが搭載されているのが共通点で、同システムに見つかったバグを悪用して、ハッカーが遠隔から車体の制御系システムにアクセスし、ブレーキやエンジン、ハンドルなどを勝手に操作することが可能な状態にあったという。このハッキングについてはWIREDが21日付けの動画付き記事で大きく採り上げ、一部で話題になっていた。

クライスラーはWIRED記事公開時点ですでにこのバグの修正用パッチを作成し、同社のウェブサイトで公開していた。ただし、テスラ（Telsa）「Tesla Model S」などとは異なり、クライスラーの当該車輌ではネットワーク経由（Over-The-Air）のソフトウェアアップデートができないため、ドライバーが自分でパッチをダウンロードするか、ディーラーに車輌を持ち込むかしてシステムをアップデートする必要があった。クライスラーが一歩進んでリコールに踏み切ったのは、24日に米連邦道路交通安全局（National Highway Traffic Safety Administration、NHTSA）からリコールに関する問い合わせ（“recall query”）があったためとされている。

クライスラーは、リコール対象車輌のドライバーに対して、ソフトウェア・パッチを含んだUSBメモリードライブを郵送する計画。また緊急措置として、スプリント側では遠隔からの乗っ取りを封じるための「ネットワーク・レベルのセキュリティ措置」をすでに講じたという。

クライスラーの発表によると、このバグが原因で生じた事故などは報告されていない。また同社はこの種のハッキングを行うためには高度なスキルが必要となる、などとコメントしているという。なお、WIRED記事に登場したふたりのセキュリティ専門家は約1年の時間をかけて、デモしたハッキングの方法を見つけ出したという。

この話題を採り上げたThe Vergeでは、ソフトウェアにバグが交じることは避けられないとの前提で、バグが見つかった場合にどれだけ迅速かつ混乱なくアップデートを配布できる仕組みをつくれるかが今後ますまず重要になるなどと指摘。いっぽうReutersでは、いわゆる「Internet of Things（IoT）」機器の普及に伴い、さまざまな分野で今回と同様の問題が生じる可能性があるとする専門家の見方が紹介されている。

それとは別に、米国時間26日にはNHTSAがフィアット・クライスラーに対し、約1100万台の車輌に関して適切なタイミングでリコールを行わなかったことを理由に1億500万ドルの罰金を課す見通しとする報道がWSJやNYTimesなどで報じられている。この対象のなかにサイバーセキュリティ関連のリコールが含まれているかどうかは不明。1億500万ドルという罰金は、NHTSAがタカタ製エアバッグ搭載車輌の問題でホンダに対して支払いを命じていた7000億ドルを上回り、過去最大の金額になるという。

なお、サイバーセキュリティ関連でリコール対象となったクライスラー車輌は次の通り。

2013-2015 MY Dodge Viper specialty vehicles
2013-2015 Ram 1500, 2500 and 3500 pickups
2013-2015 Ram 3500, 4500, 5500 Chassis Cabs
2014-2015 Jeep Grand Cherokee and Cherokee SUVs
2014-2015 Dodge Durango SUVs
2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans
2015 Dodge Challenger sports coupes

【参照情報】
・Chrysler recalls 1.4 million cars at risk of being remotely hijacked - The Verge
・The scariest thing about the Chrysler hack is how hard it was to patch - The Verge
・After Jeep Hack, Chrysler Recalls 1.4M Vehicles for Bug Fix - WIRED
・Hackers Remotely Kill a Jeep on the Hightway - With Me in IT - WIRED
・Fiat Chrysler U.S. to recall vehicles to prevent hacking - Reuters
・Fiat Chrysler Recalls 1.4 Million Vehicles to Defend Against Hacks - Bloomberg
・Regulators Investigating Fiat Chrysler Cybersecurity Recall - WSJ
・Fiat Chrysler Faces Record $105 Million Fine for Recall Lapses - WSJ
・Fiat Chrysler Faces Record $105 Million Fine for Safety Issues - NYTimes