修理法に反対、NHTSA は隠蔽によるセキュリティを支持

「隠蔽によるセキュリティ」、つまりテクノロジーの仕組みを秘密にしておくことが攻撃から守る手段であるという考え方は、サイバーセキュリティの専門家やより広範な情報セキュリティ業界によってずっと前に放棄されました。 歴史が示しているように、秘密はセキュリティと同じではなく、賢く、機知に富み、決断力のある敵にはうまく対抗できません。

ただ、先週自動車メーカー22社に宛てた書簡の中でこのコンセプトを強く支持する立場を表明した米国道路交通安全局（NHTSA）にはそのことを言わないでほしい。 6月13日付のこの書簡は、車の所有者に車のテレマティクスデータの管理とアクセスを与えるマサチューセッツ州法をターゲットにしている。 NHTSAは、この法律はサイバー攻撃を促進する可能性があり、「ステアリング、加速、ブレーキなどの安全上重要な機能を含む車両のシステムの操作を許可する」と述べた。 さらに自動車メーカーに対し、テレマティクスのサイバーリスクは車両の安全上のリスクであり、1960年代半ばに制定された法律である国家交通自動車安全法（保安法）に違反すると伝え、車両テレマティクスを維持するよう命じているに等しい。システムは閉じられました。

「データアクセス法によってもたらされる重大な安全上のリスクを考慮すると、車両制御システムへの通信経路を必要とする同法に従って車両のテレマティクスユニットへのリモートアクセスを開放する措置を講じることは、安全法に基づく義務に抵触することになる。」 NHTSAは書いた。

しかし、NHTSAは、自動車メーカーのセキュリティを曖昧なまま支持することで、自らのサイバーベストプラクティスと、自動車メーカーのテレマティクスシステムには悪用可能なセキュリティ上の欠陥や脆弱性が蔓延していることを示唆する最近の報告書の両方を見逃した。

マサチューセッツ州の自動車テレマティクス修理権法は、自動車修理市場内の競争を促進することにより、自動車所有者が自分の車をより簡単に、より安価に修理できるようにすることを目的として制定されました。 3年前、この投票法は数か月に及ぶ悪意に満ちたキャンペーンを引き起こし、自動車メーカーは何百万ドルものテレビ広告を流し、車の修理情報にアクセスすれば犯罪者やストーカーが自宅や車にアクセスできると証拠もなしにマサチューセッツ州住民に警告した。 業界を怖がらせる戦術は効果を示さず、2020年11月に投票法案は有権者の4分の3以上が支持して可決された。

しかし、それで終わりではありませんでした。 この可決は同月、自動車業界のロビー団体による訴訟を引き起こした。 この訴訟、自動車イノベーション同盟対キャンベル訴訟は、ダグラス・ウッドロック連邦判事の法廷で2年以上も係争中であり、判決の見通しは立っていない。 6月1日、マサチューセッツ州の新たに司法長官に選出されたアンドレア・ジョイ・キャンベルは、裁判所の賛否の判決がない中、同法の施行を開始した。 2週間後、NHTSAの書簡は州の執行機関にモンキーレンチを投げかけた。

問題が 1 つだけあります。マサチューセッツ州の自動車修理権法は、NHTSA の書簡に記載されているようなことをまったく行っていないのです。 マサチューセッツ州の有権者によって起草され可決されたこの法律は、マサチューセッツ州で販売されるテレマティクス システムを使用する車両には、「すべてのメーカーとモデルにわたる相互運用可能で標準化されたオープンアクセス プラットフォーム」を装備することが義務付けられているだけである。 セキュリティは後回しではありません。 実際、法律では「そのようなプラットフォームは、プラットフォームへの直接データ接続を介して、自動車から直接発せられるすべての機械データを安全に通信できなければならない」と規定されています。

それでおしまい。 「オープン」という言葉は、データ アクセス法の 2020 年の更新で 1 回だけ登場しますが、「安全でない」という意味ではなく、「非独占的」という文脈で使用されています。 この法律が実際に行うことは、誰が車両テレマティクス データにアクセスするかを決定できる門番の役割から自動車メーカーを奪うことです。 代わりに、個人は、サードパーティの独立した修理専門家を含め、自分の車両によって生成されたテレマティクス データに必要に応じてアクセスし、共有できると主張しています。