～自動車インフォテインメントシステムが1クリックでリモート攻撃の危険に～

2025年7月7日、セキュリティ企業のPCAは、組み込みBluetoothスタック「OpenSynergy BlueSDK」に複数の深刻な脆弱性が存在すると発表した。これら4件の脆弱性（CVE-2024-45431～45434）を組み合わせた攻撃チェーン「PerfektBlue」として公表し、世界中の自動車メーカーを含む多くの業界に影響を及ぼす可能性があることを警告した。

PerfektBlueとは

「PerfektBlue」は、OpenSynergy社が提供する車載向けBluetoothスタック「BlueSDK」に内在する脆弱性を悪用し、条件を満たすと攻撃者が対象デバイス上でリモートから任意のコード実行（RCE）を行える攻撃手法である。特に車載インフォテインメントシステム（IVI）で広く採用されており、Mercedes-Benz、Volkswagen、Skodaなど主要自動車メーカーのシステムが影響を受けている。

影響範囲

• Mercedes-Benz
  対象機種：NTG6シリーズ、NTG7シリーズ（推定）
  Bluetoothプロセスを通じたリモートコード実行が可能で、車載OSのユーザー権限を攻撃者に奪われるリスクがある。
• Volkswagen
  対象機種：MEB ICAS3（IDシリーズ等）
  ファームウェアの特定バージョンにてBluetooth接続経由でのシステム侵入が確認されている。
• Skoda
  対象機種：MIB3（Skoda Superbなど一部Volkswagenモデル含む）
  リモートシェルの取得に成功しており、音声データや位置情報、連絡先への不正アクセスが懸念される。

PCAはさらに未公表のOEMを含め、少なくとも4社以上のメーカー製品が影響を受ける可能性があると指摘。自動車産業の長大なサプライチェーンにより、パッチ適用まで時間を要する可能性もあるとしている。

攻撃のリスクと被害可能性

攻撃者がIVIシステムへ侵入すると、以下の被害が想定される。

• GPS位置情報の追跡
• 車内音声の盗聴
• ユーザー連絡先や通話履歴の窃取
• 他車載ECUへの横展開（ラテラルムーブメント）

技術的な詳細

OpenSynergy BlueSDKはBluetooth ClassicおよびLow Energyの複数プロファイル（A2DP、AVRCP、PBAP、GATT等）を実装する。報告された脆弱性のうち、特に重大度が高いのはAVRCPのUse-After-Free（CVE-2024-45434、CVSSスコア8.0）であり、その他3件も中～低程度のスコアながら組み合わせることでリモート攻撃が成立する。

また、多くの実装では「Just Works」ペアリングモードやペアリング制限が緩いことから、ユーザーの最低限の操作（1クリック）で攻撃が成立しうる点が問題視されている。

推奨対応

利用者向け

• 最新のファームウェア適用状況を確認し、未提供の場合はBluetooth機能の無効化を検討する。
• 不審なBluetooth通信や動作に注意を払う。

メーカー向け

• 自社製品にBlueSDKが利用されているか早急に確認する。
• PCAと連携し、脆弱性の検証および修正パッチの適用を推進する。
• BlueSDKの設定やバージョンに応じたセキュリティ対策を見直す。

引用元記事：https://rocket-boys.co.jp/security-measures-lab/bluetooth-vulnerability-allows-car-intrusion-eavesdropping-and-location-tracking-on-multiple-manufacturer-vehicles/