2019 年 7 月 19 日 Trevor Collins 著

Sam Curry という名前のセキュリティ研究者が今週、自らの最近の調査プロジェクトに関する記事を書き、Tesla をハッキングして脆弱性を発見した過程を明らかにしました。彼の調査の一環として、車内のメニューシステムで車の名前を設定する際に、XSS（クロスサイトスクリプティング）インジェクションを試みました。何回か試したものの、上手くいかなかったため、諦めることにしました。

Sam のブログ記事によれば、何の成果も得られなかったため、しばらくはテストのことを忘れていたといいます。ある日、高速道路の走行中に、飛んできた石が当たってフロントガラスにヒビが入ったため、修理の予約を入れました。その後、しばらくすると、Tesla から壊れたフロントガラスの修理を検討中であるというメールが届きました。そこで、XSS サーバをチェックしたところ、自分のスクリプトが teslamotors.com からの情報を転送していることがわかり、自分の XSS 攻撃が成功していたことがわかりました。

調査の結果、このエクスプロイトによって、車に関する情報が自分のサーバにロードされていたことがわかりました。間違いなく個人情報であると呼べるものは何も見つからず、少なくとも、レポートではそのように説明されていますが、彼は、さらに多くの情報が保存されているはずのサーバにアクセスしてみました。そして、時間がもっとあれば、車の構成を変更することもできるだろうと考えました。責任あるハッカーである彼は、自らの発見を Tesla に知らせ、その日のうちに Tesla のソフトウェアは修正されました。

ほとんどの Web サイト管理者は、自らの Web サイトをクロスサイトスクリプティングから保護しなければならないと認識していますが、アプリケーションによっては、無害化されていない入力値を受け取ってバックエンドサーバに渡してしまうこともあります。すべてのユーザ入力を無害化しないと、クロスサイトスクリプティングで悪用される恐れがあるため、XSS 防止を含む、ここに記載されている OWASP 防止モデルに従うことをお勧めします。