ポーランド列車ハッキング事件の要約
- ポーランド南西部の地域鉄道会社の列車が、独立系整備業者による修理後、メーカーによって動作不能な状態にされた。
- メーカーは、列車をハッキングしたホワイトハッカーたちを告訴すると脅している。
- ポーランドのインフラ業界および修理業界で論争が起きており、メーカーは列車の安全上の問題を主張しているが、それを証明できていない。
部品ペアリング防止メカニズム
- 列車メーカーのNEWAGは、GPSトラッカーが独立系整備業者のもとに一定期間留まっていたことを検知したり、メーカー承認済みのシリアル番号なしで特定の部品が交換されたことを検知したりすると、列車が動作しないようにするコードを組み込んでいた。
- このような「部品ペアリング防止」メカニズムは、農家がジョンディアのトラクターを会社の承認なしに修理することを防いだり、AppleがiPhoneの独立系修理を防いだりするために使われている。
ハッカーたちによる列車修理
- ポーランドの鉄道運行会社Lower Silesian Railwayは、独立系整備業者SPSを通じて定期的なメンテナンスを行っていたが、列車が動作しなくなる問題に直面した。
- SPSは、Dragon Sectorというホワイトハッカー集団に支援を求めた。
- Dragon Sectorは、列車ソフトウェアに組み込まれた「作業場検知」システムを発見し、列車運転士パネルから入力できる「アンロックコード」を見つけて問題を解決した。
メーカーの反応
- NEWAGは、列車ソフトウェアに意図的な故障を引き起こす仕組みを導入していないと主張し、ハッカーたちを告訴すると脅している。
- NEWAGは、鉄道交通の安全に対する脅威および法的条項違反を理由に、ハッカーたちの行動を非難している。
欧州の著作権法
- 欧州の著作権および情報社会指令2001年の第6条は、DRM回避について米国のDMCA第1201条より厳格であり、修理の例外規定が明示されていない。
- そのため、Dragon Sectorのような研究者に追加の法的リスクが生じる可能性がある。
GN⁺の見解
- この事件は、メーカーが独占的な修理を強制し、独立系修理を妨げる世界的な問題の一例である。
- ホワイトハッカーたちが技術的障壁を乗り越えて修理を可能にしたことは、消費者の権利と独立系修理産業にとって重要な勝利である。
- この事件は、修理する権利に関する法的・政策的議論に影響を与えうる重要な事例であり、技術的保護手段の限界と所有権をめぐる論争を引き起こす可能性がある。
1件のコメント
Hacker Newsのコメント
パンデミックの最盛期に、ポーランドのハッカーが開発したドングルが、DRMを回避してCOVID-19患者を救うために必要な人工呼吸器の使用を可能にし、米国の修理専門家に役立てられたという記事を書いたことがある。
Newaggがハッカーたちに対抗することはないだろうと思う。ハッカーたちは第三者のITネットワーク/システムをハッキングしたのではなく、鉄道会社が所有する列車をハッキングしたのだから。
関連リンク:
Gynvael Coldwind(Dragon Sectorのメンバーだが、当該列車をハッキングしたチームの一員ではない)が、会社の防御論理に欠陥があることを示す記事を書いている。
.text、.dataセクション、オフセットなどを扱っている。DRMが双方向に作用することに満足している。メーカーが製品をロックしようとするのは自由だが、それは公開されるべきであり、所有者には自分が所有するものをいじる自由がある。彼らはその列車を所有しているのだ。
この話から得られる教訓は、メーカーがより多くの金を稼ぐためにユーザーを欺くことは、「小さすぎて立ち向かえない問題」ではなく、無制限の強欲なのだということだ。
Dragon SectorがNewagの声明への回答を含む記事への直接リンクを提供している:
記事が説明としてDRMを使っているのは気に入らない。これはDRMやソフトウェア改ざん防止とは何の関係もない。
これは明らかにNEWAG自体への疑惑に対する注目を高め、逆効果になるだろう。