テスラ・モデル 3 のコンピュータをデスク上で稼働させ、事故車から取り出した部品を使用しています。

テスラは自社車両のセキュリティ脆弱性を発見する研究者を募集するバグバウンティプログラムを運営しています。
参加するには実際にハードウェアが必要で、私はeBayでテスラ・モデル 3の部品を探し始めました。目標は車載コンピュータとタッチスクリーンをデスク上で動かし、車両用オペレーティングシステムを起動させることでした。

車載コンピュータは MCU（メディアコントロールユニット）と自律走行コンピュータ（AP）が重ね合わされた構造です。実際の車では乗客席前、グローブボックスの後ろに設置されており、サイズはiPad程度、厚さは約500ページ分の本ほどで、水冷メタルケースに覆われています。

eBay で「Tesla Model 3 MCU」と検索すると、200〜300米ドル前後の商品が多数見つかります。ほとんどの販売者は事故車を買い付けて分解し、個々の部品を別売りしているリサイクル企業です。時には元の事故車の写真も掲載され、車種で絞り込みできることがあります。

起動・操作に必要だったものは以下の通りです。

• 12 V を供給可能な DC 電源
• リサイクルモデル 3から取得したタッチスクリーンモジュール
• スクリーンと MCU を接続するケーブル

電源には Amazon の可変0–30 Vモデルを選びました。5 A と 10 A の両方が入手可能だったので、ピーク時に最大8 Aまで消費できることを考慮して10 A版を採用しました。eBay 上の Model 3 スクリーンは約175米ドルと予想以上に高価で、人気の交換部品だからでしょう。

最後に最も難しいのが MCU とスクリーンを結ぶケーブルでした。コンピュータとスクリーンの両方とも、コネクタから数センチメートルだけ切り離された状態で販売されており、多くの売り手は単純に抜ける代わりにこのように処理していました。

テスラは「Electrical Reference」と呼ばれる配線図を全車種公開しています。サービスサイトからモデルを選択し、部品（例：ディスプレイ）を検索すると、どのケーブル／コネクタが使われるか、各ピンの役割まで正確に確認できます。

ディスプレイは 6 ピンケーブル（12 V/グランド用2本、データ用4本）と特殊な Rosenberger 99K10D-1D5A5-D コネクタを使用しています。自動車メーカーで大量注文しない限り、このような単品の Rosenberger ケーブルは購入できず、eBay も AliExpress もほぼ検索結果がありません。

調べてみると、このケーブルは BMW 車に用いられる「LVDS」と呼ばれるビデオ転送用自動車ケーブルに非常に似ています。見た目のコネクタが互換性があるように思え、注文を決めました。

コンピュータは最初に到着しました。起動方法についてはテスラの回路図と同様のデスク上 MCU セットアップ例を参照し、電源に必要なワイヤーを剥き、クリップで結びつけました。

数本の赤い LED が点滅し、コンピュータが起動しました。まだスクリーンは接続されていないため、操作手段は限られていました。GitHub の @lewurm の以前の研究を読むと、古い車種では内部ネットワークに独自のウェブサーバーを持つコンポーネントが存在することが分かります。私は電源コネクタ横の Ethernet ポートからノートパソコンへケーブルを接続しました。

このネットワークは DHCP を提供しないため、IP アドレスは手動で設定します。192.168.90.X/24 の範囲にして、192.168.90.105 より高い値（例：192.168.90.110）を避けます。Reddit には古い車の /etc/hosts ファイルが投稿されており、以下のようなアドレス割当が示されています。

192.168.90.100 cid ice   # mcu
192.168.90.100 ic        # Model X/S のみ | IC = インストゥルメントクラスター
192.168.90.102 gw        # ゲートウェイ
192.168.90.103 ap ape    # ap = autopilot
192.168.90.104 lb
192.168.90.105 ap-b ape-b   # さらに autopilot
192.168.90.30 tuner
192.168.90.60 modem          # FTP サーバー

@lewurm のブログでは、ポート 22 の SSH とポート 8080 のウェブサーバが 192.168.90.100（MCU）で開放されていると述べられていました。新しいモデルでも同様です。

MCU 上で調査できるサービスは次の二つでした。

• SSH サーバ – 「SSH allowed: vehicle parked」というメッセージが表示されます。特殊に署名されたキーのみを受け付け、テスラはバグバウンティプログラム内で「Root access program」を提供しています。このプログラムに参加し、1つ以上の有効なルート脆弱性を発見すると、自車用の永続 SSH 証明書が授与され、root でログインできるようになります。
• REST ライク API – ポート 8080 で「tasks」の履歴を返します。このサービスは ODIN（On‑Board Diagnostic Interface Network） と呼ばれ、テスラの診断ツール「Toolbox」に意図的に公開されています。

この時点で金属シールドを外し、内部基板を確認しました。二枚のボードが重ねられている構成です。

スクリーンと BMW LVDS ケーブルが到着すると、コネクタが合わないことが判明しました。BMW コネクタは側面が太く、スクリーンに差し込めませんでした。そのため、MCU とスクリーンの「テール」ケーブルを剥き、個々のワイヤーを手作業で接続する試みを行いました。ワイヤーは非常に細いため、数秒間だけ動作しましたが、ワイヤーデブリが基板上に落ちて短絡し、電源制御チップの一つが焼き切れました。

焼けたチップの型番・モデルを見分けるのは困難でした。再度車載コンピュータを注文するまでの間、友人 Yasser（@n3r0li）がそのチップを MAX16932CATIS/V+T ステップダウンコントローラであると特定しました。このチップを購入し、基板を地元の PCB 修理店へ持ち込みました。修理店は成功裏に交換作業を行い、MCU を復旧させました。これで二台のコンピュータが動作するようになりました。

結局 Rosenberger ケーブルが本当に必要だった – 回避策はありませんでした。

オンラインで見つからないまま、ロンドンのテスラサービスセンターを訪問した（奇妙な体験）後も、私は「Dashboard Wiring Harness」を購入することしか選択肢に残りませんでした。

Tesla Electrical Reference に戻ると、コネクタだけでなく全ての部品番号が記載されています。MCU とスクリーンを結ぶケーブルは 1067960‑XX‑E という番号です。この番号で eBay を検索すると、関連性のないパーツが大量に出回っています。

実際、車両では個別のケーブルは存在せず、多数のケーブルをまとめた大型「ロウム」を使用しています。したがって、個々のケーブルは単体で製造されていません。このため、私は全体のロウムを 80 米ドルで購入するしかありませんでした。

量産品のロウムにも関わらず、動作は完璧でした。車両が起動し、タッチスクリーンが立ち上がり、デスクに設置したコンピュータで車用 OS を実行できました！

システムが稼働すれば、ユーザーインターフェースを操作し、公開されたネットワークインターフェースと対話し、CAN バスを探索し、さらにはファームウェアの抽出も試みることができます。