はじめに"どこを評価するか"
自動車のペンテストで最初に決めるべきは「どこを評価するか」です。車両システムは複雑で、すべてを網羅的に評価することは現実的ではありません。限られたリソースで最大の効果を得るため、評価対象を体系的に整理し、優先順位を付けて選定することが重要です。
評価対象の5つのレイヤー
本記事では、車両システム全体を以下の5つのレイヤーに分類して整理します。レイヤーごとに評価の目的や方法が異なるため、この分類を理解することが効果的なテスト計画の第一歩となります。
- ECU単体・ハードウェア
- 車内ネットワーク
- 外部インタフェース
- オフボードAPI
- 車両全体
ECU単体(ハードウェアを含む)
個別ECUの信頼基盤を検証します。具体的な評価対象は、ブートチェーン、鍵・証明書、デバッグロック、メモリ保護、署名検証、更新機構などです。
例:パワートレインECU、ボディコントロールECU、ゲートウェイECU、ADAS ECU、インフォテインメントECU等
車内ネットワーク(CAN/LIN/FlexRay/Ethernet、診断)
ネットワークプロトコルや仕様の脆弱性や不備、アクセス制御の不備等を確認します。
- CANネットワーク:ドアロックECU、パワートレインECU、ゲートウェイECU間の診断・制御メッセージ等
- Ethernet:インフォテインメント、ADASシステムのバックボーン接続、DoIP搭載車両等
- LIN:ボディ系ECU(照明、シート、ウィンドウ等)のサブネット等
- FlexRay:安全・制御リアルタイム系ネットワーク(高級車種やADAS)等
- ゲートウェイ:クロスドメインアクセス制御・ログ監視機能等
外部インタフェース(WiFi/BLE/NFC/UWB/RF/セルラー等)
無線・近接IFのネットワークプロトコルや仕様の脆弱性や不備等を確認します。
例:Wi-Fi、Bluetooth、NFC、UWB、RF、セルラー等
【テスト時の留意点】
無線通信を用いる場合は電波法の順守が必須です。必要に応じて電磁シールド環境やシミュレータを利用するなど配慮が必要になります。
オフボードAPI(サーバ・アプリ・ID基盤)
バックエンドAPI、モバイルアプリ等のOWASPの脆弱性や不備を確認します。
例:サーバー、API、Web画面、モバイルアプリ等
車両全体
車両全体に対してより現実的な攻撃者視点で評価します。ECU単体/ネットワークでは見えにくい攻撃面(アタックサーフェス)の発見、連鎖的な攻撃パス(例:外部IF→GW→診断→制御ECU)や、ネットワークや権限など複数の境界をまたぐ実被害の把握に適します。一方で、外部到達性がない単体レベルの脆弱性は検出対象外になりやすい点に留意します。
例:実車、実車同等の統合ベンチ(ECU群+ネットワーク構成)
規制視点:
一部の中国国家標準(GB)では車両単位の試験が求められるケースがあり、実車での試験体制を前提としたテスト設計が重要となります。
また、車載IDSやログ統合監視、バックエンド側の検知・遮断までを含む、インシデント対応フロー全体を検証するシナリオベースのペネトレーションテストも有効です。
テスト対象の優先順位付け
どのレイヤーを優先的にテスト対象とするかを決定します。優先順位の考え方を以下に示します。
-
影響度:攻撃が成功した場合の影響の大きさ
- 安全への影響(人命に関わるか)
- 運用への影響(車両の基本機能への影響)
- プライバシーへの影響(個人情報の漏えい)
-
到達性:攻撃者がどれだけ容易に到達できるか
- ネットワーク経由(最も到達しやすい)
- 近接(車両の近くから)
- 物理(車両への直接アクセスが必要)
-
連鎖可能性:他のレイヤーへの侵入経路となるか
- 外部IFやオフボードAPIは侵入の入口になりやすい
- GWや診断は横展開の起点になりやすい
| レイヤー | 典型的な優先度 | 理由 |
|---|---|---|
| 外部IF(Wi-Fi/BLE/Cellular等) | 高 | ネットワーク経由で到達可能、侵入の入口 |
| オフボードAPI | 高 | インターネット経由で常時アクセス可能 |
| 車内ネットワーク(GW/診断) | 高~中 | 横展開・権限昇格の経路、連鎖攻撃の要 |
| 車両全体(連鎖シナリオ) | 中 | 実際の攻撃経路を再現、総合的な検証 |
| ECU単体(物理アクセス前提) | 中~低 | 物理アクセスが必要、影響度による |
まとめ:自動車ペネトレーションテストの評価対象
自動車のペンテストでは、まず「どこを評価するか」を明確にすることが第一歩です。本記事では、車両システム全体をECU単体・ハードウェア、車内ネットワーク、外部インタフェース、オフボードAPI、車両全体の5つのレイヤーに分類し、それぞれの評価目的を整理しました。次に、テスト対象の優先順位付けの考え方として、影響度・到達性・連鎖可能性の3つの観点を提示しました。レイヤー別の優先度の目安を示すことで、限られたリソースをどこに集中すべきかを判断できるようになります。
参考資料
-
OWASP Firmware Security Testing Methodology:ECUファームウェア等のセキュリティテスト手法に関するガイドライン。
OWASP Firmware Security Testing Methodology -
OWASP API Security Top 10:オフボードAPIやモバイルアプリバックエンドの脆弱性リスクに関する標準リスト。
OWASP API Security Top 10
本記事の執筆者
小松 圭佑(コマツ ケイスケ)
VicOne株式会社 マーケティング部
長年にわたりマーケティング担当者として、様々な分野の専門情報を分かりやすく伝えるコンテンツマーケティングに従事。本記事群においては、読者視点に立ち、複雑化する自動車サイバーセキュリティの技術情報や規制動向を、整理・構成・執筆を担当。
本記事の監修者
山本 精吾(ヤマモト セイゴ)
VicOne株式会社 エンジニアリング部 スレットリサーチグループ プリンシパルセキュリティリサーチャー
ITシステムの運用開発業務ののち、2014年よりIT、クラウド、IoT、車載などのシステムに対するセキュリティ診断、ペネトレーションテスト、セキュリティコンサルティングなどを経験。現在はVicOneにて自動車の脆弱性リサーチ、セキュリティコンサルティング、ペネトレーションテストなどを担当。
📖 関連記事
リソースからもっと知る
自動車サイバーセキュリティの理解を深める
- 続きを読む自動車ペネトレーションテスト2026年4月10日自動車ペネトレーションテストの評価対象となる5つのレイヤー(ECU単体、車内NW、外部IF、オフボードAPI、車両全体)を解説。影響度、到達性、連鎖可能性の観点からテスト対象の優先順位付けを行う手法を紹介します。
- 続きを読む
自動車ペネトレーションテスト2026年4月10日自動車ペネトレーションテストの目的と効果を解説。ISO/SAE 21434のV字モデルにおける「妥当性確認(Validation)」としての位置づけ、TARAへのフィードバックサイクルについて詳述します。 - 続きを読む
自動車ペネトレーションテスト2026年4月10日自動車ペネトレーションテスト項目の導出方法を解説。TARA(車両固有リスク)、UN R155 Annex 5(規制)、最新攻撃手法(CVE等)の3つの情報源を統合し、効果的なテストシナリオを設計するプロセスを紹介します。
