ブログ

従来の脆弱性管理プラットフォームには、増加するゼロデイ脆弱性のリスクについては見落としてしまうセキュリティ上のギャップがどうしても生まれてしまっていました。VicOneの脆弱性&SBOM管理ツール、xZETAがどのように脆弱性の可視性を高め、新たな脅威に先手を打つことを支援できるかを紹介します。

最近起きたLockBit（ロックビット）ランサムウェアグループの内部データ流出により、グループのチャットのやり取りが公開され、被害者がどのように標的とされ、恐喝されたかを知る貴重な内部情報が得られました。攻撃された被害者の中には、自動車関連企業の名前が目立ちます。その主な調査結果を紹介し、LockBit攻撃や類似のインシデントを阻止するために自動車関連企業が講じることのできる実践的な対策を概説します。

あるリサーチャーが、自動車の車載インフォテインメント・システムのアンドロイドOTAアップデートを解読することで、非公開のプログラムコードを入手しました。このリサーチャーが使用した方法が、最新の自動車サイバーセキュリティにとってどのような意味があるのかを検証します。

自動車のサイバー脅威が複雑化するにつれ、自動車に特化した脅威インテリジェンス（TI：スレットインテリジェンス）が不可欠になっています。しかし、すべてのソリューションが効果的にリスクを低減できるわけではありません。自動車向けTIアプローチが適切かどうかによって、必要なインサイトを与えてくれる有益なものとなるか、それとも単に情報過多となってしまうのか、その違いを生み出す理由を探ります。

今日の脅威情報の動向は非常に速く、静的なTARA（Threat Analysis and Risk Assessment：脅威分析とリスク評価）ではもはや対応できません。動的なTARAが、迅速な対応、緊密な連携、継続的な保護によって、いかに組織を優位に導くかについて説明します。

「AirBorne」と総称されるAppleのAirPlayプロトコルに存在するインパクトの大きい脆弱性は、CarPlay搭載車両をリモートコード実行、プライバシー侵害、システム侵害のリスクにさらします。この脆弱性がどのように機能するのか、悪用される可能性のある実際のシナリオ、そしてユーザーと自動車関係者が保護を維持するためにできることを探ります。

AIアシスタントが自動車に標準機能として搭載されるようになるにつれ、一見無害に見える入力によってシステムを密かに操作する「プロンプトインジェクション」などの新たなリスクが台頭しています。日常的な操作の中で、攻撃者が目に見えないコマンドを悪用する方法と、自動車の安全のために入力レベルのAIセキュリティが重要な理由について考察します。

Hitag2は、旧式のキーフォブシステムであり、以前からセキュリティ上の欠陥があることが知られていました。最近のデモンストレーションでは、1分以内にクラッキングできることが示されました。ここでは、その攻撃の仕組みと、古い暗号化プロトコルが今日の自動車に深刻なリスクをもたらす理由について解説します。

Pwn2Own Automotive 2024において、車載インフォテインメント（IVI）カテゴリーでターゲットのひとつに設定されたDMH-WT7600 NEXに対してセキュリティリサーチャーが実証した3つのバグによるエクスプロイトチェーンを分析します。また、自動車に特化した脅威マトリックス（ATM）に対応させ、同様のエクスプロイトを軽減するための業界のベストプラクティスを紹介します。

EV運送車両（フリート）がよりコネクテッドになるにつれ、サイバーセキュリティは長期的なパフォーマンス、コンプライアンス、資産活用を確保する上でますます重要な役割を果たすようになっています。現代のフリートが直面する最も差し迫ったサイバーリスクを探り、企業が車両の安全性、運用性、生産性を維持するための実用的な戦略を提示します。

セキュリティリサーチャーが、SUBARUのIVI（車載インフォテインメント）システム管理パネルの脆弱性を発見しました。これにより、個人情報、GPS記録、車両制御への不正アクセスが可能になります。この調査結果を検証し、自動車メーカーが車両のライフサイクル全体を通じてセキュリティを最優先するアプローチを採用する必要性を説明します。

効果的な攻撃経路の特定により、自動車メーカーやサプライヤーは、複雑化するセキュリティ脅威の状況に先手を打つことができます。VicOne xZETAが、アルゴリズムと厳選された自動車関連の脅威情報を組み合わせ、製品セキュリティリスク評価を合理化し、手作業を最小限に抑え、実用的な分析結果を導き出す方法を紹介します。