By Ling Cheng (Senior Product Marketing Manager)
前回の記事では、ゼロデイ脆弱性の重要性と自動車のスレットインテリジェンスにゼロデイ脆弱性情報を組み込む必要性について解説しました。本稿では、2024年1月24日から26日に東京で開催されたPwn2Own Automotiveイベントの素晴らしい成果をご報告できることを嬉しく思います。このイベントはVicOneとトレンドマイクロのゼロデイイニシアチブ(ZDI)が主催し、合計49件に及ぶ新規のゼロデイ脆弱性が発見されました。現在、これらの中で44件の脆弱性を検出できるのは、自動車向けサイバーセキュリティ製品の中ではVicOne製品だけです。これらの脆弱性は、次世代の車両セキュリティオペレーションセンター(VSOC)プラットフォーム「xNexus」、フリクションレス車載侵入検知・防御システム「xCarbon」、そして高性能な自動車脆弱性管理とソフトウェア構成表(SBOM)管理システム「xZETA」を含む、当社の製品ラインアップによって検出可能です。
この中には、参加チームのNCC Group EDGが車載インフォテインメントシステムで人気のファーストパーソンシューティングゲーム「Doom」を動かすことを可能にした脆弱性も含まれています。また、参加チームのSina Kheirkhahは、メーカーによって通常は無効化されている充電器のカメラを起動し、ダンスするRick Astley氏を表示して電気自動車の充電システムを「rickroll(踊るRick氏)」するために2件の脆弱性を連携させました。
これらのゼロデイ関連スレットインテリジェンスによって、VicOneのお客様には、他のセキュリティベンダーから得られない大きなアドバンテージが提供されます。こうした早期検出機能を提供することで、自動メーカーOEM、Tier 1サプライヤー、EV充電システムサプライヤーは、競合よりも早くリスクやそれらに関する潜在的なビジネスへの影響をプロアクティブに確認することができます。これによりお客様は、自社の車両コンポーネントや充電システムがこれらゼロデイ脆弱性44件のいずれかに脆弱かどうかを判断し、潜在的なリスクに対して先手を打つことができます。
以下、それぞれの製品から詳細を説明します。
ECUソフトウェアパッケージ内のゼロデイ脆弱性を検出する唯一の方法
既知の脆弱性への対策だけでは、常に変化する自動車のセキュリティ環境におけるリスクを効果的に低減させるには不十分です。現在の脆弱性管理システムが既知の脆弱性に主眼を置いているのに対し、VicOneのxZETAは、電子制御ユニット(ECU)やEV充電システムのファームウェアやバイナリーに存在し得るゼロデイ脆弱性を検出するように設計されています。
xZETAを利用することで、OEM、Tier 1サプライヤー、EV充電システムのサプライヤーは、早期警告を受け、迅速に確認することが可能になります。これにより、ECUや充電システムのソフトウェアパッケージにこれらのゼロデイ脆弱性が含まれているかどうかを検出できます。xZETAは、これら特定のゼロデイ脆弱性だけでなく、未公開の脆弱性やCWE、標的型サイバー攻撃(APT)、ランサムウェアに至るまで、広範な検出範囲を提供します(図1参照)。VicOneは、お客様が未知の脆弱性の盲点を解消し、サイバーセキュリティの体制の全体的な強化をサポートします。
図1:xZETAは、ソフトウェアパッケージに存在し得るゼロデイ脆弱性が検出可能な唯一の製品
他に類を見ない保護機能:自動車のゼロデイ脆弱性情報における最高のスレットインテリジェンスを駆使した迅速なリスクアセスメント
自動車のゼロデイ脆弱性を見落とすことは、未知の脆弱性というセキュリティ上の盲点を生じさせる可能性があり、この点からも効果的な自動車関連のスレットインテリジェンスの役割がいかに重要か分かります。
VicOneによる独自かつ最先端の自動車関連のスレットインテリジェンスを基盤とする次世代VSOCプラットフォーム「xNexus」とフリクションレスの車載IDS/IPSである「xCarbon」は、これらのゼロデイ脆弱性に対応しています。お客様は、わずか一回のクリックで「xNexus」を通じてリスクおよびビジネスへの影響を迅速に確認でき、使用中のシステムが悪用され得るゼロデイ脆弱性に対して脆弱であるかどうかを判断できます(図2を参照)。また、VSOCチームは、攻撃経路や感染経路、さらに戦術、技術、手順(TTPs)など、自動車のセキュリティ対策において重要となる詳細情報にアクセスし、包括的な知見を得ることができます。そして車両が走行中でも充電システムが稼働中でも、「xCarbon」によりこれらのゼロデイ脆弱性を検出することが可能であり、自動車メーカーOEMやサプライヤーに安心を提供します。
図2:ワンクリックでxNexusからリスクやビジネスへの影響を迅速に確認できる
ZDIの強固な支援とPwn2Own Automotiveイベントのような戦略的な取り組みにより、VicOneの自動車関連スレットインテリジェンスは、ゼロデイ脆弱性についての独自の知見を含んでいます。これにより、お客様は未知の脆弱性というセキュリティ上の盲点を解消し、サイバー攻撃を早期に確認する能力を獲得し、自身のシステムを保護するための包括的なサポートを得ることができます。
注:ゼロデイ脆弱性の重要性を鑑み、標準的なゼロデイ脆弱性管理プロセスを順守し、VicOneのソリューションは脆弱性の状況に応じて定期的に最新情報へと更新されます。この記事は、脆弱性件数を明確にするために、2024年2月9日に更新されました。