VicOneによる2025年の自動車サイバーセキュリティインシデント分析から、構造的な変化が浮かび上がっています。攻撃はもはや、自動車エコシステムの単一層に留まらなくなっています。インシデントが主にクラウドやバックエンドシステムに集中していた2024年と比較すると、最近の攻撃は企業ITシステム、車外インフラ、車載環境を横断して展開されるケースが増加しています。
拡大するアタックサーフェスが映し出すガバナンスの空白
アタックサーフェス(攻撃対象領域)が拡大している背景には、攻撃者の戦略が突然変化したことよりも、アーキテクチャ上の統合が進んだ結果という側面があります。車両、クラウドプラットフォーム、企業ITシステムは設計上、緊密に結合されています。その一方で、ガバナンスや責任の所在、意思決定の体制は依然として分断されたままです。
図1:2025年のサイバーインシデントでは複数領域にまたがるケースが増加し、統合が進む自動車アーキテクチャに対してリスクガバナンスの分断が拡大している現状を浮き彫りにしています
技術的な境界が溶け、責任体制の整備が追いつかないなか、自動車業界はもはや個別に切り離されたリスクを管理するフェーズを超えています。従来型プラットフォーム、ソフトウェア・デファインド・ビークル(SDV)、AI対応技術が重なり合う中でそれぞれが分離されていた時代に設計されたガバナンスモデルのもと、横断的なセキュリティを確保しなければならない状況に直面しています。
オーバーラップ期:新たな運用の現実
VicOneは、自動車サイバーセキュリティレポート『岐路に立つ自動車サイバーセキュリティ —従来型と次世代技術が併存する「オーバーラップ期」のリスク変化—』において「オーバーラップ期」を、従来型の車両プラットフォーム、ソフトウェア定義型技術、AI対応技術が同一の運用エコシステム内で共存し続ける持続的な移行期間と定義しています。この新たな現実において、リスクはプラットフォームの世代交代とともに解消されるのではなく、領域をまたいで世代を超えて蓄積し続けます。
インシデント分析、脆弱性データ、独自調査を含むVicOneの脅威インテリジェンスを基盤として、本レポートは攻撃リスクが複合的に拡大しているポイントとそのペースに合わせてガバナンスを進化させる必要がある領域を明らかにしています。
オーバーラップ期の主な調査結果
図2:過去10年間における自動車分野の「緊急(Critical)」および「高(High)」深刻度の脆弱性の推移
深刻度の高いリスクが世代をまたいで蓄積しています:2025年には、自動車分野で765件の「緊急」または「高」深刻度の脆弱性が確認されており、2017年以降の増加傾向が続いています。多くの脆弱性が共通プラットフォームや長い製品ライフサイクルをまたいで残存し続けることで、サイバーリスクの実質的な継続期間が延長され、修正サイクルを経ても自然には解消されない状態が続いています。
リスクの11%はCVEの監視範囲外に存在しています:大多数の脆弱性はCVE(共通脆弱性識別子)を通じて追跡されていますが、一部の脆弱性はゼロデイ発見や独立した調査を通じて明らかになっています。2024年以降、「Pwn2Own Automotive」を通じて174件の自動車におけるゼロデイ脆弱性が発見されており、公式な脆弱性情報のみに依存するガバナンスモデルでは経営レベルのリスク把握に死角が生じることを示しています。
図3:レポートで検証したAIリスクのパターン:モデルのサプライチェーン侵害、AIオーケストレーションを介した攻撃の自動化、アシスタント経由のコンテンツインジェクション
AIは車載アタックサーフェスを再定義しています:車載AIが受動的なアシスト機能からエージェント型機能へと進化するにつれ、新たな攻撃経路が生まれています。クラウド中心の従来型の防御策では、リアルタイムな処理が求められるエッジ環境には十分に対応できません。
従来型プラットフォーム、SDV、AI対応技術の統合により、業界は重大な岐路に立たされています。サイバーセキュリティのガバナンス、アーキテクチャ、責任体制をめぐって今日下される意思決定が、将来の車両プラットフォームにおける信頼、安全性、そしてレジリエンスをいかに維持できるかを決定づけることになるでしょう。
レポート全文をダウンロードして、現代の自動車サイバーセキュリティが直面するリスクと具体的な対応の道筋をご確認ください。
