ブログ

AI、EV、SDV が自動車業界を変革する中、サイバー脅威も同様に進化しています。VicOne の 2025 年の自動車サイバーセキュリティレポートを参考にし、この記事では、業界の脅威の展望に関する重要な洞察と、自動車メーカーが先手を打つために必要な戦略の概要をご紹介します。

たった1枚のSTM32ボードを使用して、本格的なRAMN（Resistant Automotive Miniature Network）のコア機能を再現することは、高度なインビークル・ネットワーキングに取り組むための実用的でコスト効率の高い方法です。このハンズオンガイドでは、エンジニアやリサーチャーが最小限のハードウェアで弾力性のある車載通信システムを試作できるように、ステップ・バイ・ステップのセットアップを実行します。

最近起きたLockBit（ロックビット）ランサムウェアグループの内部データ流出により、グループのチャットのやり取りが公開され、被害者がどのように標的とされ、恐喝されたかを知る貴重な内部情報が得られました。攻撃された被害者の中には、自動車関連企業の名前が目立ちます。その主な調査結果を紹介し、LockBit攻撃や類似のインシデントを阻止するために自動車関連企業が講じることのできる実践的な対策を概説します。

あるリサーチャーが、自動車の車載インフォテインメント・システムのアンドロイドOTAアップデートを解読することで、非公開のプログラムコードを入手しました。このリサーチャーが使用した方法が、最新の自動車サイバーセキュリティにとってどのような意味があるのかを検証します。

AIアシスタントが自動車に標準機能として搭載されるようになるにつれ、一見無害に見える入力によってシステムを密かに操作する「プロンプトインジェクション」などの新たなリスクが台頭しています。日常的な操作の中で、攻撃者が目に見えないコマンドを悪用する方法と、自動車の安全のために入力レベルのAIセキュリティが重要な理由について考察します。

Hitag2は、旧式のキーフォブシステムであり、以前からセキュリティ上の欠陥があることが知られていました。最近のデモンストレーションでは、1分以内にクラッキングできることが示されました。ここでは、その攻撃の仕組みと、古い暗号化プロトコルが今日の自動車に深刻なリスクをもたらす理由について解説します。

Pwn2Own Automotive 2024において、車載インフォテインメント（IVI）カテゴリーでターゲットのひとつに設定されたDMH-WT7600 NEXに対してセキュリティリサーチャーが実証した3つのバグによるエクスプロイトチェーンを分析します。また、自動車に特化した脅威マトリックス（ATM）に対応させ、同様のエクスプロイトを軽減するための業界のベストプラクティスを紹介します。

セキュリティリサーチャーが、SUBARUのIVI（車載インフォテインメント）システム管理パネルの脆弱性を発見しました。これにより、個人情報、GPS記録、車両制御への不正アクセスが可能になります。この調査結果を検証し、自動車メーカーが車両のライフサイクル全体を通じてセキュリティを最優先するアプローチを採用する必要性を説明します。

2025年が始まって最初の数週間だけで、自動車業界を狙ったランサムウェア攻撃は急増しています。最近の事例と、これらの攻撃が自動車サイバーセキュリティに及ぼすより広範な影響について考察します。

Pwn2Own Automotive 2024で発見されたPhoenix Contact CHARX SEC-3100 EV充電コントローラの2つのリモートコード実行（RCE）脆弱性について、その影響と考えられる緩和策に焦点を当てて説明します。

本稿ではPwn2Own Automotive 2024において、NCCグループチームがAlpine Halo9 iLX-F509 IVIシステム上でゲーム『DOOM』をプレイして見せた2つのバグの連鎖を検証します。攻撃者がルートアクセス権を獲得した場合、より深刻な影響が生じることに注目し、リスクを軽減するための対策を推奨します。

Pwn2Own Vancouver 2024でSynacktivのリサーチャーが発見した、Tesla（テスラ）のタイヤ空気圧モニタリングシステム（TPMS）のゼロクリック型リモートコード実行（RCE）脆弱性を検証し、コネクテッド車両のセキュリティへの影響について考察します。