自動車産業がソフトウェア定義車(SDV)に進化し、AIなどの技術をますます取り込むにつれ、自動車を狙う脅威状況も変化してきています。車両の接続性が向上し、他の車両、道路インフラ、クラウドサービスと通信するようになったことで、攻撃者が利用できるアタックサーフェスが大きく広がりました。このように相互に繋がった環境では、サイバー攻撃のリスクが増加し、自動車産業の関係者全体にもリスクが及んでいます。また、最新技術を搭載していない古い車両モデルも、独自の課題を抱えています。これらのモデルには、修正パッチ適用が難しい脆弱性が多く存在しており、自動車メーカーや車両の所有者にセキュリティリスクや潜在的な損害をもたらす危険性があります。
これらの動向を踏まえ、本稿では、VicOneが2024年に自動車産業に影響を与えうる脅威やリスクの種類、およびそれらを軽減するために推奨する対策を提示します。
ハードウェアの脆弱性、サイバー攻撃、AIリスクなどが増加する
- 今後、より多くのハードウェア脆弱性が発見されるでしょう。これらの脆弱性は一般的に悪用が難しいものですが、修正も同様に困難となります。特筆すべき例として、AMDのZen 2マイクロアーキテクチャに存在するCPU脆弱性「Zenbleed」が挙げられます。この脆弱性は、悪用されると、車両からの機密情報流出や、他のセキュリティ対策を侵害する攻撃フローの一部にされる可能性があります。AMDのZenアーキテクチャは、Tesla社が最新世代の電気自動車に採用しているため、Zenbleedのような脆弱性がこうした車両に影響を与える可能性があります。対策としては、Pwn2Own Automotiveなど、責任ある開示やバグ報奨金プログラムを実施することが、これらの脆弱性の効果的な特定と対処に役立ちます。
- ソフトウェア開発ライフサイクルにおいてより良い実践が取り入れられているにもかかわらず、オープンソースソフトウェアの脆弱性は依然として続くでしょう。対策としては、ソフトウェア材料表(SBOM)の管理、オーバーザエア(OTA)アップデート、責任ある開示、バグ報奨金プログラムなどが、オープンソースソフトウェアの脆弱性に関連するリスクを管理する上で不可欠です。
- OTAアップデートは新機能とセキュリティパッチを提供しますが、OTAなりすましによるマルウェア感染リスクも引き続き存在します。対策としては、信頼できるインフラを確立し、転送されるデータを検証することが、OTAなりすましを防ぐ上で重要です。
- インサイダーによる破壊活動や情報漏えいのリスクが、今後より深刻な問題となるでしょう。クラウドに保存されるユーザ情報が増えるにつれて****、意図的であれ偶発的であれ、こうした情報の漏えいによる損害の可能性も高まります。例えば、2023年4月には、ある大手電気自動車会社の元従業員が、社内メッセージングシステムを通じて、車内カメラで撮影された車両所有者のプライベート映像を共有したと報じられました。対策としては、強化された内部セキュリティプロトコル、定期監査、従業員研修がインサイダーによる脅威リスクの最小化に役立ちます。
- サイバー攻撃やランサムウェア事例の増加傾向は今後も続くでしょう。これらの攻撃は、自動車メーカー(OEM)やサプライヤーに影響を及ぼし、インフラの侵害や機密情報の窃取を目的としています。特にセキュリティが不十分なクラウドエンドポイントの脆弱性は標的にされる危険性があります。対策としては、システムの強化を目的としたベストプラクティスの採用がこれらの攻撃を防ぐ上で重要となります。
- AIが高度運転支援システム(ADAS)に新たなリスクをもたらすでしょう。AIによって自動運転技術は大きく進歩しましたが、それには課題も伴います。AIモデルの不具合による「幽霊ブレーキ」や障害物の認識不足などが増加している現状が懸念されています。また、意図的に作られた物体によってAIが誤認することで、危険な状況が生じることもあります。これらのリスクを最小限に抑えるためには、AIモデルの継続的なテスト、検証、更新が必要となります。
- セキュリティが強化された新たな設計にも関わらず、安全でない伝送方法を使用する車両のエントリー/イモビライザーシステムは今後も存在し続けるでしょう。例えば、古いキーフォブは多くの場合、車両の内部メッセージバスに依存しており、「CANインジェクション」のような攻撃に弱い傾向があります。これらの信号は簡単に解読され、特定の車種の盗難率が高いことからもわかるように、車両盗難につながる可能性があります。対策としては、よりセキュアなエントリーシステムへのアップグレードと、追加のセキュリティ対策を施すことが必要です。
- 製品やサービスが正式な流通チャネルを経由せずに販売されるグレーマーケットでは、サブスクリプション機能のアンロックやジェイルブレイクの傾向が今後も増加すると予想されます。これには通常、設定の変更、ソフトウェアの変更、またはハードウェアの改造が含まれ、車両の予期せぬ挙動につながることがあります。対策としては、不正な改造を防ぐためのセキュリティプロトコルを強化し、ジェイルブレイクのリスクについて消費者を教育することが重要となります。
上述した脅威やリスクの中には、OEMやサプライヤーにより関連するものもあれば、エンドユーザーに直接的な影響を与えるものもあります。以下の表では、自動車サイバーセキュリティの文脈で、各グループが直面している課題と懸念を示し、それぞれの優先事項と影響範囲を明確にしています。
| 脅威/リスクのタイプ | OEM/サプライヤーにおける課題と懸念 | エンドユーザーにおける課題と懸念 |
|---|---|---|
| ハードウェアの脆弱性 | 製品品質とサプライチェーンのセキュリティに焦点を当て、車両の信頼性と安全性を保証する | 自車の信頼性と安全性に関する懸念が運転体験に影響を及ぼす |
| ソフトウェアの脆弱性 | ソフトウェアの障害や脆弱性を防ぐために安全なソフトウェア開発の実践を重視する | ソフトウェアの信頼性が車両の機能と安全性に影響することへの懸念 |
| OTAなりすまし | OTAアップデートの完全性を保ち、車両ソフトウェアのセキュリティと機能性を維持する | アップデートが改ざんされ、車両の性能とセキュリティに影響を及ぼす可能性への懸念 |
| インサイダーによる破壊活動 | 規制遵守に対応し、データとシステムへの内部脅威を阻止する | 内部の違反や漏えいにより個人データが危険にさらされることへの恐れ |
| サイバー攻撃/ランサムウェア事例 | サービス拒否、身代金要求、評判への損害のリスクを管理する | 個人データのセキュリティと車両機能が危険にさらされる可能性への懸念 |
| AI/ADASのリスク | 複雑なシステム設計とテストを管理し、AI駆動機能の信頼性と安全性を保証する | AIシステムの信頼性と安全性に依存して、運転体験を向上させる |
| 車両のエントリー/イモビライザーシステム | 不正アクセスを防ぐための安全なアクセス制御を設計し実装する | エントリーとイモビライザーシステムの脆弱性による車両盗難のリスクへの懸念 |
| サブスクリプション機能のジェイルブレイク | 不正アクセスと改造を防ぐための安全な設定とファームウェアを開発する | 機能の変更やアンロックにより、意図しないシステムの挙動や脆弱性が生じることへの懸念 |
表1:自動車サイバーセキュリティに関するOEM/サプライヤーとエンドユーザーの課題と懸念
規制遵守による軽減策
規制の観点から、ISO/SAE 21434はOEMおよびサプライヤーが自動車開発において「Vモデル」を遵守することを義務付けています。これにより、車両のライフサイクルまたはエコシステムを通じて、様々な脅威に対する包括的な対応を保証します。ISO/SAE 21434に加え、他の業界標準や規制もこれらの進化する脅威に対応しています。以下の表ではこれらを列挙し、規制遵守が脅威の効果的な軽減にどう役立つかを強調しています。
| 脅威/リスクのタイプ | 軽減のための関連業界標準および規制 |
|---|---|
| ハードウェアの脆弱性 | ISO/SAE 21434, ISO 26262, IEC 61508 |
| ソフトウェアの脆弱性 | ISO/SAE 21434, ISO 26262, IEC 61508, EN 303 645, UN R155 |
| OTAなりすまし | ISO/SAE 21434, EN 303 645, UN R156 |
| インサイダーによる破壊活動 | ISO/IEC 27001, GDPR |
| サイバー攻撃/ランサムウェア事例 | ISO/IEC 27001, GDPR, EN 303 645, UN R155 |
| AI/ADASのリスク | ISO/SAE 21434, ISO 26262, IEC 61508 |
| 車両のエントリー/イモビライザーシステム | ISO/SAE 21434 |
| サブスクリプション機能のジェイルブレイク | ISO/SAE 21434 |
表2:自動車の脅威とリスクを軽減するための業界標準と規制
APIセキュリティの重要性
API(アプリケーションプログラミングインターフェース)は、先に挙げた脅威やリスクに直接当てはまらないかもしれませんが、それらと密接に関連しており、多くの場合、様々な脅威やリスクの根本原因となります。APIは、コンポーネントやサービスを分離することで重要な役割を果たし、企業や組織が開発をより効率的に分割し、効率を向上させることを可能にします。しかし、API管理のベストプラクティスを怠ると、壊滅的な結果につながることがあります。そして、車両に接続されたモバイルアプリとバックエンドサーバー間の連携、OEMサーバーが車両へOTAアップデートを行うケース、OEMの内部サーバーからデータを取得する場合などが特に重要となります。
APIの脆弱性による脅威とリスクには、以下のようなものが含まれます:
- OTAなりすまし:不正なAPI呼び出しが、合法的なOTAアップデート要求を模倣する場合があります。
- インサイダーによる破壊活動:内部関係者は、APIの脆弱性を利用して機密データにアクセスしたり、漏洩させたりすることがあります。
- サイバー攻撃/ランサムウェア事例:APIは攻撃者がシステムに侵入し、ランサムウェアを配布する入口となることがあります。
- 車両エントリー/イモビライザーシステム:APIの欠陥により、車両制御システムへの不正アクセスが可能になる場合があります。
APIのセキュリティは、自動車システムの全体的な安全性にとって非常に重要であり、多岐にわたる機能と潜在的な脆弱性に影響を及ぼします。
前進への道筋
2024年の自動車サイバーセキュリティ予測や推奨される軽減策から、自動車のアタックサーフェスが大きく広がりつつある一方で、最も重要な脅威やリスクの多くは既に十分に認識されていることが分かります。そのため、コネクテッドカーの関係者には、他の業界において既に確立されたセキュリティ対策を取り入れ、規制遵守やAPI管理などの既存の技術を利用して、自動車サイバーセキュリティの未来に向けてのレジリエンスと堅牢性を確保することを強く推奨します。
本稿は「 2023年 VicOneによる自動車サイバー関連のセキュリティレポート. シリーズの最後となる第3部です。広範な自動車データエコシステムに関する調査を解説した 第1部 、現在の自動車サイバー脅威の動向についてのメインびレポートである 第2部もそれぞれご参照ください。