電気自動車(EV)がモビリティの姿を塗り替えつつあります。しかしその普及を支える充電インフラは、いまだに時代遅れの考え方で守られているのが実情です。
多くの組織では、EV充電器をいまだに「1つのデバイスカテゴリー」として扱っています。ハードウェアを評価し、定期的なパッチを適用すれば対応は完結するという発想です。充電器が単独で動いていた時代であれば、その捉え方で十分でした。しかし現在の充電器は、1回の充電セッションの中で、充電器本体、車両側のオンボードシステム、モバイルアプリ、決済サービスプラットフォーム、クラウド上の管理システムといった複数の要素と相互に連携し、どこか一層に脆弱性があれば他の層にも影響が及ぶ構造になっています。
充電器のセキュリティを、自動車全体やコネクテッドインフラのセキュリティとは切り離して考えることが根本的な間違いです。これらは別々の問題ではなく、同じ問題の延長線上にあります。
図1. 車両、充電器、サービス基盤が連携したネットワークとして動作するEVエコシステムの全体像
EV充電はもはや周辺機器の問題ではありません
従来、EV充電器のセキュリティといえば、デバイスそのものに焦点を当てたものでした。ファームウェアの完全性、物理的な改ざん耐性、機器単位でのネットワーク分離といった対策はもちろん重要ですが、いずれも複数の層にまたがる現在のシステムの中ではたった1つのノードへの対応にすぎません。
現代の充電セッションが成立するためには、以下のすべてが正常かつ安全に動作している必要があります。
- 充電器のハードウェアとファームウェア:電力供給と通信
- 車両側のオンボードシステム:セッションの認証と管理
- モバイルアプリ:決済、セッション制御、アカウント管理
- OCPP(Open Charge Point Protocol)の実装:充電器とネットワーク事業者の連携
- クラウドベースの充電管理システム:課金、電力網との信号連携、遠隔設定
これらの層のいずれか一つにでも弱点があれば、他の層にまで攻撃対象領域は広がります。攻撃者がクラウド側の管理基盤を侵害すれば不正なファームウェアを充電器へ大規模に配信でき、OCPPの実装に脆弱性があればセッションを不正にリダイレクトしたりコマンドを傍受したりすることも可能です。また、モバイルアプリが標的になれば物理的なアクセス権限までを握る認証情報が盗まれかねません。
EV充電のセキュリティはデバイス単体の問題ではなく、インフラそのもののセキュリティ問題です。
EV充電インフラの攻撃対象領域はどこにあるのか
EV充電インフラには、利用者が直接触れるインターフェースと、その裏側で動くハードウェアやプロトコル層の双方にわたって悪用可能な経路が存在します。2つのカテゴリーは手法こそ異なりますが、影響の面では密接に連動しています。
利用者側のインターフェースを狙う攻撃では、ドライバーと充電インフラの接点となるインタラクション層が標的になります。
- クイッシング(偽QRコード):充電ステーションの正規QRコードを不正なものに差し替え、偽の決済ページへ誘導して認証情報や決済データを窃取
- アカウントの乗っ取り:充電アプリの脆弱性を突き、認証情報を盗み出して進行中の充電セッションへの不正アクセスを試行
- ステーションへのランサムウェア攻撃:充電器の操作画面やバックエンドの管理システムをロックし、身代金が支払われるまでサービスを停止
- データ漏えい:接続されたバックエンドプラットフォームに保存されているユーザー情報や運用データの外部流出
プロトコルやハードウェア層を狙う攻撃は、インターフェースの裏側で動く仕組みそのものを標的にします。
- OCPPの悪用:OCPP実装の脆弱性を突き、充電器を攻撃者が用意したサーバーへ接続させ、充電セッションを掌握
- 信号の改ざん:物理的に装着する機器を用いて充電器と車両間の通信に介入し、不正なコマンドを充電プロセスに注入
- ファームウェアのロールバック:デバイスを古いファームウェアへ強制的に戻し、未修正の既知の脆弱性を悪用できる状態に誘導
- バッファオーバーフロー:細工したデータを送り込んでメモリエラーを誘発し、充電器上でリモートコード実行(RCE)を成立
- ケーブルを介した物理攻撃:充電ケーブル経由でSWCAN(Single-Wire CAN)インターフェースにアクセスし、車両ハードウェアと直接通信
- 数値範囲入力の欠陥(CWE-839):整数処理の誤りを突き、セキュリティ制御の迂回やデバイスの乗っ取り、クラッシュを誘発
これらの手口は方法こそ異なりますが、共通しているのはデジタルインターフェースとハードウェア/プロトコル層の両方にまたがる弱点を突いている点です。単一の対策で全てを防ぐことはできません。
「Pwn2Own Automotive 2026」が変えた議論の前提
EV充電器のリスクをいまだ理論的なものと捉えている組織にとって、Pwn2Own Automotive 2026は、それが現実であることを示す最も明確な証拠となりました。この大会は2026年1月、東京で開催されたAutomotive Worldにおいて実施され、3日間で76ものユニークなゼロデイ脆弱性が公開されました。この大会で、EV充電器は脇役ではなく中心的なターゲットカテゴリーでした。イベントから見えてきた主なポイントは次のとおりです。
- Alpitronic HYC50に対するアウト・オブ・バウンズ書き込み攻撃:Fuzzware.ioチームは、1件のメモリ欠陥を突いてレベル3充電器の完全な制御権を奪取しました。高出力の充電インフラであっても、下位グレードのデバイスと同種の脆弱性を抱えていることが実証されました。
- Autel MaxiChargerに対するエクスプロイトチェーン:同チームは、Autel MaxiChargerに対して複数の脆弱性を連鎖させ、コード実行と充電信号の改ざんに成功しました。
- レベル2充電器への複数の攻撃:Team DDOS、299、Petoworks、Compass Securityの各チームが、ChargePoint、Grizzl-E、Phoenix Contact製充電器に対する攻撃を成功させました。その中には、充電器と車両間の通信層を狙った信号の改ざん手法も含まれています。
メーカーや充電器のクラスを超えて多くの攻撃が成立した事実は、個別製品の問題ではなく業界全体に広がる仕組み上の問題の存在を物語っています。充電インフラは、自動車の中核的な脅威モデルの一部として扱うべき段階に入りました。
OEMやTier 1サプライヤーにとっての意味
EV充電インフラは、自動車メーカーにとって外部の第三者が抱える特殊なケースではありません。コネクテッドカーのエコシステムの直接的な延長線上にあり、充電システムの脆弱性は、車両の動作、ユーザーからの信頼、ブランド価値にまで影響を及ぼします。
OEMとTier 1サプライヤーにとって、特に重要な影響は次の3点です。
- サービス継続性への影響。充電管理基盤を狙ったランサムウェア、OCPPの弱点を突いたセッション乗っ取り、ファームウェアの改ざんといった攻撃は、充電サービスの提供を大規模に停止させ、車両群の運用事業者と一般ユーザー双方に影響を与えます。
- 車両セキュリティと充電器セキュリティの不可分性。充電器と車両の境界をまたぐ攻撃経路、たとえばSWCANを狙ったケーブル経由の物理攻撃や信号の改ざんは、充電器の脆弱性をそのまま車両レベルのリスクに転じさせます。
- サードパーティ連携による攻撃対象領域の拡張。バックエンドプラットフォーム、決済事業者、電力網管理システムといった外部連携はすべて依存関係を生み出します。セキュリティ検証がスタック全体に及んでいなければ、どの連携ポイントも侵入口になり得ます。
いま求められるセキュリティの考え方
EV充電インフラが攻撃可能かどうか、という問いはもはや過去のものです。「Pwn2Own Automotive 2026」がその答えを出しました。いま問われているのは、コネクテッドカーのエコシステム全体に適用しているのと同じ厳格さで、充電インフラのセキュリティに向き合えているかどうかです。
そのためには、検証の範囲を充電器ユニット単体から広げ、ファームウェアの更新経路、OCPPの実装、モバイルアプリのインターフェース、クラウド管理プラットフォームまで含めて評価する必要があります。一度きりの評価ではなく継続的なテストが前提となり、何より、充電器と車両が同じ脅威モデルを共有しているという認識を組織の中で定着させることが欠かせません。
この攻撃対象領域がどのように変化しているかをより深く知りたい方は、VicOne 2026年 自動車サイバーセキュリティレポートをご覧ください。このレポートでは、コネクテッドカーと充電インフラを取り巻く業界全体のリスク動向を詳しく解説しています。
著者について
Florengen Arvin Parulanは、VicOneのオートモーティブ脅威リサーチャーとして、自動車分野におけるサイバー犯罪の調査や、CANバスシステムに内在する重大な脆弱性の特定を専門に研究しています。長年にわたる厳格な自動車テストおよび品質保証の経験を基盤に、従来の車両エンジニアリングと高度なサイバーセキュリティをつなぐ独自の視点から、コネクテッドモビリティの未来を守るべく、新たに顕在化するリスクが実際の路上に到達する前にそれを発見し、軽減するための研究に取り組んでいます。