Pwn2Own Automotiveから得た教訓をいかに活かすべきか

2024年2月15日
CyberThreat Research Lab
Pwn2Own Automotiveから得た教訓をいかに活かすべきか

By Gloria Chen (Senior Threat Researcher, Automotive), Spencer Hsieh (Staff Threat Researcher, Automotive), Shin Li (Staff Threat Researcher, Automotive), Omar Yang  (Senior Threat Researcher, Automotive)

自動車業界に特化した記念すべき初開催のPwn2Own Automotiveが終了して数週間が経ち、VicOneの主催とトレンドマイクロのZero Day Initiative(ZDI)の支援による3日間のイベントからは、さまざまな新たな知見が得られました。テスラ、オペレーティングシステム、車載インフォテイメントシステム(IVI)、電気自動車(EV)充電器の4つの主要カテゴリーで51の課題に挑んだ世界中の17のチームと個人が、初めて自動車を中心としたこのPwn2Ownで自分たちの技術を披露しました。参加者たちは賞金を獲得し、Synacktivチームが総合優勝、「Master of Pwn」として表彰されました。そして自動車業界にとっての本当の利益は、イベント中に発見された49件のゼロデイ脆弱性と、それらに取り組む機会が与えられたことにあります。

本稿では、これらの数値的な結果にとどまらず、新たに浮かび上がったセキュリティ上のギャップや注目すべき動向に焦点を当てることで得られた主要な知見を共有します。

経験から得られた主要な知見

Pwn2Own Automotiveは、さまざまな自動車システムや部品に存在する重要な脆弱性だけでなく、この分野での一般的な動向も浮き彫りにしました。以下、新たに明らかになったセキュリティの問題点や脆弱性から、イベントで披露された専門技術のレベルまで、今回の経験から得られた知見を説明します。

カテゴリーごとにセキュリティレベルが異なる

テスラは展示されたシステムの中で最もセキュリティが高く、堅固なセキュリティフレームワークを備え、このカテゴリーは、当イベントのようなバグバウンティプログラム(報奨金制度によるセキュリティ脆弱性発見プログラム)での大きなインセンティブもなっています。

一方で、充電コントローラーのカテゴリーでは、これらデバイスのセキュリティが最も低く、1990年代の機器を思わせる状態でした。これらのコントローラーは、データ実行防止(DEP)、アドレス空間レイアウトのランダム化(ASLR)、バッファセキュリティチェックなど、現代のオペレーティングシステムにとって一般的なセキュリティ機能を備えていませんでした。

また、ファームウェアへのアクセス性もデバイスによって異なり、IVIシステムや充電ステーションのファームウェアは、WindowsやLinuxのバイナリよりも入手が困難であることが判明しました。それでもなお、これらのデバイスで用いられているセキュリティ機能は、主要なオペレーティングシステムに比べて後れを取っています。

車両エコシステム全体へのセキュリティ向上が求められている

カテゴリーごとのセキュリティ強度の差異から、参加者たちは、攻撃しやすいと思われる対象に目を向けがちでした。実際、テスラをターゲットにしたのがわずか1チームであったに対し、8チームが電気自動車の充電器を狙ったカテゴリーに参加していました。こうした偏りは、自動車業界全体に渡ってセキュリティ対策を強化することの緊急性を浮き彫りにしています。

自動車業界のベンダーとセキュリティ専門家の間の知識格差

各試行の後、自動車業界のベンダー代表のエンジニアに対して、発見された脆弱性を報告しました。しかし、いくつかのベンダーは、これらの欠陥を理解するのに必要なサイバーセキュリティに関する知識が不足しているようでした。こうした知識面でのギャップからは、セキュリティ専門家やセキュリティソリューションを紹介し、自動車システムのセキュリティを強化する機会があることが示されているといえます。一方、今回これらのベンダーがPwn2Own Automotiveに参加していることは、ベンダー側で問題点を改善する意欲があることを示しているともいえます。

広く認識されていて対応可能なセキュリティの問題点も再認識された

今回のイベントでは、広く認識されていて対応可能なセキュリティの問題点も改めて再認識されました。

特に自動車産業で見られる大きな問題の1つに、多くの現存するチップが更新できないというセキュリティ上の課題があります。現状、これらについては更新ではなく交換が必要となっています。そのため、次世代の電気自動車(EV)においていかにしてチップのオーバー・ザ・エア(OTA)アップデートを可能にするかが重要な課題となっています。

また、充電器にJTAGのようなデバッグインターフェースが広く用いられていることも問題といえます。これにより、不正アクセスや悪用を容易にする深刻なセキュリティリスクを引き起こします。この問題は、Pwn2Own Automotiveイベント中、ZDIのリサーチャーたちに実演されました。

開発プロセスの問題点

静的アプリケーションセキュリティテスト(SAST)によって短時間で脆弱性が見つけ出された状況も、今回のイベントでは目の当たりにされました。これは、自動車部品の開発過程に問題があることを示しており、より厳密なセキュリティテストの手順を導入する必要性を強調しています。

脆弱性の発見の重要性

これらの知見を得ることが、今回、VicOneがZDIと共に自動車業界に特化した倫理的ハッキングとしてのPwn2Ownイベントを開催した理由の1つです。

自動車システムのゼロデイ脆弱性を発見する分野で業界を牽引するVicOneは、変化し続ける自動車エコシステムと、それが示す広大なアタックサーフェスに積極的に取り組んでいます。自動車メーカー、サプライヤー、自動車ネットワーク全体へのサイバーセキュリティソリューションの提供に加え、VicOneは実地に根ざした研究と協働を通じて、現実の問題に対処しています。専門家を招いて自動車システムの脆弱性を探り、技術革新を推進し、様さまざまなサイバー脅威からコネクテッドカーを守ることを目指しています。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

  • Pwn2Own Automotive 2024より:IVIシステムを標的とした3つのバグ悪用連鎖を分解
    ブログ
    2025年3月31日
    Pwn2Own Automotive 2024において、車載インフォテインメント(IVI)カテゴリーでターゲットのひとつに設定されたDMH-WT7600 NEXに対してセキュリティリサーチャーが実証した3つのバグによるエクスプロイトチェーンを分析します。また、自動車に特化した脅威マトリックス(ATM)に対応させ、同様のエクスプロイトを軽減するための業界のベストプラクティスを紹介します。
    続きを読む
  • サイバーセキュリティがEVフリート資産活用の要となる理由
    ブログ
    2025年3月25日
    EV運送車両(フリート)がよりコネクテッドになるにつれ、サイバーセキュリティは長期的なパフォーマンス、コンプライアンス、資産活用を確保する上でますます重要な役割を果たすようになっています。現代のフリートが直面する最も差し迫ったサイバーリスクを探り、企業が車両の安全性、運用性、生産性を維持するための実用的な戦略を提示します。
    続きを読む
  • IVIシステム管理パネルの脆弱性により、車両追跡と制御がどのように可能になったか
    ブログ
    2025年3月13日
    セキュリティリサーチャーが、SUBARUのIVI(車載インフォテインメント)システム管理パネルの脆弱性を発見しました。これにより、個人情報、GPS記録、車両制御への不正アクセスが可能になります。この調査結果を検証し、自動車メーカーが車両のライフサイクル全体を通じてセキュリティを最優先するアプローチを採用する必要性を説明します。
    続きを読む
  • 時間がかかっていた攻撃経路の特定を迅速化する方法とは
    ブログ
    2025年3月10日
    効果的な攻撃経路の特定により、自動車メーカーやサプライヤーは、複雑化するセキュリティ脅威の状況に先手を打つことができます。VicOne xZETAが、アルゴリズムと厳選された自動車関連の脅威情報を組み合わせ、製品セキュリティリスク評価を合理化し、手作業を最小限に抑え、実用的な分析結果を導き出す方法を紹介します。
    続きを読む
ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼