Shin Li, Staff Threat Researcher, Automotive
世界最大規模の自動車向けゼロデイ脆弱性コンテスト「Pwn2Own Automotive」では、電気自動車用給電装置(以下、EVSE)のゼロデイ脆弱性が注目されました。2024年に初めて開催された本コンテストでは、Phoenix ContactのCHARX SEC-3100 EV充電コントローラーを含む様々なEV用充電製品について、リサーチャーらが29件の脆弱性を発見しました。そのうち半数はリモートコード実行(RCE)を可能とするものでした。 その他の攻撃手法としては、認証不要のファームウェア更新や設定情報の注入から、任意のファイルアップロードや権限昇格まで多岐にわたりました。
これらの発見は、EV充電インフラにおけるサイバーセキュリティリスクの高まりを裏付けるものであり、現行の基準がEVエコシステムを十分に保護できるかどうかについて、緊急性を帯びた課題を投げかけています。この疑問に答えるため、VicOneは条項レベルの照合作業を実施し、主要なEVSEサイバーセキュリティ基準が、コンテストで明らかになった脆弱性にどのように対処しているか(あるいは対処できていないか)を分析しました。
EVSE基準に対する脆弱性のマッピング
本調査では、NCC Groupのセキュリティリサーチャーが44CONでの発表で詳述した、Phoenix Contact EV充電コントローラーに発見された脆弱性に焦点を当てます。
表1は、NCC Groupが発見した主要な脆弱性を、以下のEVSEサイバーセキュリティ基準と照合したものです:ISO 15118-20:2022(V2Gプロトコル)、NIST IR 8473(EV/XFCサイバーセキュリティプロファイル)、IEC 62443-3-3/4-2(産業用制御セキュリティ)、UN-R155(車両サイバーセキュリティ規制)。対応状況は、各規格の条項、注記、附属書に基づいて評価されています。各行に、当該要件が問題を真に軽減するか、間接的にしか触れていないか、あるいは規格の意図した範囲外であるかを明確にするためVicOneの評価と説明を記載しました。
なお、ISO/SAE 21434(自動車サイバーセキュリティエンジニアリング)については表1に記載されていない点、注意が必要です。この規格では「車両外部システム(例:バックエンドサーバー)はサイバーセキュリティの目的において考慮される可能性がある」と注記されているものの、同時にそのようなシステムは適用範囲外であるとも規定されています。継続的サイバーセキュリティ活動に関する第8章はベストプラクティスの参考にはなりますが、義務付けられているとは言い難い状況です。
一方、UN-R155では、メーカーがリスク評価において附属書5の3つのパートすべてを考慮することが求められています。パートBはインビークル対策に焦点を当てていますが、パートCはITバックエンドなど車外システムにまで範囲を拡大しています。 特に、表B4、A16.1では、遠隔操作可能な機能として「充電スタンド」が明示的に列挙され、緩和策M20(「遠隔アクセスを有するシステムにはセキュリティ制御を適用すること」)に対応付けられています。このため、充電インフラとのインターフェースに関する自動車メーカーの義務が適切に履行されるよう、脅威緩和の枠組みとして附属書5を用いてEVSE関連の脆弱性を評価します。
| 脆弱性 | ISO 15118-20 | NIST IR 8473 | IEC 62443 | UN-R155 | 説明 |
|---|---|---|---|---|---|
| CVE-2024-6788: 認証不要のLANファームウェア更新/エンドポイントにより「ユーザーアプリ」パスワードがデフォルトにリセットされ、SSH RCEが可能となる | 適用範囲外 – 7.3 では適用範囲を EVCC↔SECC TLS 保護 V2G メッセージに限定している。ファームウェア、OTA、および非 V2G は適用範囲外 | PR.IP-3(構成変更管理) | 62443-3-3 SR 3.4(ソフトウェアおよび情報の完全性) | A12.2 A6.1/6.2 M16 | ファームウェア更新は既存の設定を消去してはならない |
| CVE-2024-25995 (ZDI-24-856) 認証不要の 5001/TCP 設定 API 注入 → PPP スクリプト実行による RCE | 対象範囲外;サポート対象ポートに該当ポートは記載されていない(条項 7.8.2「V2GTP」は高ポートを使用);管理 API に関する要件はない | PR.AC-1/PR.AC-4(アクセス制御/最小権限原則);PR.PT-3(最小機能性);PR.IP-1(IT/ICSのベースライン設定) | 62443-4-2 CR 2.1 (認可の強制) | A16.1 A5.1 A29.1 M20 M22 | 管理用APIのエントリポイントは認証を必須とすべき。ユーザー入力はサニタイズされるべき |
| CVE-2024-25994 (ZDI-24-867) 9999/TCP 任意ファイルアップロード(実行権限付き)→ RCE | 対象外 | PR.PT-2(リムーバブルメディア/ファイル転送の制御);PR.IP-2(入力検証のための安全なSDLC) | 62443-3-3 SR 3.2 (悪意のあるコードの防止) | A16.1 A5.1/ 5.5 A29.1 M7 M20 M22 | アップロードされたファイルは解析され、検証されるべき。ファイルの権限は制限的であるべき |
| CVE-2024-25999 (ZDI-24-865) 管理スクリプトにおける sudo tar --checkpoint-action 注入によるローカル特権昇格 | 管理システムは対象外 | PR.AC-4(最小権限原則);PR.PT-3(最小機能性原則);PR.IP-2(安全なSDLC/入力検証);PR.MA-1(承認済み保守ツール) | 62443-3-3 SR 3.5 (入力検証) | A9.1 A28.1 / 28.2 M9 M23 M7 | 安全でないスクリプトは、root 権限で実行すべきではない。コマンドラインインジェクションは防止すべき |
| 複数の平文HTTPサービス(例:4444/5000/5001/9999)がデフォルトの認証情報で動作していて、中間者攻撃やコード注入を可能にしている(CVEなし) | TLS 1.3 は V2GTP ストリームにのみ必須(条項 7.7.3) | PR.PT-4(通信/ネットワーク保護);PR.DS-2(転送中データの保護) | 62443-3-3 SR 3.8 (セッションの完全性) | A6.2 / A6.3 / A6.1 A7.1 / A7.2 A29.1 A20.1–A20.5 / A25.2 M7 M8 | 中間者攻撃を軽減するため、最新の TLS を使用すべき |
| 悪用はされていないが特定されているもの:Cython コンパイルによるメモリ安全性の欠陥(例:リバースエンジニアリングされたコードにおけるバッファオーバーフロー) | 対象外 | PR.IP-2(静的/動的解析による安全な SDLC)、PR.DS-6(整合性チェック) | 62443-4-1 (セキュア開発) | A28.1 A27.1 M23 | メモリ問題はソフトウェア開発ライフサイクル(SDLC)によって軽減されるべき |
表 1. Phoenix Contact EV 充電コントローラーで発見された脆弱性と主要な EVSE サイバーセキュリティ基準を照合させたマッピング
表1に示す通り、特定の脆弱性はNIST IR 8473制御ファミリー(例:PR.IPおよびPR.MA)やIEC 62443システム要件によって対処することが可能です。しかしながら、各規格での自主的な実装や適用範囲の制限により、ギャップも生じています。 例えばISO 15118-20は、V2G通信プロトコル(7.3項)のみを保護対象としていて、ファームウェアや管理タスクに関する明示的な規制がありません。UN-R155サイバーセキュリティ管理システム(CSMS)フレームワーク(7.2項)は是正措置を義務付けていますが、その焦点は主に車両にあり、給電装置側には向けられていません。
これらの脆弱性はいずれもISO 15118-20に直接違反するものではありませんでした。しかしながら、既存のサイバーセキュリティ対策が存在していたにもかかわらず、Pwn2Own Automotive 2024でセキュリティリサーチャーはこれらの脆弱性が数分以内に悪用できてしまうことを明らかにしました。
EVSEインフラの保護を強化するためには、ISO 15118-20をIEC 62443などのOT(オペレーションテクノロジー)に焦点を当てた規格や、NIST IR 8473などのEV/EVSEに特化したガイダンスで置き換えるのではなく、それらの規格で補完する必要があるでしょう。
多層的だが不均一な防御
これらの規格は、広範なシステムの上にプロトコル固有の保護を構築することで、EV充電インフラに対する多層防御を総合的に形成しています。しかし、これらの防御層間の実装要件にはムラがあります。例えばISO 15118-20は、V2G通信チャネルの保護に焦点を絞っていて、ファームウェアの脆弱性は規制範囲外となっています。
NIST IR 8473は、多様な参照資料を108のEV/XFC固有サブカテゴリーに体系化した統合文書として際立っています。これら108のサブカテゴリーと422の参照資料を分析した結果、NIST SP 800-53r5が最も多く参照されている規格であることが判明しました。 これに続くのは、IEC 62443シリーズ(62443-2-1:D4E1からの参照が14%、62443-3-3:2013からの参照が9%)、NERC CIP規格、およびNISTハンドブック44やOIMLなどの計測・測定規格です。 その他の参照規格としては、ISO/SAE 21434、NISTインシデント対応(例:NIST SP 800-160v1の3%)などが挙げられます。各基準の参照割合を表2に示します。
| 規格/出典 | 参照割合 (%) |
|---|---|
| NIST SP 800-53r5 | 26% |
| IEC 62443 シリーズ | 23% |
| NERC CIP | 17% |
| 計測基準(例:NISTハンドブック44、OIML) | 6% |
| ISO/SAE 21434 | 4% |
| NISTインシデント対応(例:SP 800-61r2) | 5% |
| その他(例:NIST SP 800-160v1) | 19% |
表2. NIST IR 8473で引用された規格の参照分布
この分布は、セキュリティおよびプライバシー管理策のカタログ(NIST 800-53)から派生したNIST IR 8473の性質を反映しています。EV/XFCシステム(IEC 62443)におけるITとOTの要件の融合、および電力系統関連のリスク(NERC CIP)を重視したものになっています。ISO/SAE 21434 は自動車工学の 18 のサブカテゴリーで参照されているのに対して、NERC CIP は公益事業リスクの 71 のサブカテゴリーで参照されています。
EVSE基準のギャップ
各規格は悪用される脆弱性の一部をカバーし軽減しますが、最も効果を発揮するのはこれらを組み合わせて実装した場合です。例えばISO 15118-20:2022は、セキュリティをEVCC–SECC間のV2Gリンク(OSI L3–L7)に限定しています。この規格は、相互認証されたTLS 1.3およびEXI/XML署名を義務付けていますが、SECC-SAメカニズムを定義せずに二次アクターへの安全な転送を前提としています。その結果、ファームウェア、メンテナンスポート、その他の充電器インターフェースに対するプラットフォームレベルの制御は、補完的な仕様とオペレーターのガバナンスによって提供される必要があります。
NIST IR 8473は、108のサブカテゴリーにわたるリスクベースのプロファイルであり、署名付き更新、保守承認、異常検知(PR.MA、DE.CM)を重視した、事業者およびサプライヤー向けのチェックリストを提供しています。Pwn2Own Automotive 2024では、複数のEV攻撃手法が「ID管理」「アクセス制御」「情報保護」カテゴリに該当します。「適用性」に関する注記は、一般的なIT/OT標準と充電システムの橋渡しに役立ちますが、プロファイル自体は任意適用であり、参照内容は助言的な性質です。
IEC 62443(3-3および4-2)は、ソフトウェア/情報の完全性(SR 3.4)、悪意のあるコードからの保護(SR 3.2)、セキュアな構成(SR 7.6)を含む、組み込みシステムの強化に焦点を当てています。認証や最小限の機能性といったコンポーネントレベルの要件は、IEC 62443-4-2で追加されています。Pwn2Own Automotive 2024で確認されたEV脆弱性のうち、認証不要な設定APIなど一部は、この規格の適用範囲に直接該当します。ただし、このフレームワークはゾーン化されたアーキテクチャを前提としており、Phoenix Contact EV充電コントローラーでは実装されていません。
ISO/SAE 21434は、自動車ソフトウェア開発ライフサイクル(SDLC)全体にわたり、CSMS(サイバーセキュリティ管理システム)および脅威分析とリスク評価(TARA)を確立し(§10; §8.6)、CVE-2024-25999などの問題に対する是正措置を義務付け、注入リスクを特定します。IEC 62443と補完関係にありますが、車両指向でありながら、サプライチェーン要件(§7)を通じて充電器にも適用範囲が拡大される可能性があります。
UN-R155は、開発・生産・生産後フェーズ全体にわたるCSMSを義務付け(7.2.2.1)、メーカーは附属書5の関連するすべての緩和策(パートBおよびC)を適用する必要があります。更新プロセス上の脅威(A12.x)に対しては、M16(安全な更新手順)およびM11(暗号鍵の安全な保管)が含まれます。附属書5では外部接続性(A16.1で「充電スタンド」を明示的に言及しM20に対応)やデータリスクも扱っており、これにはプライバシーデータへのアクセス(B5 19.2)、車両データの喪失・漏洩(B7 31.1)、およびパートA 4.3.1(項目3)におけるバックエンドの「データ侵害」シナリオが含まれます。UN-R155は車両中心の規定ですが、自動車メーカーはEVSEを含む車両外部の領域も考慮することが義務付けられています。
Phoenix Contact製のEV充電コントローラーの場合、リサーチャーの手がけた攻撃手法から、こうしたギャップが明らかになりました。彼らは、認証不要のAPI、誤設定されたファイル権限、DHCPおよびPPPDからの未検証入力を組み合わせて、以下の事実を示しました:
- 自主的スキームの不備:ISO 15118-20:2022(7.7.3項)で義務付けられているTLSがメンテナンスポートに適用されていませんでした。NIST IR 8473 PR.DS-2(暗号化)およびUN-R155 M20(リモートアクセス制御、表B4)はオペレーティングシステムでサポートされているものの、実装されていませんでした。 TLSの未実装により、HTTPサービスに対する中間者攻撃が可能となりました。
- 適合性試験の不足:ISO 15118-20適合性試験はV2Gプロトコルを対象とするものの、IEC 62443-3-3 SR 3.5に違反する「sudo」脆弱性などのOT要素を見落としています。ISO/SAE 21434 TARAはこうしたリスクを検知可能ですが、EV充電器には必須要件ではありません。UN-R155は車両中心の承認プロセス(第5.1項)を採用しており、EVSE向けの独立した型式承認スキームは定義されていません。
- エクスプロイトチェーン:静的適合性評価(NIST IR 8473自己評価など)では、動的なエクスプロイトチェーンが見落とされがちです。これらはレッドチーム活動やペネトレーションテストを通じてのみ発見可能です。
コンパイル済みコードの潜在的なメモリ問題などの未悪用リスクは、SDLCの不備(ISO/SAE 21434 §5,6,10; NIST IR 8473 PR.IP-2)を示し、さらなるRCE脆弱性につながるリスクとなります。
コンプライアンスの観点
規格分析で明らかになったサイバーセキュリティ対策の不均一性は、複数の地域および国際規制に基づく義務的なサイバーセキュリティ要件の発動につながる可能性があります。これらのEVSE規格への不適合は、EU NIS2、AFIR、米国NEVI、UN-R155の各規制下で独立した義務発生要因となり得ます:
- 重要インフラ事業者に対し、脆弱性対応および開示を含む適切かつ均衡の取れたサイバーセキュリティリスク管理措置の実施を義務付けています(第21条1項)。
- AFIR(規則(EU)2023/1804)は、代替燃料インフラに対する相互運用性およびデータ/API義務を定めています。前文(75)では、EVと充電ポイント、バックエンド、ローミング、電力系統間の通信は「最高水準のサイバーセキュリティ保護」を維持すべきと要求し、第20条~第21条および付属書IIではデータアクセスと共通技術仕様を規定しています。
- 米国では、NEVI基準(23 CFR §680.106(h))が物理的・サイバーセキュリティ戦略の両方を義務付けています。これには、IDおよびアクセス管理、暗号化の柔軟性、監視と検知、インシデント対応、構成および脆弱性管理、ソフトウェア更新のガバナンス、独立した第三者によるサイバーセキュリティ試験および認証が含まれます。
- 国連規則UN-R155は自動車メーカーに対し追加義務を課します。第8項ではサイバーセキュリティに影響する改造を当局に通知することを要求し、第10項では不適合時の型式承認取消を認めています。第6.11項はCSMS証明書の失効・取消を改造と連動させ、第7.2.2項はメーカーのサイバーセキュリティ責任を開発・生産・生産後(試験・継続的監視を含む)に拡大します。
これらの法的義務と、既存の国際規格がEVSEサイバーセキュリティのほとんどの側面を既にカバーしている事実を考慮し、VicOneはEV充電インフラの保護強化のため、統一プロファイルとしてNIST IR 8473の導入を強く推奨します。
まとめ
Pwn2Own Automotiveで発見されたEV関連の脆弱性は、EVSEサイバーセキュリティ基準が充電インフラに多層的な保護を提供する方法、これらの基準が不十分な点、そして全体的なセキュリティ強化に役立つ統一フレームワークについて、独自の視点を提供しています。
単一のEV充電器で発見された脆弱性のみについて検証したものの、これは機種に限られたことではなく現行のEVSE基準には依然として欠陥が残されており、他のEV用充電機器でもゼロデイ脆弱性によってそれが露呈する危険性があることを示唆しています。まもなく開催されるPwn2Own Automotive 2026は、これらの知見を通じて業界が制度的なギャップの解消に取り組み、次世代EV充電インフラのセキュリティ態勢を次世代に向けて強化する絶好の機会となるでしょう。
