コネクテッドカーの不正アプリによるリスク増大の可能性

2024年5月28日
CyberThreat Research Lab
コネクテッドカーの不正アプリによるリスク増大の可能性

By Omar Yang (Senior Threat Researcher, Automotive)

自動車がコネクテッドデバイスへと変貌を遂げつつある中、クルマは車輪の付いたスマートフォンに似てきており、その結果として新たなサイバーセキュリティ上の脅威が生じています。

この変革の中核を担うのが、ソフトウェア定義車両(SDV)です。SDVは機能の実現にハードウェアではなくソフトウェアを用いることで、継続的なアップデートと機能拡張を可能にしています。このソフトウェア中心のアプローチにより、カスタマイズと柔軟性が実現され、ナビゲーション、エンターテインメント、先進運転支援システム(ADAS)、さらには自動運転のためのアプリの統合が可能になります。

しかし、こうした多くのアプリが車両に組み込まれるにつれ、サイバー脅威の可能性も高まります。運転体験を向上させるアプリは同時に、マルウェア、バックドア、フィッシング攻撃などの脅威に対して車両を脆弱にしてしまうリスクも伴うからです。スマートフォンとは異なり、安全性が極めて重要な機器である自動車の脆弱性は、深刻で潜在的に生命を脅かす結果につながりかねません。

SDVにおけるアプリストアの役割

アプリストアは、SDVのエコシステムにとって不可欠な存在であり、車両の機能を拡張するアプリケーションのダウンロードとアップデートのための中心的なハブとして機能します。スマートフォンのアプリストアと同様に、これらのプラットフォームでは、さまざまなカテゴリの厳選されたアプリが提供されます。SDVアプリストアの場合、そのカテゴリーにはナビゲーション、エンターテインメント、車両診断、ADASなどが含まれます。

Googleが最近、Android Automotive OSを通じてより多くのアプリを自動車にもたらすと発表したことで、自動車メーカー、ソフトウェア開発者、ユーザーの間に大きな期待が広がっています。この進展は、豊富なアプリエコシステムを活用することで、より充実した運転体験を提供するという重要な一歩を示しています。

モバイル端末と車両におけるアプリの現状

モバイル端末におけるアプリの普及は目覚ましく、スマートフォンユーザーは平均して約80のアプリをインストールしていますが、そのうち月間で継続的に使用しているのは約30のアプリに留まります。これらのアプリは、ソーシャルメディアやエンターテインメントから、銀行取引や生産性向上まで、幅広い機能をカバーしています。

一方、車両へのアプリの統合はまだ初期段階にありますが、急速に進化しています。最新の車両では、ダッシュボードから直接ナビゲーション、音楽ストリーミング、車両診断などにアクセスできるアプリプラットフォームを搭載するケースが増えています。車両で利用可能なアプリの数はスマートフォンに比べると少ないものの、SDV技術を採用するメーカーが増えるにつれて大幅に増加すると予想されます。車載アプリ市場は、接続性と高度な車両機能への需要の高まりを背景に、2024年から2032年にかけて大きな成長が見込まれています。

モバイル端末における不正アプリ

モバイル端末における不正アプリは、大きな被害が発生するまで気づかれないことが多く、深刻な脅威となっています。そうした中で特に注目を集めた事例が、中国のあるEコマースアプリにAndroidシステムの脆弱性を悪用するマルウェアが含まれていた件です。このマルウェアは、ユーザーの活動を監視したり、他のアプリのデータにアクセスしたり、ユーザーの同意なくシステム設定を変更したりすることが可能でした。

トレンドマイクロの報告によると、他にも懸念される事例があります。例えば、2020年にはモバイルバンキングトロジャンFaketokenが再登場し、被害者のアカウントから攻撃的なメッセージを送信し、金融アプリを悪用して機密情報を盗み出しました。また、別の報告では、Google Play上の不正アプリが他のマルウェアと通信し、追加のマルウェアをインストールし、モバイル広告詐欺を行っていたことが明らかになりました。これらの不正アプリは正規のアプリを装っているため、ユーザーが脅威だと識別することは困難です。

不正なアプリが車をどのような危険にさらすか

車両のアプリエコシステムも、モバイル端末と非常に似たような道をたどる可能性が高いでしょう。車載アプリのエコシステムが拡大するにつれて、不正なアプリが車両システムに侵入するリスクが高まります。不正なアプリは、多くの場合、車両の車載インフォテインメントシステム(IVI)を強化したり、パフォーマンスを向上させたりするために設計されたツールを装っています。しかし、本来のサービスを提供する代わりに、個人を特定できる情報(PII)を盗んだり、詐欺を働いたり、ランサムウェアを仕込んだり、アドウェアを配信したりする可能性があります。例えば、エンジンの性能を最適化すると謳うアプリが、密かに車両システムに保存されている位置情報や財務情報などの機密データにアクセスし、悪用するかもしれません。これは車両のセキュリティを損なうだけでなく、ドライバーのプライバシーと安全も脅かします。

もう1つの深刻なリスクとして、有料アプリや定額制アプリの無料版を提供する脱獄済みOSやサードパーティのアプリストアが挙げられます。これらの非公式なプラットフォームでは、アプリやストア自体に悪意がある可能性があるため、脆弱性が生じるリスクがあります。無料アプリを求めるユーザーが、知らずにマルウェアをダウンロードしてしまい、車両のセキュリティが侵害されることで、情報漏えいやシステムの誤作動につながる恐れがあるからです。

さらに、一部のアプリやブラウザの拡張機能は、ユーザーの行動を追跡することで得られた情報と引き換えに、特典を提供することがあります。一見すると無害に思えるかもしれませんが、このような追跡によってプライバシーが侵害され、ユーザーの明示的な同意なしにデータが第三者に販売される危険性があるのです。車の場合、これは、ドライバーの習慣、ルート、スケジュールの詳細な記録が、悪意を持って悪用されることを意味するかもしれません。

車両を危険にさらす可能性が高い不正なアプリは、一般的に以下の目的で使用されます。

  • 個人情報の盗難: 侵害されたアプリは、個人情報の盗難や機密情報への不正アクセスにつながる可能性があります。
  • 詐欺: 不正なアプリは、不正な金銭取引など、詐欺行為を容易にする可能性があります。
  • 身代金要求: 身代金が支払われるまで車両が動かなくなる可能性があり、重大な安全上のリスクをもたらします。
  • 広告: 執拗なアドウェアは、車両システムのパフォーマンスを低下させ、ドライバーの注意をそらし、事故につながる可能性があります。
  • トロイの木馬型マルウェア: トロイの木馬として機能するアプリは、さらなる不正活動のためのバックドアアクセスを提供し、車両システム全体を危険にさらす可能性があります。
セキュリティリスク影響
パフォーマンス向上アプリ個人情報の盗難、詐欺、身代金要求、広告データを盗むための偽エンジン最適化アプリ
脱獄済みOSやサードパーティのアプリストアシステムの脆弱性、マルウェアのインストールトロイの木馬型マルウェアが仕込まれた非公式アプリストア
特典付きの追跡アプリプライバシーの侵害、データの悪用特典と引き換えにユーザー 行動のデータを追跡・販売するアプリ

表1:セキュリティリスク、その影響、および例

車両における不正アプリの高いリスク

車両は本質的に安全性が不可欠なシステムであり、その故障や侵害は、怪我や生命の損失を含む重大な結果につながる可能性があります。このことは、車両の操作のさまざまな側面を制御するソフトウェアを保護することの重要性も高めています。

考えられるシナリオを見ると、車両における不正なアプリがもたらすリスクの高さが分かります。例えば、不正なアプリが車両の制御システムにバックドアを仕込み、許可されていないユーザーがブレーキや加速などの重要な機能を操作できるようになるかもしれません。また、ランサムウェアによって、身代金が支払われるまでエンジンの始動やナビゲーションの使用などの重要な機能がロックされる可能性もあります。さらに、侵害されたアプリがリアルタイムの位置情報や運転パターンなどの機密データを漏えいし、それがストーキングや盗難に悪用される恐れもあります。加えて、アドウェアが押し付けがましい広告でドライバーの注意をそらし、事故のリスクを高めることも考えられます。これらのシナリオは、プライバシーの侵害や経済的な損失だけでなく、深刻な安全上の脅威をもたらすため、自動車業界において堅牢なサイバーセキュリティ対策が非常に重要であることを明確に示しています。

不正なアプリに対する緩和策

車両における不正なアプリがもたらすリスクを軽減するために、いくつかの戦略を採用すべきです。まず、セキュリティ・バイ・デザインが不可欠であり、車両ソフトウェアとアプリの両方の開発段階から堅牢なサイバーセキュリティ対策を統合することが重要です。脆弱性を修正し、新たな脅威からシステムを保護するために、定期的なソフトウェアアップデートが推奨されます。ユーザー教育は、ドライバーが疑わしいアプリやフィッシング詐欺を認識し、回避するのに役立ちます。最後に、ISO/SAE 21434どの規制や標準の順守は、自動車のサイバーセキュリティ対策が業界の基準を満たすことを保証するのに役立ちます。これらの戦略は、総合的に車両のセキュリティを強化し、不正なアプリやその他の脅威によるリスクから車両とその乗員を保護します。

戦略対処する問題
セキュリティ・バイ・デザイン開発段階から堅牢なサイバーセキュリティを統合
定期的なソフトウェアアップデート脆弱性と新たな脅威に対処
ユーザー教育疑わしいアプリやフィッシングの認識と回避
規制の順守業界のサイバーセキュリティ基準を満たす

表2:不正なアプリに対する緩和策と、それらが対処する問題

自動車のサイバーセキュリティに関する詳細な情報については、当社のリソースセンターをご覧いただき、他のブログ記事もご一読ください。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼