By VicOne and Block Harbor
2025年8月22日から9月1日までの11日間、世界各地の参加者が仮想の自動車サイバー攻防の舞台に集結し、ECU(電子制御ユニット)のセキュリティ解除、CANログのリバースエンジニアリング、不正なファームウェアの検知と阻止など、実戦に近いシナリオの課題に挑みました。
「自分が優勝者になれたことに驚くと同時に、これほど多くの自動車セキュリティの仲間と競い学べたことに感謝しています。詰まりになっていたところから、ついにフラッグを見つけた時の興奮まで、まるでジェットコースターに乗っている気分でした。」
- Zsolt Dénes(『Global VCC 2025』 防御側〈ブルーチーム〉部門 優勝者)
VCCの概要
開催期間:2025年8月22日~9月1日
参加者:初参加からベテランまで、延べ480名超
出題内容:攻撃側(レッドチーム)・防御側(ブルーチーム)あわせて8課題
フラッグ獲得数:269件(全問題をクリアした参加者は5名)
なぜ今、このイベントが重要なのか
自動車セキュリティはいま、2つのリスクに直面しています。
- 従来の車両:従来型のECUやCANバスには、攻撃者にとって依然として突かれやすい脆弱性が残っています。
- 新しいソフトウェア定義型車両(SDV): OTAアップデート、クラウドAPI、複雑なサプライチェーンが、新たな攻撃対象領域を生み出しています。
これらのリスクは机上の空論ではありません。VicOneの脅威インテリジェンスチームは、過去4年間で自動車関連のサイバー活動が600%も急増していることを確認しています。VCCは『遠い未来』ではなく、『いま現場で起きている課題』をそのまま学べる設計にしました。
参加者が挑んだ課題
各チャレンジは、実際の攻撃や防御のタスクを模倣しており、それぞれ実践的な学びが得られるように構成されました。
攻撃側(レッドチーム)のポイント
- Wired Keyless Entry
- 概要:自動車業界では、レガシーと次世代のチップセットが今後何年にもわたって共存します。現在のセキュリティアクセスコードの仕組みが本当に十分かどうかを問う課題です。
- 課題からの学び:アクセス制御の弱点を見極め、混在環境に強い設計に活かす
- 難易度:★★★☆☆
- Tune-Up Trouble
- 概要:OTAアップデートが乗っ取られ、不正なファームウェアがECUに書き込まれるシナリオ。アップデートの仕組みが、新機能提供だけでなく、サプライチェーン攻撃の侵入口にもなりうることを示しました。
- 課題からの学び:サプライチェーンへの不正な侵入を防ぐため、エンドツーエンドの検証を徹底する
- 難易度:★★★★★
- Password Change Policy
- 概要:攻撃者がECU間を横方向に移動するように、参加者はCANログをリバースエンジニアリングしてその動きを追跡する課題。
- 課題からの学び:ログ分析とセッション再構築が、インシデント対応の核である
- 難易度:★★★★☆
- Autograph
- 概要:SDVは、ソフトウェアの信頼チェーンが署名とPKI(公開鍵基盤)に依存しています。しかし、一度侵害されると、高度で持続的な脅威(APT)が巧妙に潜伏してしまう可能性があります。
- 課題からの学び:署名とPKIの欠陥を理解し、信頼チェーンをより強固にする
- 難易度:★★☆☆☆
防御側(ブルーチーム)のポイント
- Red Alert
- 概要:SDVにおけるセキュリティは、ツールだけでなくチーム間の連携が鍵となります。参加者は、異常なCANメッセージを分析し、仮想的なVSOC(Vehicle Security Operations Center)チームとして対応を調整しました。
- 課題からの学び:異常検知の迅速化とチーム間の連携により、攻撃者の滞在時間を短縮する
- 難易度:★★★★★
- SAE EAS
- 概要:自動車通信の暗号化が進む中では、旧来CANと次世代CANが混在する環境が生まれます。このチャレンジでは、混在した環境における鍵管理と復号化の問題をシミュレートしました。
- 課題からの学び:鍵ライフサイクルにおける強固な運用と、一貫したレポート作成が不可欠である
- 難易度:★★★☆☆
- Firmware Reveal
- 概要:ファームウェアはSDVの心臓部ですが、マルウェアが隠されていることもあります。参加者はファームウェアをリバースエンジニアリングし、不審な挙動の検出に挑みました。
- 課題からの学び:ファームウェア解析(フォレンジック)で『ハッカーの言葉』を理解する力を養う
- 難易度:★★★★★
- TARA Quiz
- 概要:真の防御は、設計段階から始まります。この課題では、脅威分析とリスクアセスメント(TARA)を適用し、リスクが現実となる前に予測する能力が試されました。
- 課題からの学び:開発にセキュリティを組み込むことが、リスク管理の基盤となる
- Difficulty: ★☆☆☆☆
「リバースエンジニアリング、暗号技術、脆弱性悪用といった要素が詰まった、とても手応えのあるCTFでした。仮想PowerPC ECUのリアルさは完成度が高く、驚きました。」
- Willem Melching(『Global VCC 2025』総合優勝者)
次世代の『守り手』を育てるために
VCCの各課題はランダムに作られたわけではありません。それぞれの課題には、業界が直面している現実の課題を落とし込んでいます。
- 完全な検証がされないまま承認されたOTAアップデートは、悪意あるコードを送り込む経路になり得る
- 暗号化されたCAN実装における鍵管理の不整合は、大規模なリスクにつながる
- 署名の信頼を一度乗っ取られると、攻撃者は気づかれずに潜伏することができる
- TARAのような体系的なリスク評価を怠ると、後々インシデントに発展するセキュリティホールが生まれる
VCCは、これらの現実を実践的な学習に変えることで参加者が攻撃と防御の両方を経験し、自組織に持ち帰れられる学びを得られることを目指しました。私たちのゴールは、単に順位を決めることではありません。業界が本当に必要としているのは、以下のような能力を持つ人材です。
- 車両のライフサイクル全体を通じて、攻撃者のように考え、防御者のように対応できる人材
- レガシーなプラットフォームと最新のSDVの両方を世代を超えて保護できる人材
- 技術的な知見を、自動車メーカー、サプライヤー、保険会社といったビジネスへのインパクトに落とし込める人材
次のステップは?
- 調査結果を読み解き、知見を深掘りする:VicOneの「2025年脅威レポート」では、これらのシナリオと実際のインシデントの関連性を解説しています
- コミュニティに参加する:VicOneとBlock Harborが今後開催するワークショップや新たなチャレンジにぜひご注目ください
- 自社チームに導入する:OEM、Tier 1、保険会社の方などを対象に、今回のシナリオを基づいたカスタム研修もご提案可能です。ご興味のある方はお問い合わせください。
『Global VCC 2025』の閉幕は、ゴールではなく、始まりにすぎません。VicOneは今後も、現実の自動車リスクを実践的なシナリオに落とし込み、より多くのエンジニア、アナリスト、学生が安全でリアルな環境で腕を磨ける場を提供していきます。今日、訓練を積む『守り手』たちこそが、未来のクルマの安全を支えるのです。
_Risk-EN/JP/vicone_agentic-ai_banner-500_JPjpg.jpg)
