ブログ

ゼロトラストアーキテクチャとは「決して信頼せず、常に検証する」という概念です。コネクテッドカーのECUやクラウド通信にどう応用されるのか、その基本原則と導入メリットを解説します。

自動車業界は、サイバー攻撃やソーシャルエンジニアリングの手法がコネクテッドカーに直接的な影響を及ぼす時代に突入しました。この一例として、セキュリティリサーチャーたちはテスラの車両を狙って中間者攻撃（MITM）を利用したクレデンシャルフィッシングのシナリオを実証しました。本稿では、こうした状況を踏まえ、セキュリティの知見や推奨される対策を説明します。

初めてのPwn2Own Automotiveが閉幕し、イベントから得た発見や知見をどう活かすかが今後の大きな課題といえます。本稿では、今回のイベントについての感想をまとめ、特に新たに明らかになったセキュリティ上の問題点や自動車業界の動向について説明します。

2024年1月に開催された3日間のPwn2Own Automotiveイベントで発見されたゼロデイ脆弱性44件を検出できるのは、自動車サイバーセキュリティ製品の中ではVicOne製品のみです。

本稿では、企業や組織が常に変化するサイバー脅威の状況に迅速かつ効果的に対応し、有益な知見を得るため、自動車関連のスレットインテリジェンスに必ず含めるべき重要な情報について解説しています。

Pwn2Own Automotiveの最終日は、予定されていた9回の試みの中で7回で電気自動車の充電器が対象となりました。Synacktivチームがリードを維持して、「Master of Pwn」のタイトルを獲得しました。3日間に渡るこのイベント全体で、49件のゼロデイ脆弱性に対し、合計130万ドル以上の賞金が授与されました。

Pwn2Own Automotivenの第2日目では、複数の脆弱性によるチェーン攻撃が展開され、Synacktivが2件の脆弱性によるチェーン攻撃を駆使してテスラの車載情報エンターテイメントへの試行を成功させ、チームの獲得額にさらに10万ドルが追加されました。コンテスト開始からわずか2日間で、全体ではすでに100万ドル以上の賞金が授与されたことになります。

今回初開催のPwn2Own Automotiveでは、コネクテッドカーの技術に関する脆弱性に焦点を当てた世界で初めてのイベントであり、初日だけで24件の独自の脆弱性利用に対し、合計万722,500米ドルの賞金が授与されました。

APIによる攻撃シナリオを示しながら、自動車における技術の進歩と脆弱性がセキュリティに与える影響を解説します。

電気自動車（EV）の充電器における脆弱性2つを特定・検証したZDIリサーチャーの調査から、脆弱性の発見の重要性を浮き彫りにする攻撃シナリオを解説します。

従来のVSOCが抱える「アラート疲れ」や攻撃経路が見えない限界を実例で解説。車載センサー情報を統合しコンテクスト分析を行う、UN-R155準拠にも繋がる次世代の要件を提案します。

本稿では、自動車業界に特有の脆弱性のタイプを取り上げています。これらの脆弱性は他業界のものと共通点があるかもしれませんが、現代のコネクテッドカーの複雑化に伴って進化する脅威状況をより深く理解することが求められています。