By CyberThreat Research Lab
自動車業界は、AIによる機能強化、電気自動車(EV)充電インフラの進歩、そしてSDV(ソフトウェア・デファインド・ビークル)の台頭など、数々の要因に後押しされ、新たな領域へと急速に突き進んでいます。このような変化とそれに伴う課題を理解することは、サイバーセキュリティが業界の技術革新に遅れを取らないようにするために不可欠です。
VicOneの最新レポート「VicOne 2025年 自動車サイバーセキュリティレポート」では、サイバーリスクがどのように進化し、従来の防御策に挑んできているかを探っています。
ここでは、自動車業界を取り巻く脅威状況の変化と、それが今後のサイバーセキュリティ戦略にとって何を意味するのかを解説します。
サプライチェーンの脆弱なつながり:大規模攻撃への入り口
2024年に発見された脆弱性の多くはサプライチェーンの脅威によるものでしたが、これらが大規模なインシデントに発展するまでには至っていません。しかし、これを安全と誤解すべきではありません。むしろ、今こそ防御を強化する好機と捉えるべきです。車両プラットフォームがより標準化され、相互接続が進むにつれて、攻撃者はサプライチェーンの弱点を悪用する新たな経路を見つけ出すでしょう。OEM(自動車メーカー)は、サプライチェーンの脆弱性が業界全体を巻き込む危機にエスカレートするのを防ぐため、積極的なリスク軽減対策を優先しなければなりません。
重要なポイント: サプライチェーンのセキュリティの強化はもはや選択肢ではなく、大規模なサイバー攻撃を防ぐ上で不可欠です。
図1. 2014~2024年に公開された自動車サイバーセキュリティの脅威に関連する脆弱性の数
脆弱性の悪用:実世界のインシデントに潜む引き金
私たちの調査は、公開された共通脆弱性識別子(CVE)と、特に車両の乗っ取りが関与する実際の自動車サイバーセキュリティインシデントとの間に相関関係があることを示しています。2024年には、車両乗っ取りの脅威が、記録されたインシデントの中で2番目に多いものとなりました。これらのインシデントは主に車載システムの脆弱性に起因しており、昨年公開された自動車の脆弱性の4分の3以上がこれに該当します。
重要なポイント: 脆弱性の公開は、現実のセキュリティギャップを浮き彫りにします。悪用を防ぐにはタイムリーな緩和策が極めて重要です。
図2. 分析したインシデントに基づく2024 年に最も流行した自動車サイバーセキュリティインシデント
クラウドおよびバックエンドプラットフォーム:サイバー犯罪の新たな戦場
車両データストレージ、無線(OTA)アップデート、フリート管理などのアプリケーションに不可欠なクラウドベースのシステムは、ランサムウェア攻撃やデータ侵害の主要な標的となっています。車両とクラウド(V2C)通信の統合が進むにつれて、クラウド関連の脆弱性は2019年以降比較的着実な増加を示しており、2022年と2024年には急増しました。バックエンドITインフラの拡大により、クラウドベースのシステムはサイバー犯罪者にとって大きな攻撃対象領域となっています。
重要なポイント: 車両のコネクティビティが拡大し続ける中で、クラウドベースの自動車システムのセキュリティ確保は不可欠です。
図3. 2014~2024年に公開された、自動車の領域ごとの脆弱性の数
EV充電インフラ:サードパーティ連携における増大するリスク
EV充電インフラは、2024年に自動車エコシステムの中で最も頻繁に標的にされた領域の一つとして浮上しました。私たちが分析したサードパーティ連携リスクインシデントのほとんどは、EV充電システムに関連していました。EV充電関連の脆弱性は、年間で最も報告された問題の一つであるだけでなく、その数も2023年から大幅に増加しています。これらの脆弱性は、個々の車両を超えたリスクをもたらし、ユーザーデータや電力網の安定性にさえ影響を与える可能性があります。サードパーティシステム、特にEV充電インフラのセキュリティ確保は、2025年の主要なサイバーセキュリティの優先事項となるでしょう。
重要なポイント: EVの普及が進むにつれて、充電ネットワークのセキュリティ確保は、車両そのものの保護と同等に重要になります。
図4. 2022~2024年に毎年公開された自動車の脆弱性の分布(影響を受けたシステムまたはコンポーネント別)
自動車産業:サイバー攻撃にとって収益性の高い標的
自動車業界は、その膨大な量の貴重なデータ、複雑なサプライチェーン、そして高い金銭的利害関係のために、サイバー犯罪者にとって魅力的な標的となっています。2024年、業界に対するサイバー攻撃の推定コストは急激な上昇を続け、データ漏洩、システム停止、ランサムウェアによる損害という3つの主要なコスト要因により、総額225億米ドルの損失となりました。
重要なポイント:自動車業界に対するサイバー攻撃の金銭的被害は急増しており、緊急かつ戦略的なサイバーセキュリティ投資が求められています。
| コスト要因 | 2022年 | 2023年 | 2024年 |
|---|---|---|---|
| データ漏洩 | 400万ドル | 97億ドル | 200億ドル |
| システム停止 | 8.27億ドル | 25億ドル | 19億ドル |
| ランサムウェア損害 | 2.428億ドル | 5.236億ドル | 5.382億ドル |
| 合計 | 10億ドル | 128億ドル | 225億ドル |
表1. 2022~2024年に発生したサイバー攻撃の推定被害額(米ドル)
進化するサイバー脅威からの防御:戦略的必須事項
自動車のサイバー脅威は、ハードウェアレベルの脆弱性の悪用を越えて進化しました。現代の攻撃は、車載システム、クラウドインフラ、車両制御メカニズムを標的とすることが増えています。この変化を認識することは、2025年以降に何が待ち受けているかを予測し、進化するリスクに正面から立ち向かうために必要な防御策を準備する上で不可欠です。
OEMは、新たに出現する脅威に効果的に対抗するために、堅牢かつ積極的なサイバーセキュリティ戦略を採用しなければなりません。私たちは、サプライチェーン、車載システム、コネクテッドプラットフォーム、およびソフトウェア開発慣行全体でセキュリティを強化するための主要な対策を以下で概説します。
- サプライチェーンセキュリティの強化。過去10年間に報告された脆弱性に関連する脅威の大部分をサプライチェーンの脅威が占めているため、次のことを実施する必要があります。
- 厳格なサプライヤーセキュリティ評価の実施
- SBOMを導入し、ソフトウェアの依存関係を追跡
- ファームウェアおよびハードウェアの開発プロセスを潜在的な脅威から保護
- 車載セキュリティの強化。車載システムに関連するリスクを軽減するために、次のことを実施する必要があります。
- 不正なファームウェアの改変を防ぐためのセキュアブートメカニズムの導入
- 継続的なセキュリティ評価と脆弱性スキャンの実施
- ファームウェア完全性検証方法の強化
- コネクテッドシステムおよびクラウドベースシステムの保護。 車両のコネクティビティが拡大するにつれて、次のことを実施する必要があります。
- ゼロトラストアーキテクチャ(ZTA)を採用し、車両とクラウド間のデータ交換を保護
- クラウド通信における堅牢なエンドツーエンド暗号化の確保
- 不正なサードパーティアクセスを防ぐためのAPIセキュリティ強化
- ソフトウェア開発セキュリティの向上。 自動車ソフトウェア開発におけるセキュリティリスクを低減するために、以下を実施する必要があります。
- セキュアなソフトウェア開発ライフサイクル(SDLC)プラクティスの導入
- テストおよび診断ツールへのアクセス制限
- ソフトウェアアップデートサイクル全体を通じた継続的なセキュリティ評価の実施
主な知見と展望:変化する自動車サイバーセキュリティの状況を読み解く
今回のレポートでは、脅威ランドスケープをレビューするだけでなく、AI、SDV、規制への対応といった業界トレンド、そしてPwn2Own Automotive、ケーススタディ、サイバー犯罪アンダーグラウンドなどの注目すべき動きを通して、自動車サイバーセキュリティに関する洞察を提供しています。また、OEMやその他の業界関係者が、絶え間なく変化する自動車サイバーセキュリティの状況に適応できるよう、より広範な推奨事項と関連性の高い予測にも触れています。
「VicOne 2025年 自動車サイバーセキュリティレポート」をダウンロードして、車両保護の未来を動かす要因や専門家の考察を深く探り、今後の道のりに備えましょう。
