VicOneは、脅威インテリジェンス活動の一環として、自動車エコシステム全体のサイバーセキュリティインシデントを継続的に追跡しています。ここでは、2026年1月から3月にかけて発生したインシデントやランサムウェアの活動状況、共通脆弱性タイプ一覧(CWE)の分析結果をまとめ、企業システムから車両、そしてこれらを支えるインフラまで広がるリスクの実態を報告します。
ハイライト:VicOneの集計によると、自動車エコシステム全体で2026年第1四半期に発生したサイバーセキュリティインシデントは405件で、2025年第4四半期の378件から増加しました。ランサムウェアの脅威は依然として継続し、EV充電インフラを狙ったインシデントは3倍以上に増加、AIは企業システムと車両システムの両方において新たな攻撃対象領域として浮上しました。
2026年第1四半期の主なポイント
自動車エコシステム全体で高水準の活動: 2026年第1四半期に発生したインシデントは405件で、2025年第4四半期の378件から増加。活動はヨーロッパに集中し、主に企業のITシステムと車載システムに影響を及ぼしています。
ランサムウェアの勢力図に変化: 複数の攻撃グループが活動し、The Gentlemenが19件のインシデントで新たに主要グループとして台頭、Akira(18件)などの既存グループも活動を続けました。攻撃対象は自動車のバリューチェーン全体に及び、物流事業者、部品メーカー、サービス事業者が標的となりました。
充電インフラを狙ったインシデントが増加: インシデント件数は2025年第4四半期の7件から2026年第1四半期には26件へと3倍以上に増加し、EV充電システムを取り巻くリスクの高まりを示しています。
AIが新たなリスクをもたらす: AIは、攻撃の手口そのものを変えつつあると同時に、システム全体のリスクも高めています。企業システムでも車両システムでも、AIが重要な処理へのアクセス権限を握る基盤として深く組み込まれるようになり、機密性の高いデータがそこに集約される分、攻撃を受けた際の影響も大きくなっています。
脅威の実態
VicOneが2026年第1四半期に収集した脅威データは、自動車エコシステム内でサイバーセキュリティの活動が地域・領域別にどのように分布しているかを示しています。この四半期に発生したインシデントは、合計405件です。
地域別分布
![]()
図1.2026年第1四半期における地域別インシデント分布。ヨーロッパが最大の割合を占め、グローバル規模のインシデントも増加しており、複数の地域に影響する攻撃活動が増えていることを示している。
地域別に見ると、インシデント数が最も多かったのはヨーロッパ(161件)で、南北アメリカ(140件)、アジア(72件)が続き、その他の地域で観測された活動はこれらに比べて小規模でした。
また、グローバル規模のインシデントが2025年第4四半期の9件から2026年第1四半期には28件へと大きく増加し、複数の地域に影響する攻撃活動が増えていることがうかがえる点も注目に値します。
領域別分布
![]()
図2.2026年第1四半期における領域別インシデント分布。企業のITシステムと車載システムが、観測された活動の大部分を占める。
企業のITシステムが最も多くのインシデント(210件)を占め、車載システム(129件)が続きました。充電インフラ(26件)と運用技術(OT)システム(20件)でも一定数のインシデントが発生しており、コネクテッドカーの基幹サービス(18件)と車両連携アプリ(2件)は、観測されたインシデントの中では比較的小さな割合にとどまりました。
2026年第1四半期は、EV充電システムに関する脆弱性の公開が相次ぎ、この領域におけるリスクの高さが浮き彫りになりました。例えば、QuarkslabがオープンソースのEV充電プラットフォームを対象に実施したセキュリティ監査では、実際の攻撃ではなく、サービス拒否(DoS)状態やセッション処理の弱点、メモリ関連の脆弱性など、複数の重大な問題が発見されています。前述の充電インフラを狙ったインシデントの増加には、こうした脆弱性の存在も、リスクが高まっている背景の一つと考えられます。
2026年第1四半期に発生した主な事例
VicOneは自社の脅威インテリジェンスにより、2026年第1四半期に自動車エコシステムにおいて以下の注目すべき事例を確認しました:
企業のITシステムが侵入口に: SSOやSaaSプラットフォームを狙った攻撃活動が継続しており、フィッシングやソーシャルエンジニアリングを組み合わせた手口により、攻撃者が自動車関連企業への初期アクセスを獲得している実態が明らかになっています。
車載インフォテインメント(IVI)システムの侵害: 最近の研究では、欧州の自動車メーカーの車載インフォテインメント(IVI)システムを対象に、ハードコードされたルート権限の認証情報とOTAのバイパス手法を組み合わせることで、システムを完全に制御できることが実証されました。車両プラットフォームに根強く残るリスクを改めて示しています。
サードパーティサービスの障害による車両アクセスへの影響: 車両起動前アルコール検知サービスを提供する事業者へのサイバー攻撃により、バックエンドシステムが停止し、ドライバーが車両を起動できない状態になりました。
複数OEMにわたる接続関連の稼働停止: 2025年12月、ロシアで高級車ブランドの車両がVTS関連のロックアウトにより稼働不能となった事例が報告されましたが、その後も同種の事例が他のOEMで発生したと報じられており、共有インフラや外部システムへの依存に伴うリスクを物語っています。
これらの内容は2026年第1四半期時点のデータに基づくものであり、脅威の実態は今後数か月の間に変化する可能性があります。
ランサムウェアの活動状況
2026年第1四半期も、自動車エコシステム全体でランサムウェアの活動が継続し、VicOneは複数の攻撃グループおよび複数の被害セグメントにわたるインシデントを確認しました。月別のデータでは、1月の66件から2月に64件、3月は50件へと緩やかな減少傾向が見られ、年始にかけて活発だった活動がその後やや落ち着いたことがうかがえます。
2026年第1四半期の主要ランサムウェアグループ
![]()
図3.2026年第1四半期のランサムウェアインシデントの月別分布。四半期を通じて活動が続き、1月から3月にかけて緩やかな減少傾向が見られる。
![]()
図4.2026年第1四半期における攻撃グループ別のランサムウェア活動。The Gentlemenが、Akiraなどとともに主要グループとして台頭している。
複数のランサムウェアグループが全体の件数に関与しており、The Gentlemen(19件)とAkira(18件)が観測された活動の上位を占め、INC Ransom、Qilin、0APTが続き、その他多数の小規模な攻撃グループが後に続きました。
The Gentlemenは、2026年第1四半期に観測された活動の中で最も件数が多かったランサムウェアグループであり、自動車のバリューチェーン全体にわたる企業を標的としました。報告されている被害には、台湾の自動車部品メーカー、オーストリアの農業機械ディーラー、イタリアの地域旅客運送事業者が含まれます。
同グループは2025年8月に初めて存在が確認されたばかりですが、正規ツールの悪用や権限昇格、セキュリティ対策を回避するための独自の手法など、企業環境を侵害する高度な能力を示しています。
業種別のランサムウェア被害状況
![]()
図5.2026年第1四半期における業種別のランサムウェアインシデント分布。
2026年第1四半期のランサムウェアインシデントは物流・運送業(61件)に集中し、サプライヤー(38件)、ディーラーおよび小売店網(32件)が続いています。この分布からは、自動車のバリューチェーンの中でも業務上とりわけ重要なセグメントが狙われており、そこでの障害が製造・流通・サービス提供の各段階に影響を及ぼしかねない実態がうかがえます。
今四半期に発生した注目すべき事例からは、ランサムウェアが従来型の企業IT障害の域を超え、より広い業務・エコシステムレベルのリスクへと進化していることが見て取れます:
あるEV充電事業者を狙ったランサムウェアインシデントでは、クラウド環境で異常な挙動が検知された後、顧客データが流出しました。
中国・上海を拠点とするOEMがBEASTランサムウェアの被害に遭ったと報じられており、全社的なデータ約700GBが流出したとされています。
CWE分析
2025年第4四半期と2026年第1四半期で観測された主なCWE IDを比較すると、自動車エコシステム全体における脆弱性パターンの傾向がうかがえます。1四半期分のデータにとどまるものの、環境ごとに観測される弱点の種類に違いが見られます。
| 2026年第1四半期の主なCWE | 件数 | 2025年第4四半期の主なCWE | 件数 |
|---|---|---|---|
| CWE-306:重要な機能における認証の欠如 | 18 | CWE-79:クロスサイトスクリプティング(XSS) | 30 |
| CWE-613:セッションの有効期限設定の不備 | 14 | CWE-306:重要な機能における認証の欠如 | 9 |
| CWE-307:過剰な認証試行に対する制限の不備 | 11 | CWE-77:コマンドインジェクション | 8 |
| CWE-522:認証情報の保護不足 | 11 | CWE-121:スタックベースのバッファオーバーフロー | 7 |
| CWE-416:解放済みメモリの使用(Use After Free) | 10 | CWE-22:パストラバーサル | 7 |
| CWE-121:スタックベースのバッファオーバーフロー | 7 | CWE-23:相対パストラバーサル | 6 |
| CWE-362:不適切な同期による共有リソースの競合状態(レースコンディション) | 6 | CWE-200:認可されていない主体への機密情報の露出 | 5 |
| CWE-400:リソース消費の制御不備 | 6 | CWE-787:範囲外書き込み | 5 |
| CWE-89:SQLインジェクション | 6 | CWE-89:SQLインジェクション | 4 |
| CWE-863:不適切な認可 | 5 | CWE-20:入力検証の不備 | 3 |
表1.2026年第1四半期と2025年第4四半期における上位10件のCWE ID
全体的なCWEの傾向:2025年第4四半期と2026年第1四半期の比較
上位10件のCWE IDを見ると、2025年第4四半期はクロスサイトスクリプティング(XSS)、コマンドインジェクション、パストラバーサルなど、入力処理に起因する脆弱性が多く集中していました。これに対し2026年第1四半期は、認証の欠如やセッションの有効期限設定の不備、認証情報の保護不足など、認証・セッション管理・認証情報に関わる弱点の割合が高くなっています。また、解放済みメモリの使用やバッファオーバーフローといったメモリ関連の問題も、2026年第1四半期でより目立つ結果となりました。
脆弱性は複数の領域にまたがっていますが、以下では特に車両の稼働やコネクテッドサービスへの影響が大きい充電インフラと車載システムに焦点を当てて見ていきます。
充電インフラの脆弱性
充電インフラでは、2026年第1四半期の脆弱性パターンの大半を認証・セッション管理関連の弱点が占めています。特に多く見られたのは、認証の欠如、セッションの有効期限設定の不備、過剰な認証試行に対する制限の不備、認証情報の保護不足です。
一方、2025年第4四半期はメモリ関連の問題やバッファオーバーフロー、データの露出などが個別に散発する、頻度の低い技術的な脆弱性が中心でした。第1四半期に認証関連の弱点が集中している状況は、充電システムおよびその基盤となるプラットフォーム全体でアクセス制御と認証の仕組みを強化する重要性を示しています。
| 2026年第1四半期の充電インフラの主なCWE | 件数 | 2025年第4四半期の充電インフラの主なCWE | 件数 |
|---|---|---|---|
| CWE-306:重要な機能における認証の欠如 | 13 | CWE-119:メモリバッファ範囲内操作の制限不備 | 1 |
| CWE-613:セッションの有効期限設定の不備 | 12 | CWE-120:入力サイズ未検証のバッファコピー(古典的バッファオーバーフロー) | 1 |
| CWE-307:過剰な認証試行に対する制限の不備 | 11 | CWE-121:スタックベースのバッファオーバーフロー | 1 |
| CWE-522:認証情報の保護不足 | 11 | CWE-122:ヒープベースのバッファオーバーフロー | 1 |
| CWE-362:不適切な同期による共有リソースの競合状態(レースコンディション) | 6 | CWE-200:認可されていない主体への機密情報の露出 | 1 |
表2.2026年第1四半期と2025年第4四半期の充電インフラにおける主なCWE ID
車載システムの脆弱性
車載システムでは異なる傾向が見られ、2026年第1四半期は解放済みメモリの使用やスタックベースのバッファオーバーフローなど、メモリ安全性に関わる脆弱性がより目立ちました。これに加えて認証回避や暗号関連の弱点も、頻度は低いものの確認がされています。
2025年第4四半期の車載システムでは認証・メモリ関連・入力検証の問題が入り交じっており、突出した傾向は見られませんでした。第1四半期にメモリおよび低レイヤーのソフトウェアに関する脆弱性が増えている背景には、現代の車両プラットフォームの複雑さと組み込みシステムへの依存度の高さがあると考えられます。
| 2026年第1四半期の車載システムの主なCWE | 件数 | 2025年第4四半期の車載システムの主なCWE | 件数 |
|---|---|---|---|
| CWE-416:解放済みメモリの使用(Use After Free) | 6 | CWE-306:重要な機能における認証の欠如 | 3 |
| CWE-121:スタックベースのバッファオーバーフロー | 4 | CWE-121:スタックベースのバッファオーバーフロー | 2 |
| CWE-1241:乱数生成における予測可能なアルゴリズムの使用 | 1 | CWE-126:バッファの範囲外読み取り | 1 |
| CWE-288:代替の経路・チャネルを用いた認証回避 | 1 | CWE-129:配列インデックスの検証不備 | 1 |
| CWE-294:キャプチャ・リプレイによる認証回避 | 1 | CWE-269:権限管理の不備 | 1 |
表3.2026年第1四半期と2025年第4四半期の車載システムにおける主なCWE ID
まとめ: 2026年第1四半期は、EV充電インフラをはじめとする外部接続型のプラットフォームで認証・アクセス制御関連の弱点が目立ちましたが、これらは安全な設計と実装によって本来防止できるものです。一方、車載環境ではメモリ安全性や低レイヤーのソフトウェアに関する問題がより多く見られ、組み込みシステムに内在する複雑さを反映しています。
AI関連の事例
2026年第1四半期には、企業システムと車両システムの両方でAIの存在感が高まっていることを示す注目すべき事例がいくつか見られました。VicOneは、AIが攻撃手法とシステムリスクの両面をどのように変えつつあるかを示す3つの事例を、自社の脅威インテリジェンスにより確認しています。
AIを悪用したエクスプロイトの連鎖: セキュリティ研究者の分析により、AIを活用したツールを使うことで脆弱性の特定からエクスプロイトの連鎖、クラウド環境への管理者権限の獲得までが数分で行われた実際の侵入事例が明らかになりました。初期侵入の後、攻撃者は大規模言語モデル(LLM)を含む被害組織のAIサービスを悪用し、データの窃取とリソースの消費を行っていたことが確認されています。
AIエージェントアカウントの侵害: VicOneのダークウェブインテリジェンスにより、大手OEM顧客に対応していた自動車部品メーカー幹部のAIエージェントアカウントを通じて取得されたとされるデータを、攻撃者が売買目的で提示している状況が確認されました。当該AIエージェントはその後削除されていますが、この事例はAIシステムが企業やエコシステムの機密性の高いデータへのアクセスを集約し得ること、そしてそれが攻撃者にとって価値の高い標的となり得ることを示しています。
AIを活用した車両システムのリバースエンジニアリング(研究実証): ある研究者がAnthropic開発のAIコーディングツール「Claude Code」を用いて、車載ネットワーク(CANバス)の生信号を解析し、車両の通信内容のリバースエンジニアリングを支援できることを実証しました。
こうした事例は、AIが攻撃手法とシステムリスクの両面に及ぼす影響が拡大していることを示しています。これとは別に、保護されていたあるAIモデルがリリース直後にアクセスされたと報じられているAnthropic関連の事例もあり、AIモデルが自動車サイバーセキュリティにおいて見えにくい依存関係になりつつある実態がここでも浮き彫りになっています。
AIシステムが企業の業務フローや車両プラットフォームへの組み込みを一段と進める中、各組織にはこれらの技術がどのように導入・保護され、機密性の高いシステムやデータへのアクセス権をどう付与されているかを注視することが求められます。VicOneは今後も自動車分野の脅威インテリジェンス活動の一環として、AI関連の脅威動向を継続的に追跡していきます。
まとめ
本概況レポートでは、2026年第1四半期に自動車エコシステム全体で発生した405件のサイバーセキュリティインシデントをまとめました。これは、脅威の活動が継続しつつも変化し続けている実態を反映しています。活動は企業のITシステムや車載システムからEV充電インフラまで複数の領域にまたがっており、VicOneが「オーバーラップ期」と呼ぶ状況、すなわち従来型システムと最新のコネクテッドプラットフォームが併存しリスクを共有する時期の実態を映し出しています。AIの存在感の高まりはこの状況にさらなる複雑さを加えています。
こうした状況において、各組織が優先すべき取り組みは3つあります。
領域を横断した可視性の強化: 脅威は企業のIT、車載システム、充電インフラ、基幹サービスにまたがって分布しています。監視が個別最適化された状態では隙間が生まれ、攻撃者に付け込まれます。
重要度の高いアクセス権を持つシステムの保護: AIエージェント、SSOプラットフォーム、クラウド関連の依存先は、アクセス権を集約しているからこそ価値の高い標的となっています。これらのシステムに対するガバナンスとアクセス制御には、従来のITインフラと同水準の厳格さが求められます。
重要な依存先の継続的な監視: サードパーティ事業者、通信プラットフォーム、共有サービスは、侵害を受けた場合に車両の稼働へ直接影響を及ぼしかねません。依存関係の可視化と継続的な監視が欠かせません。
変化し続けるモビリティエコシステムの中でどれだけ迅速に検知・対応・適応できるかが、組織のレジリエンスを左右します。VicOneは、車両セキュリティオペレーションセンター(VSOC)やAI主導の脅威インテリジェンスプラットフォームなどの機能を通じて、自動車のバリューチェーン全体で先を見越した可視性の確保と迅速な封じ込めを実現できるよう支援します。