VicOne、「2023年自動車サイバーセキュリティ脅威動向」レポートを公開

●自動車データの利用と収益化が増加する中、それに伴うサイバー犯罪者による悪用の脅威

●2023年に発生した自動車サイバー脅威動向や事例

●2024年以降の効果的なサイバーセキュリティ戦略に関する重点的な分野の展望

以下で、VicOneによる「2023年自動車サイバーセキュリティ脅威動向」レポートの意義と、本レポートが明らかにした最新の自動車サイバーセキュリティ・トレンドの一部をご紹介します。

レポートの全文をご覧になりたい場合は、こちらからダウンロードいただけます。

https://vicone.com/jp/reports/automotive-cybersecurity-report-2023

• 日本における自動車サイバーセキュリティの必要性とその背景

　日本では、2024年4月1日以降、トラックのドライバーをはじめとした、自動車運転業務の従事者の労働環境改善を目的に、年間時間外労働の上限が法的に960時間に制限されます。

しかし、ドライバーの現在の収入の根拠である「運搬の時間」が減ることで、逆にさらなる人手不足を引き起こす可能性もあると言われています。

これに対し、ドライバーの賃金水準の向上や、物流の効率化とともに、「自動運転の推進」が、対策の大きな柱の一つとして挙げられ、官民での高速道路での実証実験などが進められています。

中期的にこうした取り組みが進むにつれ、日本でも、コネクテッドカーのサイバーセキュリティ性の向上が、社会においてさらに存在感を増すことが予測されます。本レポートは、自動車産業およびその周辺産業に従事する人だけではなく、今後の世界的トレンドや、日本の代表産業の一つである自動車の未来を考えるための一助となればという想いから調査・編集されています。

• 2023年前半、サイバー攻撃による損失が世界で110憶ドル超に急増、サプライチェーン全体が標的

　「2023年自動車サイバーセキュリティ脅威動向」レポートには、「私たちの脅威分析によると、今年の前半にサイバー攻撃による損失が世界で110億ドルを超え、過去2年間と比べて前例のない急増を記録したことが明らかになりました」と記されています。

　さらに、「詳細な調査から、これらのサイバー攻撃は主に自動車およびサプライヤーを狙っており、その傾向が増していることが判明しました。特に注目すべきは、これらの攻撃の90％以上は、OEM自体ではなく、サプライチェーン内の他の企業を標的としていた点です。

攻撃者はよく保護された企業に侵入することが難しいため、警戒が緩い企業を狙う傾向があります。しかし、サプライチェーンの混乱により、OEMも同様に影響を受けることになります。

結果として、サイバー攻撃への防御は、単一企業の保護に留まらず、サプライチェーン全体の強化にも及ぶべきです」と説明しています。

• 車両データへのサイバー攻撃における、最も報告が多かった脆弱性を特定

　本レポートでは、車両データが危険に晒され得る主要な脆弱性を特定し、共通脆弱性の列挙（CWE）として表にまとめています。その結果、境界外書き込み（OOBW）、境界外読み取り（OOBR）、バッファオーバーフロー、解放後使用、不適切な入力検証といった脆弱性が、VicOneによって最も頻繁に報告されたものして示されました。これらの脆弱性の多くは、チップセットやシステムオンチップ（SoC）上で発見されており、その他、第三者管理アプリケーションや車載インフォテインメント（IVI）システム上の脆弱性も指摘されています。こうした中、物流提供者、サービスプロバイダー、部品やアクセサリーの生産に関わる企業など、サードパーティのサプライヤーを狙う攻撃の増加が焦点となっています。

• 2023年最新・重要事例： 脆弱性Zenbleed

　さらに本レポートには2023年に確認された重要事例に関する調査も含まれており、その中には脆弱性Zenbleedの事例も取り上げられています。この脆弱性が悪用されると、コアごとに毎秒30kbという速さで機密情報が漏れる可能性があります。その他、CAN（Controller Area Network）バスシステムに不正なメッセージやコマンドを注入する手法が車両を狙う攻撃者間で好まれている点や、テレマティクスシステムとアプリケーションプログラミングインターフェース（API）の脆弱性を悪用してバックエンドのクラウドインフラに侵入する方法なども挙げられています。

　本レポートでは他にも、車両の複雑性の増大と、接続性、自動化、先進運転支援システム（ADAS）の統合に伴うサイバーセキュリティ問題を解き明かしています。さらに、ランサムウェア、情報漏えい、個人情報流出といったサイバー攻撃や、システムダウンタイムに関連するコストにより、業界の損失が増加していると伝えています。本レポートで示された損失計算は、ブランディング、広報、販売、マーケティングの費用などの無形資産コストではなく、技術や運用に関連する具体的なコストに基づいています。

　加えて、現在、車両データに関する規制の空白があることを注視しつつ、国連の自動車に関する規則UN R155により、2024年7月までに新車に適用される安全基準が義務付けられる点も指摘しています。

• VicOne最高経営責任者（CEO） マックス・チェン コメント：

「自動車業界は、リソースと予算の観点からサイバーセキュリティをより優先すべきです。このためには、継続的なプロセスの構築、組織の強化、スキルの育成、そしてシステム全体の向上が必要であり、これらがなければサイバーセキュリティを効果的に実装することはできません。

今こそ、世界の自動車産業を担う企業や組織が、今回のレポートで示された重要分野を扱う能力の構築を真剣に向き合う時でしょう。」

「2023年自動車サイバーセキュリティ脅威動向」はこちらからダウンロードいただけます。

https://vicone.com/jp/reports/automotive-cybersecurity-report-2023

VicOneについて

　VicOneは、未来の自動車を守るというビジョンを持ち、自動車産業向けに幅広いサイバーセキュリティソフトウェアやサービスを提供しています。自動車メーカーの厳しい要求に応えるために開発されたVicOneの各ソリューションは、現代の車両が必要とする高度なセキュリティニーズにマッチし、セキュリティを確保、スケーリングするように設計されています。VicOneは、トレンドマイクロの子会社であり、トレンドマイクロが30年以上にわたって培ってきたサイバーセキュリティ技術をベースにしています。これにより、類まれな自動車の保護と深いセキュリティへの洞察を提供し、お客様が安全でスマートな車両を開発できるよう支援しています。

詳細はhttps://vicone.com/jpをご覧ください。