STEERING CLEAR - VicOneレポート:2022年 自動車サイバーセキュリティ
ダウンロードページはこちら ここ数年、世界各国のエネルギー生産の現状は、多くの国がエネルギー危機に見舞われ、大きく変化しています。そうした中、自動車業界は、特に電気自動車(EV)やEV関連技術の面でこうした変化に対応してきました。そしてこの急速な変化に伴い、自動車メーカー、サプライヤー、車の所有者が被害を受けるサイバーセキュリティに対する課題も注目されてきました。
このレポートでは、2021年と2022年に発生した自動車産業を狙ったセキュリティ上の脅威について調査しました。そして最も注目すべき攻撃事例を掘り下げ、今後標的とされる可能性がある高リスクな領域を特定し、2023年に向けたセキュリティ上の推奨事項および脅威予測を提示しています。
自動車産業を狙う主要なサイバー攻撃
多くのメディアが自動車のセキュリティ問題について取り上げています。中でも2022年に注目された事例は、キーレス技術の機能に対する脆弱性を突いたサイバー攻撃です。キーレス技術は、物理的にキーを差し込むことなく車のドアを解錠したり、エンジンを始動させたりすることができるため、セキュリティ侵害に際して格好の攻撃経路となります。
本稿は、自動車業界を狙うサイバー攻撃の範囲を示すため、50件以上の主要なセキュリティ事例を調査しました。その範囲は、サプライヤーからベンダまで、同業界のさまざまなレベルに及び、サイバーセキュリティの問題がほぼすべての生産段階に存在することが示されました。また、頻度としてもほぼ毎月数回発生していました。
自動車産業で最も影響を受けた業種はサプライヤーでした。
今回調査した事例の
67.3%がサプライヤーを狙っていました。
サプライヤーへの攻撃は、セキュリティ被害の発生時に、生産が中断もしくは停止されることを意味します。
多くのサプライヤーは、セキュリティ対策が不十分なため、復旧に長い時間を要してしまいます。
主要なセキュリティ被害事例
サイバー攻撃によるセキュリティ被害の事例は、世界中のさまざまな企業や組織へ影響を及ぼしています。自動車業界の場合、過去2年間の事例から、主要な2種類の攻撃に絞られることが確認されています。最も一般的なセキュリティ被害は、ランサムウェアであり、その次に情報漏えいが続いています。
ランサムウェアとは、ユーザがシステムにアクセスするのを妨害または制限するマルウェアです。
ランサムウェアは、身代金が支払われるまで、感染端末の画面をロックしたりファイルを暗号化したりして人質に取ります。
自動車業界を狙ったランサムウェア被害の32.6%は、Contiと呼ばれるランサムウェアファミリに属する攻撃でした。
情報漏えいとは、情報の所有者が知らないうちにあるいは許可なく、システムから情報が盗まれる被害のことを指します。
窃取された情報の種類や相手によっては被害が広範囲に及ぶ可能性があります。
それは人々の生活に影響を与えるだけでなく、企業やブランドにダメージを与える可能性があります。
セキュリティのリスクが高いと指摘されている領域
-
EV充電
ステーション -
クラウド
API -
リモートキーレス
エントリー (RKE)
EV充電ステーション
充電ステーションやバッテリー管理システムは、攻撃者のターゲットになりやすい傾向があります。EVは、通常、リチウムポリマー(別名:LiPo)バッテリーを使用しており、効果的に機能させるためには包括的なインテリジェント制御メカニズムが必要となります。そのため、従来の自動車と比較して、EVにはより多くのセンサー、車両、充電ステーション間の通信プロトコルが存在しており、これらがいくつかのセキュリティ問題を引き起こしてしまいます。
クラウドAPI
新車で販売されるほとんどの車種には、バックエンドのクラウドサーバと通信するための組み込み型SIM(eSIM)などが搭載されています。これにより、車をロックするアプリや、現在の道路状況をクラウドに送信し、他の車に伝えるアプリなどが実現できます。クラウドAPIは、さまざまな機能を提供するネットワークアーキテクチャ全体の主役であり、開発者はこれらのデータや機能を活用して、さまざまな目的を達成できます。自動車メーカーが使用するクラウドAPIは、自社の車両に固有のものであり、悪用されるセキュリティ上のリスクが存在する可能性があります。IT業界においてAPI分野は成熟期を迎えており、APIセキュリティにはすでに一連のベストプラクティスが存在しています。関連するツールセットも豊富に準備されていますので、願わくば、自動車業界においてもこれら検証済みの技術やガイドラインが役立てられることを期待したいと思います。
リモートキーレスエントリー(RKE)
自動車産業におけるリモートキーの進化は、IIoT(Industrial Internet of Things)環境におけるプロトコルの進化とやや似ています。自動車のRKEキーフォブは、産業用無線周波数(RF)リモートコントローラと同様、複数のボタンを持った頑丈なリモコンとして登場しましたが、RFリモコンは、バイトストリームを電波として変調させるパケット無線プロトコルをベースにしています。他のデバイス(AnybusやCANバスなど)との接続性が高いことから、攻撃者にとっては興味深いターゲットとなるのです。
セキュリティに関する推奨事項
これらの脅威の多くは、サイバーセキュリティ業界ではよく知られているものです。自動車関連企業は、他業界での知見を活用して、自社のニーズに合わせた計画を立てる必要があります。既存の技術を最大限活用し、既に実績のあるセキュリティ対策を導入することは有効なアプローチとなります。以下は、自動車業界に携わる方が押さえておくべきセキュリティに関する推奨事項です。
自動車向けのソフトウェアを素早く開発するために使用できる、さまざまな種類のオープンソースソフトウェアがありますが、これらにはセキュリティ対策が十分に施されていないことがあります。セキュリティ対策が考慮されながらソフトウェア開発が進められることこそが、技術的進歩の正しいあり方だといえます。そのためにも、私たちはセキュリティ対策への投資を疎かにしてはならないでしょう。
OTA(Over the Air)技術によるアップデート手法は、現代の車両設計に欠かせない存在となっています。これらを正しく導入することは、安全性を高めるだけでなく、将来起こり得るセキュリティ対策に関するコスト削減にもつながるでしょう。
現代の自動車には数多くの電子機器が搭載され、まさに車輪の上に乗った強力なコンピューターと言えます。このことを考慮し、車両の状況をリアルタイムに監視・報告する必要があります。これにより、起こり得るセキュリティ上のリスクを特定し、将来の問題も未然に防ぐことができるのです。車両セキュリティオペレーションセンター(VSOC)の存在も不可欠になっています。
セキュリティ脅威予測
自動車業界にとって、2023年は、電気自動車やユーザーエクスペリエンスを向上させる新技術によりエキサイティングな年となるでしょう。一方、変化や革新にはセキュリティ上のリスクや新たな問題がつきものです。以下は、2023年の自動車セキュリティの展望に関する当社の予測の一部です。
ランサムウェアは、今後も自動車のサプライチェーンに影響を与え続けるでしょう。
オープンソースソフトウェアに存在する脆弱性は、自動車業界で使用される多くの部品に影響を与えるでしょう。
無線信号を介した攻撃(リプレイ、リレー、ジャミング、中間者、その他)が増加するでしょう。
車載インフォテインメント(IVI)またはテレマティック コントロール ユニット(TCU)のシステムにマルウェアが仕込まれる事例も発生するでしょう。
チップレベルの設計が十分に安全とはいえないことから、チップレベルでの脆弱性悪用や攻撃が発生するでしょう。
OTAが悪用され、データフローが侵害されたり、更新時のソフトウェアに不正コードが埋め込まれたりする攻撃が発生するでしょう。
メーカーが車両に施しているデジタルロックを回避する手法が登場するでしょう。
これらの各トピックの詳細や、自動車産業に関連するその他のサイバーセキュリティの課題については 「VicOneレポート:2022年 自動車サイバーセキュリティ」をお読みください。