2023年 VicOneによる自動車サイバー関連のセキュリティレポート
リスクデータによって自動車業界が直面する未来
2023年11月15日
コネクテッドカーなどで扱われるデータが自動車サイバーセキュリティにおける重要な要素として浮上する中、VicOneでは、拡大する車両データに伴うセキュリティギャップに注目し、2023年において明らかになったセキュリティ動向を浮き彫りにします。
このリサーチペーパーは、VicOneによる2023年の自動車サイバーセキュリティレポートの一環として提供しています。この調査では、自動車データのエコシステムから、そうしたエコシステムを流れるさまざまなデータの種類、それらによって生じる課題、引き起こされるリスクについて掘り下げています。
このリサーチペーパーでは、特にトレンドマイクロにおけるトレンドリサーチの自動車データに関する調査結果をもとに、自動車業界が直面する未来や、2024年以降の自動車サイバーセキュリティ戦略をどのように最適化するかについての総合的な視点を提供します。
自動車データエコシステムの解明
自動車データエコシステム
自動車データエコシステムは、データの流れによって結ばれた自動車産業のさまざまな構成要素によって形成される広大なネットワークです。これには車両、自動車メーカー(OEM)、ティア1(T1)およびティア2(T2)サプライヤー、データブローカー、そしてデータの使用者が含まれます。OEMやT1/T2サプライヤーにとどまらず、消費者、サードパーティのサービス提供者、新しいアプリケーションや製品など、より広範な分野に及んでいます。
このエコシステムにおいて、車両は単なるデータ生成者を超え、大量のデータの使用者および送信者にもなっています。そのため、車両は複雑なデータハブとしての扱いが必要です。
今回の調査によるリサーチペーパー「自動車データ:コネクテッドカーのデータ利用、収益化、サイバーセキュリティの脅威」では、これらのエコシステムの広大な規模自体が重要な発見と見なされています。
自動車データから
価値を引き出す
広範囲にわたる自動車データエコシステムの影響を深く理解するためには、この相互に連携する要素のネットワーク内で流れる情報の種類を知る必要があります。このため、今回の調査では、位置情報(GPS)、エンジン、燃料、バッテリー、運転者の挙動、診断トラブルコード(DTC)、タイヤ圧力監視(TPM)など、さまざまなデータカテゴリーとデータフィールドをリストアップしています。
さらに、これらのカテゴリーを導き出すためのデータ探索方法についても論じ、トレンドマイクロのテレメトリーデータ内での車両とOEM/T1/T2クラウド間のAPI呼び出しや、公開されているMQTT(メッセージキューイングテレメトリートランスポート)サーバーでの車両データの漏えい事例など、実際の事例を詳細に説明しています。
こうしたデータは、新たな知見の獲得に利用される場合こそ大きな価値を発揮します。今回の調査では、自動車産業や他の産業が、さまざまなデータフィールドを組み合わせて新たなデータタイプを推測し、より深い知見を得る方法の例を示しています。
推測データ
データフィールドの組み合わせ
燃費
=
GPS+
エンジン+
燃料消費量
排出ガス分析
=
エンジン+
燃料+
ドライバー行動
最適ルーティング
=
GPS+
エンジン予測メンテナンス
=
エンジン+
GPS+
DTCsドライバーパフォーマンス
=
GPS+
エンジン+
燃料+
ブレーキ電気自動車航続距離
=
バッテリー+
GPS+
ドライバー行動
タイヤの状態
=
タイヤ空気圧
+
TPM警告
マイクロウェザー
=
ワイパー+
ブレーキ+
外気温パーキングアナリティクス
=
車両ステータス
+
GPS交通予測
=
車両性能
+
GPS車両セキュリティ状況
=
ドア+
トランク+
窓+
GPS異なる車両データからの外部情報
このような車両データのタイプを基づき、自動車業界も知見を得ることになり、より革新的なビジネスモデルを創出することができます。こうして自動車業界は、銀行や物流など他の産業にも役立つデータ駆動型の製品やサービスの活用にまで、ビジネスの範囲を拡げることが可能となるでしょう。
自動車データのサイバーセキュリティ
リスクについて
このレポートの主な目的の一つは、コネクテッドカーのセキュリティに対する自動車データエコシステムの影響を探ることです。自動車業界におけるデータ収益化の進展は、収益成長を加速する可能性がありますが、同時にサイバー犯罪活動を促す恐れもあります。このデータの収益化が増え続ける場合、接続された車に対する最初の大規模攻撃はデータに関連するものになると予想されます。サイバー犯罪者の手に渡ると、このデータがどのようなリスクをもたらすかを想像するのは容易です。
最大の懸念点は、ドライバーたちがこの複雑なエコシステムの存在を十分に認識していないことです。これにより、彼らのデータ管理能力が阻害され、プライバシーが危険に晒されます。さらに、現行の法律や規制が車両データの使用と収集に関して十分に対応していないことが問題を複雑化しています。
自動車データのサイバーセキュリティ向上のための推奨事項:
- 強固なデータ保護対策の導入。車が高度化するにつれ、強固なデータ保護対策を導入することが不可欠です。
- ユーザーへの情報提供。OEM(自動車メーカー)やその他の関係者は、データ収集の方法、潜在的なリスク、およびデータ保護の方法についてユーザーに情報を提供する必要があります。
- 車両APIのセキュリティ確保。APIはサイバー犯罪者にとってよく利用されるアクセスポイントです。そのため、車両APIのセキュリティを確保することが優先事項となります。
- データ収集と使用の規制。車両データの収集、保管、利用に関する明確な規制が求められています。
- セキュリティを考慮したミドルウェアAPIの開発。セキュリティを考慮して設計されたAPIは、強力な認証と暗号化を含むことで、不正アクセスを防ぐべきです。
自動車データエコシステムは自動車業界内の広大かつダイナミックな分野であり、サイバーセキュリティの隙間に対処する上で重要な要素となります。これらのデータによる革新的な取り組みと、ドライバーのプライバシー及び信頼を守ることの間のバランスを取ることが、今後のセキュリティ上の方針を定める上で不可欠といえます。
トレンドリサーチのフォワードルッキングスレットリサーチ(FTR)チームのリサーチャーであるNumaan Huq、Vladimir Kropotov、Philippe Lin、Rainer Vosselerの共同執筆によるリサーチペーパー「自動車データ:コネクテッドカーのデータ利用、収益化、サイバーセキュリティの脅威」では、自動車データエコシステムとその広範囲に及ぶ影響について論じています。
このリサーチペーパーは、2023年のVicOne自動車サイバーセキュリティレポートの一環として提供されており、今年公開されたインシデントからの洞察を反映して更新される予定です。自動車業界とそのデータエコシステムが直面するリスク、脅威、および課題に関する広範な視点を提供しています。
リソースからもっと知る
自動車サイバーセキュリティの理解を深める
Mythos時代の次を見据えて:ファームウェア保護を「知的財産保護」から「攻撃面管理」へ再定義する
AIがバイナリ解析・弱点発見のコストを下げる今、署名だけでなく暗号化・鍵管理・実行時保護を一体設計し、流出前提の外部モニタリング体制を整備することが求められます。
続きを読む →
Mythosが変える脆弱性管理:CISOが今備えるべきVulnOpsとは
AIが脆弱性の悪用を加速する時代、月次パッチ対応では追いつかなくなります。CSAが提唱するVulnOpsの考え方と、CISO・経営層が今週・45日・12か月で備えるべきアクションを解説します。
続きを読む →
Mythosの先に来るもの:自動車メーカーとサプライヤーが今備えるべきこと
AIが攻撃経路の組み立てを加速する今、2026年7月に集中するGlasswing関連パッチに向けて、自動車・サプライヤーが優先順位付けと体制整備で取るべきアクションを解説します。
続きを読む →
AI時代の自動車サイバーセキュリティに求められる脆弱性管理の前提
生成AIはエクスプロイト開発を加速し、自動車業界の脆弱性管理の前提を変えつつあります。CVSS中心の運用の限界と、OEM・サプライヤーが今見直すべきPSIRT体制・設計原則・TARAを解説します。
続きを読む →