自動車へのサイバー攻撃で最もリスクが高いといわれる3つの領域

2024.07.15 08:20 掲載 10

全て見る
1枚

近年、インターネットにつながる自動車、コネクテッドカーの技術が向上し、普及すると同時に、サイバー攻撃も増加している。VicOneという自動車産業向けに幅広いサイバーセキュリティソフトウェアやサービスを提供しているトレンドマイクロの子会社による自動車サイバーセキュリティに関するレポートによれば、「EV（電気自動車）充電ステーション」「クラウドAPI」「リモートキーレスエントリー」の3つの領域において、特にセキュリティリスクが高いと指摘されているという。

そこで、これからの時代、コネクテッドカーオーナーが注意すべきポイントをVicOneの自動車サイバーセキュリティに詳しい有識者に聞いた。

想像以上の進化を遂げた大空間サルーン、新型「アルファード」「ヴェルファイア」を徹底検証

自動車のサイバー攻撃の脅威3つへの対応策

2022年11月当時に公開された「2022年自動車サイバーセキュリティ」のレポートでは、自動車業界を狙うサイバー攻撃の範囲を探るべく、50件以上の主要なセキュリティ事例を調査したという。

世界の主要なセキュリティ被害事例のうち、最も一般的なセキュリティ被害は「ランサムウェア（身代金を要求するマルウェア）」によるもので、次に「情報漏洩」が続くそうだ。

当時の時点で、「EV充電ステーション」や「クラウドAPI」、「リモートキーレスエントリー」の3つがセキュリティリスクの高い領域と指摘されていた。

それぞれ、具体的に、どのようなリスクがあるのだろうか。また、コネクテッドカーオーナー個人はサイバー攻撃に対して、日頃からどのようなことに注意すれば良いか、具体的な行動をVicOneに教えてもらった。

1.EV充電ステーション

●サイバー脅威

「EV充電ステーションはクラウドや電力供給網、そして充電する各電気自動車とつながりを持つ接点としてサイバー攻撃者の標的の一つです。また急速な市場の拡大に伴い、家庭用EV充電器はセキュリティの観点が後回しにされがちで、残念ながら現在市場に出回っている製品の多くはスマートフォンやPCと比較してセキュリティレベルが低いといえます」

●対応策

「公共の場に設置されているEV充電設備のリスクを個人がコントロールすることはむずかしいですが、家庭用EV充電器の場合は可能です。屋外や公共の場所からBluetoothが届く場所には設置しないことが大切です。そして強力なWi-FiパスワードとBluetooth PINをデフォルトから変更しておくこと。メーカーのアップデートページから提供されるアップデートの頻度を見比べて、ソフトウェアアップデートが提供されていない充電器を避けること。さらに、メーカーが発見されたバグに対して謝礼を払う『セキュリティ報奨金プログラム』を持っている場合は、そのメーカーのセキュリティ意識が高いと判断できるため、より安心といえるでしょう」

2.クラウドAPI

●サイバー脅威

「クラウドAPIとは、クラウドサービスを横断してデータを転送するソフトウェアプログラムのことで、コネクテッドカーにおいては、例えば手元のスマートフォンから接続された自分の自動車にクラクションを鳴らすように指示を送る場合などに活用されています。

多くのポイントを経由して車両を制御する指示が送られる一連の情報の流れの中で、妨害されやすい脆弱性を見つけ出さなければなりません。攻撃者の目標は車両の制御に関わるAPI認証情報やその他の重要な個人情報を盗み出すことにあり、そのためにはインジェクション攻撃や中間者攻撃といった聞きなじみの薄い手段から、フィッシングメールやパスワード推測攻撃による認証突破といった普遍的な攻撃手法までさまざまな手法がとられます。

私たちの研究から、特にクラウドAPIに対する攻撃のリスクが高いのは、実は家庭用の無線ルーター経由だということがわかっています。ユーザーの多くがご自宅でスマートフォンアプリからコネクテッドカーに通信を行うとき、ご自宅のルーターからインターネットに接続しているため、ルーター内にマルウェアを仕込まれてしまえば、コネクテッドカーとのAPI通信内容が筒抜けとなり、認証情報を盗み取られてしまうわけです」

●対応策

「一般的なユーザー自身が、バックエンドで行われる攻撃に気づくことはむずかしいため、自動車メーカーやセキュリティ企業がしのぎを削っています。ただ、ご自宅で使用されているルーターのファームウェアを常時アップデートすること、デフォルトのユーザーとパスワードを変更することなどのルーターのセキュリティ対策や、フィッシングメールなどの対策については、みなさんのセキュリティ意識も同時に欠かせません」

3.リモートキーレスエントリー

●サイバー脅威

「リモートキーレスエントリーは、運転者にとってスムーズな車の乗降を助ける便利な技術ですが、物理的な鍵を自動車に挿し込まなくても自動車を解錠し、エンジンを始動させられるという観点から、悪意ある攻撃者に目をつけられている領域であることも事実です」

●対応策

「ユーザーが注意すべき点の一つが、自動車の鍵から発信されている電波を記録して再送することで自動車を窃盗するリレーアタックです。対策としては、一部の自動車メーカーの車種ではスマートキーに節電モード機能が提供されているので、その機能を設定しておくことです。同機能がない場合は、自動車から離れている間、スマートキーから発信される電波を遮断するために、スマートキーを電波遮断ケースや金属製の缶等に入れておきましょう。また玄関付近など自動車の近くにスマートキーを置かないことや、タイヤやステアリングを物理的にロックする防犯グッズ等も有効です」

ユーザーが行うべきセキュリティ対策

まだまだ他にもサイバーセキュリティリスクはある。そこでユーザーが日頃から行うべきセキュリティ対策について、確認しておこう。

「自動車業界はサイバー攻撃に対してより厳格な措置を講じており、脅威に対してより積極的なアプローチを取り始めていますが、ユーザーのみなさんに注意していただきたいこともあります。それは、強力なパスワードを使用すること、多要素認証 (MFA) を活用すること、アカウントへの不正アクセスを定期的に監視すること。可能であれば、あなたの情報を要求するすべてのWebサイト、アプリ、サブスクリプション、サービスをリスト化しておくこと、そして特に公共のオンラインスペースでは、提供するデータや情報の量と種類をなるべく控えることです。

どれも当たり前のように映るかもしれませんが、結局は着実な対策が重要なのです。それらの一般的な対策に加えて、VicOneが提供する『Smart Cockpit Protection』のようなセキュリティソリューションが合わさって、攻撃の予防効果が最大化されます」

今後のサイバー攻撃と対策の展望

今後のサイバー攻撃はどうなっていくだろうか。今後の展望とともに聞いた。

「VicOneが公開している『2023年自動車サイバーセキュリティ脅威動向』では、2023年上半期のサイバー攻撃による損失が110億ドルを超え、過去2年間でも顕著な増加を記録したことが明らかになっています。一方で、ISO/SAE 21434に代表される、自動車のサイバーセキュリティに関する国際標準規格が定められているなど、世界中で業界を挙げた対策が取り組まれています。

その中でVicOneは、「特に悪意ある攻撃者に先んじた脆弱性の早期発見と対策」と「業界を横断したセキュリティパートナーシップの強化」の2点が肝要だと考えています。

そこでVicOneは、さまざまなセキュリティの専門家の知見を集約して未発見の脆弱性を探し出すために、『Pwn2Own Automotive（ポウントゥオウン・オートモーティブ）』という世界最大規模のハッキング大会も共催しています。このような場で得られた知見が各メーカーに共有されることで、自動車業界の防御力が強化され、新たなサイバー脅威に対しても強靭なエコシステムが形成されることにつながります」

「Pwn2Own Automotive」の様子

「今後は、メーカー、開発者、サイバーセキュリティ専門家の間の協力が一層、不可欠となっていくでしょう。異なる主体が手を取り合って安全性の向上に取り組むことで、攻撃者につけ入るすきを与えず、自動車を取り巻くすべての人の安全を追求することができると考えます」

サイバー脅威は、自動車を運転するすべてのドライバーの目の前に迫っている。ユーザー個人として対策を講じると同時に、社会や組織の一員として、安全性向上に取り組む輪に参加する意識を持つことも重要といえそうだ。

【参考】
VicOneレポート：2022年自動車サイバーセキュリティ
VicOne「2023年自動車サイバーセキュリティ脅威動向」

文／石原亜香利