自動車産業におけるサイバーセキュリティは大転換点

　自動車産業のサイバーセキュリティは大きな転換点を迎えている。かつて、実験的な性格が強かったハッキング行為が、大規模かつ本格的な攻撃へと変貌を遂げているのだ。

　コネクテッドカーのセキュリティ企業Upstreamの調査（2024年版）によると、2023年に報道された自動車関連のサイバーセキュリティインシデントは295件に達した。過去4年間で50％以上の増加となる。深刻なのは、攻撃の95％が遠隔で実行され、64％がブラックハット（悪意のあるハッカー）によるものという事実だ。

　攻撃規模が拡大傾向にあるのも大きな懸念点となる。2023年に発生したインシデントのうち、「高影響（High）」または「甚大な影響（Massive）」と分類される割合は、前年の約20％から50％近くまで急増した。

　車両の接続性が高まり、ソフトウェア定義型アーキテクチャを採用したSDVが増えていることが背景にある。たとえば、2021～2022年にかけて車両アプリケーションのAPIを狙った攻撃は380％増加、インシデント全体の12％を占めた。2023年もAPIを狙った攻撃は、全体の13％を占めている。

　ハッキングメソッドが高度化している点も懸念される。2015年には1台の車両をハッキングするのに3年を要したが、2023年には数カ月で複数のメーカーの車両システムへの侵入に成功した事例が報告されている。

　ディープウェブやダークウェブ上では、自動車関連の悪意ある活動が156％増加。マルウェアの大半（65％）が、数千台から数百万台の車両に影響を及ぼす可能性を有している。

　現在、攻撃コストの低下と攻撃の敷居低下が同時に進行しており、攻撃の規模と影響は今後さらに拡大する可能性が指摘されている。

自動車産業におけるサイバー攻撃、その対象とは？

　自動車産業に対するサイバー攻撃は、より高度化・巧妙化の一途をたどっている。車両システムやコンポーネント、スマートモビリティプラットフォーム、IoTデバイス、アプリケーションなど、あらゆる接続ポイントが攻撃対象となる。

　特に深刻化しているのが、テレマティクスやアプリケーションサーバを標的とした攻撃だ。2023年に発生したインシデントのうち、サーバ関連の攻撃は43％と、前年の35％から大幅に増加。車両の運用データや個人情報など、機密性の高いデータへのアクセスを狙う動きの活発化が背景にある。


　インフォテインメントシステムに対する攻撃も急増している。2023年には全体の15％を占めており、前年の8％からほぼ2倍増加した格好となる。8月には、ある自動車メーカーのインフォテインメントシステムに対する電圧フォールト注入攻撃により、ルートアクセス権限が盗まれるインシデントが発生。これにより、ユーザーの個人データへのアクセスや暗号化されたストレージの復号、車両IDの改ざんなどが可能となった事例が報告されている。

　また、電気自動車（EV）の充電インフラも新たな攻撃対象として浮上している。2023年1月には、米国のEV充電会社が運用する350kW充電器のオペレーティングシステムへの不正アクセスが確認された。攻撃者は充電器の重要な設定にアクセスし、過熱保護機能などの制御が可能になったとされる。

　さらに、車両の遠隔操作を可能にするキーレスエントリーシステムへの攻撃も深刻化している。2023年前半には、英国グラスゴー、ベルギーのワーテルロー、ドイツのフランコニアなど、欧州各地でキーレス車両の盗難が多発。これを受けて英国政府は、8月にキーレス車両のハッキングデバイス販売を禁止する方針を発表した。

　ほとんどのインシデントは、遠隔で実行されており、そのうち85％が長距離攻撃だったと報告されている。 【次ページ】本格化する「自動車サイバーセキュリティ法」規制議論