自動車のサイバーセキュリティリスク高まる--VicOneが報告

國谷武史（編集部）

2025-05-14 06:00

　VicOneは5月13日、メディア向けの説明会を開催し、同社の最新レポートで自動車業界全体におけるセキュリティリスクの高まりを指摘した。業界全体での広範なセキュリティ対策を推進する必要性を提起している。

　同社は、トレンドマイクロの子会社で、自動車分野専業のサイバーセキュリティベンダー。車載装置やシステムのセキュリティ防御、検査、脅威監視・インテリジェンス、コンサルティング、教育・トレーニングなどの製品やサービスを手掛けている。

　説明会の冒頭で日本地域代表執行役員ヴァイスプレジデントセールス＆ビジネス開発統括担当の小田章展氏は、自動車分野でのソフトウェア技術の採用拡大、電気自動車（EV）や自動運転などの高度化などを背景に、この分野でもサイバーセキュリティリスクが高まり始めており、各国市場で関連法規制などの整備も進むなど、サイバーセキュリティへの取り組みの重要性が増していると説明した。

VicOneの提供ソリューション

　また、同社の事業状況では、日本を含むアジアや欧州を中心に自動車メーカーや建設機械、農業機械などのメーカーらの顧客と、車両向けセキュリティ運用センター（VSOC）や車載用侵入検知／防御システム（IDS/IPS）、脆弱（ぜいじゃく）性管理およびソフトウェア部品表（SBOM）関連サービス、侵入検査などの長期的な取り組みを推進しており、特に日本ではコンサルティングやトレーニングのサービス需要もおう盛だとした。

　自動車サイバーセキュリティの最新レポートでは、セキュリティリスクが年々高まり続ける実態が判明したという。

　まず2014～2024年に公開されたソフトウェア定義型車両（SDV）に関するセキュリティ事案は、完成車メーカーや部品メーカーといったサプライチェーンにまつわる脆弱性が1564件に上り、車両と外部サービスの連携といったサードパーティーに関する事案が308件、車載ソフトウェアの脆弱性悪用攻撃につながりかねない問題が295件に上った。報告全体の83％を車載領域が占め、車両などと連携するクラウド領域も15％を占めていた。

2014～2024年に公開された自動車業界関連のセキュリティ事案の状況

　また、共通脆弱性識別子（CVE）が採番された脆弱性は、2018年まで年間数～数十件だったが、2019年に266件と急増し、2020年は340件、2021年は290件、2022年は355件、2023年は426件、2024年は530件と増加傾向にある。

共通脆弱性識別子（CVE）が採番された自動車関連ソフトウェアの脆弱性件数の推移

　これらの状況について執行役員技術統括シニアディレクターの原聖樹氏は、例えば、CVEの採番件数で見た場合、自動車関連はIT業界に比べて極めて小規模であるものの、SDVの開発やITシステム／サービスとの接続拡大を背景に、脆弱性の悪用リスクへ包括的に対応することが喫緊の課題だと指摘する。

　また、自動車特有の課題としては、ITシステム／サービスのように脆弱性を修正するパッチプログラムの適用や修正版ソフトウェアのアップデートを容易に実施できないことなどがある。こうした場合は、メーカーにとってリコール問題になり、エコシステムを通じた対応も世界的な規模となってしまう。車載機器自体を直接狙うサイバー攻撃の実行などはまだ困難な状況だが、「サプライチェーン全体で見れば、1件の脆弱性であっても広範囲に影響を及び、脆弱性の増加はサイバー攻撃を実行しやすくなっている状況を示唆している」（原氏）という。

　自動車業界全体におけるサイバー攻撃の損害（データ漏えい、システムダウン、ランサムウェアなど）も拡大しているといい、被害額は2022年が約10億ドル、2023年が約128億ドル、2024年が約225億ドルとなっている。

　さらに、ダークウェブなどのサイバー犯罪市場では、車両やIoTデバイスなどに関する脆弱性情報や悪用手法（エクスプロイト）などの情報交換、ハッキングツールやその使用方法、メーカーから窃取した機密データや認証情報などの売買といった行為も台頭してきているとした。

　今後では、特にAIやEV充電インフラなどが新たなセキュリティリスクとして顕在化する恐れがあるという。

　原氏によれば、AIでは、同乗者がハンズフリー装置などで車載装置や外部サービスの操作を音声入力し、その処理をAIが実行する場合に攻撃者が不正な操作や処理を実行したり、同乗者らの個人データなどを窃取したりするなどの脅威が想定される。また車両自体にもAIが実装されていく場合、小規模言語モデル（SLM）やエッジデバイスによる処理などが行われていくため、車両自体にもAIのセキュリティを組み込む必要が生じるとした。

　EV充電インフラは、現時点ではスタンドアロンな設備が多いものの、将来的にEV充電インフラを通じてさまざまなサービスやデータが連携するようになれば、現在のITシステム／サービスを狙うサイバー攻撃などの脅威が顕在化する恐れがあるという。

　原氏は、現在のサイバー攻撃の主な目的が金銭の獲得であることを踏まえて、自動車本体を狙うサイバー攻撃を実行するには、現在の技術では困難であることや、金銭獲得の目的に直結しづらいため、まだ深刻な状況ではないとも解説した。しかしながら、サイバー犯罪市場では攻撃者らが自動車へのサイバー攻撃にコミュニケーションを活発化させており、攻撃者の目的を容易に達成可能な状況になれば、すぐに現実の脅威になるだろうとも警鐘を鳴らした。

　小田氏は、自動車業界で高まるセキュリティ脅威への同社の取り組みとして、上述のセキュリティ製品やサービスの展開に加え、業界での意識や認知の向上、人材育成なども推進しているとした。

　例えば、2024年には経済産業省主催の「Automotive CTF Japan」の運営に関連企業らと協力したほか、トレンドマイクロのセキュリティコミュニティー「Zero Day Initiative」が開催する脆弱性発見コンテスト「Pwn2Own」で自動車分野専門の「Pwn2Own Automotive」を実施した。1～3月に開催されたPwn2Own Automotive 2025では、参加したセキュリティ研究者によって、49件の新たな脆弱性（ゼロデイ脆弱性）が発見されたという。