未来のコネクテッドカー技術:諸刃の剣
現在の技術動向を踏まえ、コネクテッドカーのサイバーリスクについて説明した概説
By Ronen Smoly, CEO, Argus Cyber Security.
2022年9月 Automotive World, に掲載
ピカピカの新型テスラで出勤し、朝のコーヒーを味わっていると、突然、エンターテインメントシステムがフルボリュームで音楽を流し始め、ヘッドライトが点滅し始めます。あなたはラジオを消しましたが、まるで自分の意思を持っているかのように、再びラジオがつきますます。スピードを落としてドアを開けようとしても、またロックがかかってしまいます。
サイエンスフィクション?そうではありません。
2022年1月、19歳のITスペシャリストによって25台のテスラが同時にハッキングされ、一部のテスラオーナーが使用しているサードパーティアプリの脆弱性が突かれました。この脆弱性を利用し、ハッカーはサードパーティーのサーバーから上記のような悪戯を行い、世界中にある車両の位置を追跡することができたのです。
しかし、このハッキングは氷山の一角に過ぎません。サードパーティのアプリを通じて25台の車両を危険にさらすことが可能だとしたら、サイバー犯罪者が車両全体を遠隔操作し、車両のロックを解除するために巨額の身代金の支払いを要求した場合の結末を想像してみてください。ランサムウェアの攻撃は猛威を振るい続けており(2021年には世界で3億件)、そのようなシナリオの可能性はますます高まっています。
テスラがハッキングされた事実を軽んじるべきではありません。この先進的な企業は、モビリティ市場の未来を象徴し、自動車技術に関して言えば「最先端」を象徴しています。特にサイバー攻撃に関しては、テスラに発生した出来事は、同じように技術のアップグレードを目指す「従来型」自動車メーカーにとっても劇的な影響を与えます。
コネクティビティ+ソフトウェア=リスク
では、なぜ私たちの大切な車がサイバー攻撃の標的になったのでしょうか。
過去10年間で、モビリティ市場は大規模なデジタル変革を遂げました。現在では、ほぼすべての自動車に、情報を受発信するためのコネクティビティ・オプションが組み込まれています。
しかし、ソフトウェア・ドリブンのコネクテッドカーの便利さを、コストなしで得ることはできません。30年前にコンピュータの世界で起きたことを思い出してみてください。コンピュータがネットワークにつながるようになると同時に、新しい脅威に対して脆弱になりました(現在では、どの企業もネットワークを保護しています)。同じことが、今日のモビリティ市場にも当てはまります。
自動運転車、クラウドベースの機能、シェアモビリティなど、自動車産業における現在のメガトレンドは、自動車をより大きなサイバーリスクにさらしています。自動車はすでに世界で8番目にサイバー攻撃者から狙われている分野であり、コネクテッドカーはメーカーのITシステムや設備に侵入するための新たな攻撃対象になる可能性があります。
電気自動車や自動運転車の新技術をサポートするために、自動車業界はソフトウェア開発に膨大なリソースを投入しています。自動車メーカーは、これらのソフトウェア・コンポーネントを完全に制御することを望んでおり、拡大する高度な攻撃対象から車両を保護するための複雑さは増しています。さらに、現在のビジネス・アーキテクチャへの統合、より大きな攻撃対象領域、膨大なデータ量(25GB/1時間/1台当たり)により、今後数年間でサイバーリスクがさらに高まると予想されます。
自動車の将来は、技術中心、ソフトウェア中心のアプローチになり、新機能や機能アップグレードはソフトウェアアップデートによって提供されるようになります。自動車が工場から出荷された後、サイバーセキュリティの更新を含む継続的な機能拡張を提供できることが、自動車メーカーにとって今後の重要な競争要件になるでしょう。
機能安全とサイバーセキュリティの連携
自動車業界は、シートベルト、エアバッグ、事故防止用レーダーなど、常に安全を第一に考えてきました。しかし、自動車がコネクテッド化、自律化、ソフトウェア主導化するにつれ、安全とセキュリティは相互に依存するようになってきています。つまり、システムが機能的に安全であるためには、セキュアであることも必要なのです。
ネットワークやデータの保護に重点を置くITセキュリティとは異なり、自動車のサイバーセキュリティは運転手や乗客の安全に直接影響します。自動車ソフトウェアの脆弱性は、その発生源(サプライチェーン、OTAアップデート)に関係なく、サイバー攻撃によって自動車のブレーキシステムやエアバッグシステムが危険にさらされ、生命を脅かす結果になる恐れがあります。
変化する世界のためのサイバーセキュリティ
今日の自動車は、サイバー攻撃から十分に保護されているとは言えません。この業界は非常に動きが大きく、新しいソフトウェアベースの機能やアプリが常に開発されており、また充電ステーションなどの新しいインターフェースも開発されているため、高度な攻撃ベクトルへの新たな入り口が開かれることになります。
自動車の安全性を確保し、UNR155やGB/Tなどの自動車業界の新しいセキュリティ規制に準拠するため、自動車メーカーやティア1サプライヤーは、高度なサイバー脅威から身を守るための高度なサイバーセキュリティ・ソリューションに投資しています。
最初のステップとして、自動車メーカーとそのサイバーセキュリティパートナーは、エンドツーエンドの車両アーキテクチャ全体の徹底的な脅威分析に基づいて、車載セキュリティ制御の要件を特定し、指定する必要があります。車載制御(ネットワーク監視など)は、セキュリティ・インシデントを監視し対応するためのバックエンド技術(車両セキュリティ・オペレーション・センターなど)によってサポートされるべきです。現在、自動車メーカーが導入している最も一般的な機能には、ネットワークトラフィックの監視とフィルタリング(CANやイーサネット侵入検知システムなど)、アプリケーションのハード化と監視、機能の分離・分別の厳格化などがあります。
さらに高度な技術やツールとしては、車両レベルでの異常検知とレポート、車両ソフトウェアの反復的な脆弱性スキャン、バックエンド分析、安全なソフトウェア更新メカニズムなどが検討されるべきでしょう。
サイバー脅威を新たなビジネスチャンスに変える
自動車は、様々な意味で、家庭やオフィスの延長線上にあるような存在になっています。人々は毎日何時間もかけて通勤し、車からスマートフォンを使って私生活を管理しています。スマートフォンを使用する際にプライバシーを犠牲にするのと同様に、今日のコネクテッドカーは、私たちの位置を把握し、何をしているか情報を聞いて収集し、車内に配備されたカメラ、センサー、マイクはもちろんのこと、最もプライベートなデータにもアクセスすることができるのです。
こうしたセキュリティやプライバシーのリスクが高まるにつれ、消費者が自動車のサイバーセキュリティ機能を、バッテリーサイズや動作範囲、充電時間と同じくらい気にするようになる日もそう遠くはないでしょう。このことは、自動車メーカーがサイバーセキュリティを収益化する新たな機会をもたらす可能性があります。例えば、何千万もの侵入検知装置を自動車に内蔵したり、ドライバーや車両が生成するデータのリアルタイム分析に基づく付加価値の高いデータサービスを提供したりすることが考えられます。
今後、自動車のサイバーセキュリティは、自動車だけでなく、モビリティのエコシステム全体を包含する必要があります。技術の進歩に伴い、充電ステーション、盗難防止ソリューション、セキュアな接続、車両とクラウドの間、スマートシティの設備との間、その他のインターフェースの間のデータ保護など、新しいサイバーセキュリティ・ソリューションとサービスが必要になるでしょう。
テクノロジーは時として諸刃の剣です。10代のハッカーに聞いてみてください。