【Vol.06】自動車も「サイバー攻撃時代」へ　SDVのもたらすリスクとは 人命に関わる「ハイジャック」も　求められる盤石なセキュリティー

自動車に関するCSの知識、技術などを競う世界最大のコンテスト「VCC（Vehicle Cybersecurity Competition）」。その日本大会が2025年10月3日、東京都港区で開催された。「ウイルスバスター」で知られるトレンドマイクロ子会社の「VicOne（ヴィックワン）」が、次世代を担うセキュリティー人材の育成と多様な参加者の連携強化を目的に開催している。

大会に参加したのは9チーム。トヨタ自動車の研究者がセキュリティーの研究・教育のために開発した課題がベースの15問を6時間半かけて解いた。隠された答えを専門の知識や技術で見つけるセキュリティー分野の「謎解きパズル」とも言え、一筋縄ではいかないが、単なる技術コンテストに留まらない面白さ、魅力も併せ持つ。今回は様々な属性の人々に知ってもらうため、世界大会の上位入賞チームや自動車関連企業だけでなく、学生にも門戸を広げた。その一人である長崎県立大学2年の女子学生は「セキュリティーには高校から興味があった。同じ世代では詳しい方と思っていたが、大会に出て『井の中の蛙』であることを痛感した。今後も精進したい」と悔しさをにじませながらも目を輝かせていた。

ヴィックワンのマックス・チェンCEO（最高経営責任者）は、「SDVの登場で、車両はこれまで以上に多くの外部システムと連携する。利便性が高まる一方で、リスクも増えるだろう。だからこそ、自動車セキュリティーへの理解と備えを強化することが不可欠だ」と大会の意義を強調した。

SDVはオンラインで制御機能を強化したり、コンテンツを追加したりと、常に新たな価値を創出し続ける。それは同時にチェン氏が言及した通り、従来の自動車にはなかった危険を伴うことも意味する。車両に繋がるサーバーが攻撃を受ければ、個人情報の漏洩や悪意のある膨大なデータ処理のリクエストによりサービスが利用できない事態が想定される。危機意識の低いユーザーが意図せずに不正なアプリを使用し、ウィルスに感染することもありうる。無線LANを通じて車両の制御に影響する不正なデータが送られて車両が「ハイジャック」されるなど、考えられるリスクを上げればきりがない。

このため、「モビリティDX戦略」では、セキュリティー対策を大々的に掲げている。SDVの具体的なリスクとして、慶応義塾大学と米カリフォルニア大学が2025年2月、レーザーで対象物の距離や形などを把握する「ライダーセンサー」の一部に脆弱性を発見した例を紹介した。遠距離から歩行者のデータを無効化できたという。将来的にはセキュリティー対策とプライバシーが安全・安心と共に自動車の価値を差別化する要因になりうる可能性も指摘した。DX戦略では「OEMのデータ保護方針が車両購入にある程度影響すると考える消費者」が78％に達したとする米国の調査をあげている。

DX戦略はこれらの実情を踏まえ、脆弱性情報の業界内での共有や、人材育成の推進を取り組み方針に盛り込んだ。情報共有の手段で示したのが「SBOM（Software Bill of Materials）」。和訳すると「ソフトウェアの部品表」で、ソフトウェアに組み込まれている様々な機能（コンポーネント）やそれらの依存関係、出所といった情報を明示する。近年のソフトウェアの多くは、プログラムの改変・再配布が自由な「OSS(Open Source Software）」などの膨大なコンポーネントが複雑に組み込まれており、そのままでは内包されるリスクの把握が困難な「ブラックボックス」になってしまう。SBOMはソフトウェアの透明性を高め、脅威や脆弱性を俯瞰できるようにする。

SBOMをはじめとする自動車セキュリティーは、一般社団法人の「J-Auto-ISAC（アイザック）」が中心的な役割を担っている。アイザックは国際的な団体で、脅威、脆弱性、事例に関する情報を分析し、会員企業にそれらを提供することでサイバー攻撃への対策力を底上げする役割を担う。自動車のほか、金融や交通、電力などがある。

自動車アイザックでサイバーセキュリティエコシステム構築センターに所属する山﨑雅史センター長（マツダMDI＆IT本部主査）は現状について、「考え得る脅威や脆弱性の対応に関して、一定レベルの安全性は担保できている」と話す。自動車の製造やソフトウェアのアップデートは、サイバーセキュリティーに関する国連の法規に適合させる義務があるほか、自動車には、限られた時間内で確実な処理が求められる「リアルタイムOS（基本ソフト）」が搭載されており、これまでサイバー攻撃の対象となってきたパソコンなどの汎用ＯＳとは異なる。これらから、サイバー攻撃で自動車が制御不能になる可能性は高くはないとされている。

ただ、SDV時代の本格化に向けては、「安全・安心が担保されないソフトウェアが車両に搭載され、アップデートで我々が意図しないサイバー攻撃を受ける懸念を持っている」とも指摘する。OSSやインフォテインメント、既存ITで使われているコンポーネントが、メーカー側の意図しない形で自動車に組み込まれうるからだ。

自動車産業のサプライチェーンは関連企業の裾野が広く、OEMから部品メーカー、さらにその部品メーカー、さらに…という形の階層構造になっている。個社が組み込まれるソフトウェアの全体像を熟知するのは、人的な負担やコストの面で難しい。これを補う意味で、SBOMの整備や人材育成などを進めるアイザックの役割は、極めて重要になっている。このうち人材について山﨑氏は、「開発から販売後のサービスまで、自動車のライフサイクルによってセキュリティー対策のアプローチは異なる」とし、「日本自動車工業会など業界団体と連携し、スキルマップを作成する作業を進めている」と説明した。

SDV化に伴う自動車セキュリティーの課題とVCCの意義は何か。サイバーセキュリティーのプロフェッショナルであるヴィックワン日本地域の小田章展代表に民間の立場から話を聞いた。

SDV時代において、自動車のセキュリティーは欠かせない。自動車に個人情報が集約されるために漏洩のリスクがあり、何よりも制御系が乗っ取られると人命に関わってしまう。ケアする領域は想定を超えて広がるだろう。

ただ、消費者を含めて、既存ITのように「セキュリティー対策は蛇口をひねったら水が出るぐらい当たり前」という意識には至っていない。機運が高まる機会は大きく二つ。関連法規の整備と、重大事故をはじめサイバー攻撃による被害が実際に生じることだ。とはいえ、特に後者を業界として待っている訳にはいかない。起こってしまってからでは遅く、SDVへの不信感を高めてしまう。

政府も重視しているように、業界が枠を超えて連携し、消費者に自動車セキュリティーの価値を浸透させることが極めて重要だ。そうなれば、業界側はその価値に答えることで一定の対価を求めることができる。この分野が一つのビジネス、ひいては産業として形になれば、安全・安心という社会的ニーズにも高いレベルで貢献することになる。

その意味でVCCが、ITを学ぶ学生を含め、参加者が今まで知らなかった活躍の場があるということを知り、自動車セキュリティーに関心を持つ機会になればと思う。大会を継続して認知度が高まることで、新たな人材のシーズが生まれるだろう。我々は、（親会社の）トレンドマイクロなどで培ってきた知見がある。これまでのIT分野のように、セキュリティー対策の価値醸成を支援することが役割であると確信しており、自動車業界との連携が見込まれるVCCは、その一環だと考える。