1回のサイバー攻撃が実現されるだけで、自動車メーカーは最大11億ドルの被害に見舞われることになる。2018年末にイスラエルの「Upstream Security」が発行した調査レポート「UPSTREAM SECURITY GLOBAL AUTOMOTIVE CYBERSECURITY REPORT 2019」に掲載された1文である

一般的なエンタープライズ企業に対するサイバー攻撃で生じる被害額は多くても数百万ドル~数千万ドルと言われていることを考えると、その被害額は文字通り桁違いと言えることとなる。そうした被害を起こさないための自動車のサイバーセキュリティの在り方とはどのようなものか。キーサイト・テクノロジーのセキュリティソリューションブランドであるIXIAのManaging Director of ISG APACを務めるNaveen V Bhat氏に、同社の取り組みを交え、話をうかがった。

  • キーサイト

    左がNaveen Bhat氏、右が日本での自動車サイバーセキュリティを担当するキーサイト イクシアソリューション営業本部 本部長の山川毅氏

自動車へのサイバー攻撃の標的は誰になる?

コネクテッドカーに自動運転、100年に1度とも言われる自動車産業を取り巻く大変革が起こっている昨今、CASE(ACEs)といった言葉で表現されるこうしたエレクトロニクス化を背景とした自動車の進化の話を聞かない日はない。

  • キーサイト

    エレクトロニクス化が進む自動車。エレクトロニクス化の進展に併せて、各コンポーネントレベルでのセキュリティなどは求められてきたが、コネクテッドカーの時代になって、自動車そのものをいかにサイバー攻撃から守るか、という話が本格化してきたといえる

しかし、その一方で実は自動車に関するサイバーインシデントも毎月のように世界中で報告されるようになってきている。2018年に発生したそうしたインシデントの大きな案件だけを見ても、1月にセキュリティ研究者がUberのAndroidアプリのユーザーインタフェースを偽装するマルウェアが、ユーザーIDとパスワードを取得する行為を発見したほか、同月にはカーシェアリングサービスGoGetのサーバにハッカーが攻撃を仕掛け、ユーザー情報などを取得。後にそのハッカーは無料で自動車に乗った後、逮捕された。また2月にはFedExが数千人の顧客情報をパスワードもかけずにAmazon S3のストレージサーバ上にホスティングしていることをセキュリティ研究者が発見したほか、4月にはアラブ首長国連邦版のUberともいえるCareemがハッキング、1400万人分の運転手と顧客情報が盗み出されているなど、枚挙に暇がない。

こうした自動車に対するサイバー攻撃の最たる例は走行中のジープチェロキーをネットワーク経由でハッキングした事例だろうが、攻撃者はなんとかして自動車、およびその周辺環境に侵入しようと試み、さまざまな攻撃手法を駆使してくる。

一方、自動車は自動車(OEM)メーカーのものではなく、コンポーネントなどの開発・製造を担当するティア1やティア2といった存在のほか、Uberのようなカーシェアリングサービサー、旧来型のタクシー、消防車や救急車、公共バスといった行政、日々の生活で使う一般消費者、そして事故に対して費用の支払いなどを受け持つ保険など、非常に幅広いユーザーが存在しており、攻撃者にとっては、侵入がしやすければその実、業態や業種などは関係なしに、誰でも良いとも言える。

「昔の自動車セキュリティは、自動車そのものが盗まれないように、鍵を堅牢なものにするといったようなものであったが、現在、その攻撃対象は非常に多岐にわたっており、盗難だけを防ぐだけでは意味をなさなくなっている。そうした意味では、今後の自動車サイバーセキュリティは、ドライバーの安全のみならず、さまざまな業界に与える影響を考慮して構築していく必要がある。例えば、乗っ取られた状態で事故が起こる、ということが発生すれば、保険業界は自動車保険の保険料を引き上げるだろうし、ティア1などは、OEMメーカーに納入するすべての製品に対して安全を保証する取り組みの実施を求められることになる。OEMメーカーとしても、簡単に乗っ取られる自動車を製造している、といったブランドの毀損を生み出すことにもつながり、その結果、ブランド力の回復や対応策の実施なども併せ、被害額は10億ドルを超すということとなる。とにかく、自動車は、その影響が広範におよぶため、問題が生じた際のインパクトが大きい。そうした自動車に関わるさまざまな業界の人たちに、サイバーセキュリティに対するテストソリューションの提供を行い、安全性を担保していくのが、我々の使命だ」とBhat氏は、同社の立ち位置を説明する。