自動車業界で530件の新たな脆弱性、さらに高度化の恐れも──VicOne調査

　トレンドマイクロの子会社で、自動車向けサイバーセキュリティ分野を専門とするVicOne（ヴィックワン）は、自動車サイバーセキュリティ実態を明らかにする「VicOne 2025年 自動車サイバーセキュリティレポート」を発表した。

ハードウェアからソフトウェアへ、攻撃対象領域の新たなシフト

　2024年、自動車業界では215件の自動車サイバーセキュリティインシデントが報告されたという。これらインシデントの中で、最も頻度高く狙われたのがクラウドおよびバックエンドの脆弱性で、それを悪用したランサムウェア攻撃、データ侵害、ソーシャルエンジニアリングおよびフィッシング攻撃が多く報告されている。データ侵害の事例では、その影響が100社超にも及んだものもあり、自動車業界における相互関連性と、1つの脆弱性が持つインパクトの大きさを示唆しているとのことだ。

脆弱性は5年間で倍増、ソフトウェア面の脆弱性増加の傾向も発見

　2024年、自動車業界では530件の新たな脆弱性が発見され、ここ10年でその件数は右肩上がりに急増。また、ハードウェアにおける脆弱性が最も多いものの、2024年はオペレーティングシステムやIVIシステムなど、ソフトウェア面の脆弱性が増加していることも特徴的だという。車両のコネクテッド化が進む中、ソフトウェアにおけるセキュリティ強化が急務となっているとのことだ。

さらに高度化する将来の危険性を示唆：アンダーグラウンドに潜む脆弱性

　VicOneでは、ダークウェブやディープウェブのアンダーグラウンドフォーラムにおける自動車関連の脅威の監視を続けており、攻撃者による最新の車両脆弱性を悪用した手口の進化を明らかにしたと述べる。その傾向として、現在の手動による車両改造の攻撃から、ユーザーのなりすましやアカウント盗難といった、より有害で大規模な攻撃へと移行する準備が整いつつあり、アンダーグラウンドにおける脅威の早期発見と、脆弱性悪用に対する事前対策の必要性が増しているという。

2025年における攻撃の新たなトレンド

　業界全体におけるSDVへの移行、AI搭載車両の増加、自動運転技術の進展とともに、自動車業界のサイバーセキュリティは未知の領域へと急速に進んでいるとのことだ。

　SDVの普及にともない、車両と外部環境との接続が増加することにより、自動車エコシステムは相互の関連性を強め、より一層複雑化すると予測されているという。また、AIを搭載した車両はユーザーに大きな利便性をもたらす一方で、AIのシステム自体の脆弱性や、AIの学習データや判断プロセスを悪用するような新たなセキュリティリスクも顕在化しているとVicOneは述べている。

【関連記事】
・IPA、2024年度の中小企業における情報セキュリティ実態を報告　ベストプラクティスも掲載
・大阪製鐵、サイバートラストのeシール用証明書を採用　デジタル化による偽造やなりすまし製品の流通を抑止
・急成長するWizが日本法人を設立、企業が抱えるクラウドセキュリティのジレンマ解消へ