コンピュータ化が進む現代の自動車。これを調査した結果、深刻な脆弱性が多数発見された。Wi-FiやBluetooth経由で車載ネットワークやECUが乗っ取られる可能性もあるという。
大手メーカーの自動車で見つかったサイバー脆弱(ぜいじゃく)性の半数は、標的にした自動車を攻撃者が完全にコントロールまたは一部コントロールできるほどのものであることが調査によって明らかになった。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 10月5日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
サイバーセキュリティを扱う企業IOActiveが実施した調査によると、見つかった脆弱性のおよそ4分の3は簡単に悪用できるか、ほぼ確実に悪用できるものだという。
この調査は、実際のセキュリティ評価と3年分のデータ、今も存在する脆弱性に基づいている。調査の詳細は、同社の「Commonalities in Vehicle Vulnerabilities」というホワイトペーパーにまとめられている。
このホワイトペーパーには、一般的な問題についての分析やコネクテッドカーが直面するサイバーセキュリティの問題について考え得る解決策などが記載されている。また、2013年以降、IOActiveの自動車サイバーセキュリティ部門が実施し、実際の自家用車のセキュリティを評価したメタデータ分析も記載されている。
IOActiveによれば、このホワイトペーパーは1万6000人/時分の共同研究とサービスから得た洞察と、公的に利用可能な研究から集めた洞察を組み合わせたものだという。
このホワイトペーパーの重要な発見の1つは、明らかになった脆弱性の50%が「致命的」と考えられる点にある。また、自動車に及ぼす影響や規制違反の可能性から、「衝撃が大きい」ともいえる。この「衝撃が大きい」発見によって、部品、通信、データへの侵害が引き起こされ、自動車のコントロールが完全に、または一部失われる恐れもある。
脆弱性の71%は、その脆弱性が現れる可能性が「中」以上に分類されている。
運がよければ、攻撃者があまり苦労しないで悪用できるという程度で済むかもしれないが、最悪の場合はほぼ確実に悪用され、その脆弱性と悪用方法についての知識が周知のものになってしまうことを意味する。
ホワイトペーパーでは、脆弱性の影響と確率を合わせて、「脆弱性の22%は致命的な状態にある。つまり、その脆弱性は特定や悪用が容易で、自動車に大きな被害を与える恐れがある」と述べられている。
また、調査では脆弱性の27%がCAN(Controller Area Network)のアクセス権を得るために利用でき、攻撃者が攻撃に成功すれば自動車自体もコントロールできることが明らかになった。
さらに、脆弱性の8%はエンジンコントロールユニット(ECU)を支配でき、1%はECUを停止させることもできる。こうなると、攻撃者は通常機能の全てを含むあらゆる要素をコントロールできるだけでなく、ECUに機能を追加できる可能性もある。
脆弱性の55%はネットワークに関係する。これにはイーサネット、Web、モバイル、セルラー方式など、全てのネットワークトラフィックが含まれる。
この調査によれば、攻撃者が標的にする可能性が最も高いのは、セルラー方式の無線機、Bluetooth、車両間(V2V:Vehicle to Vehicle)無線、車載診断装置、Wi-Fi、インフォテインメントメディア、ZigBee無線、コンパニオンアプリなど、データが自動車に入り込む部分だという。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 9月20日号 本気を出したGoogleはAWSに勝てるのか?
Computer Weekly日本語版 9月7日号 Microsoft対米国政府──判決は?
Computer Weekly日本語版 8月24日号 それでもAzureを選ぶべき理由
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...