急速なデジタル化により、高度な機能を備える自動車も増えてきました。一方で、自動車に対するサイバー攻撃のリスクも高まっています。実際のところ、車載システムや通信ネットワークが標的になるケースは増加しつつあります。
しかし、中には「自動車はサイバー攻撃とは無縁」と漠然と感じている方もいるのではないでしょうか。そうした意識の甘さが、重大なセキュリティ事故を招くこともあります。自動車ソフトウェアに関わる開発者も、セキュリティについて再認識することが大切です。
そこで本記事では、自動車セキュリティの重要性や具体的な脅威、求められる対策についてお伝えします。
自動車におけるサイバーセキュリティの重要性
最初に、自動車におけるサイバーセキュリティがなぜ重要なのか押さえておきましょう。
コネクテッドカーの普及
まず挙げられるのが「コネクテッドカー」の普及です。コネクテッドカーとは、ICT(情報通信技術)の機能を備えた自動車を指します。簡単にいえば、インターネットに接続できる自動車のことです。
近年では、自動車メーカー各社がコネクテッドカーの開発を積極的に進めており、スマートフォン連携や事故時の自動通報システムなど、さまざまな機能が搭載されています。これらは利便性を高める一方、セキュリティリスクを高める側面もあります。車両がインターネットに接続されることで、攻撃者からのアクセスも容易となるためです。
今後も自動車技術が進化すれば、インターネットへ接続する自動車は増えるでしょう。そのため、サイバー攻撃の被害者を増やさないためには、適切な自動車セキュリティ対策を講じることが大切です。
サイバー攻撃の増加・巧妙化
サイバー攻撃そのものが増加・巧妙化していることも、自動車セキュリティの重要性を高めています。特に、近年ではIoT機器を標的とした攻撃が深刻化しており、インターネットにつながる自動車もその例外ではありません。
総務省「令和7年版 情報通信白書」によると、NICTER(大規模サイバー攻撃観測網)の観測データでは、2023年に観測されたサイバー攻撃関連の通信内容のうち、IoT機器を狙った通信が約3.5割を占めています。2022年と比べて、その割合は増加していることが分かります。
出典:総務省|令和7年版 情報通信白書|サイバーセキュリティ上の脅威の増大
インターネットを介して外部と通信する自動車の車載システムも、IoT機器の一種です。IoT機器を狙う攻撃の増加は、自動車業界にとっても決して他人事ではありません。
また、サイバー攻撃の手口は年々巧妙化しており、不正アクセスやデータ窃取にとどまりません。たとえば、ネットワーク通信機能を持つ車両に外部から不正なデータを送り、車両の制御システムを誤作動させる、といった手口も登場しました。これは、テクノロジーの発展によって新たに生まれた脅威の一例です。
こうした状況を踏まえると、自動車関連のソフトウェア開発者も、従来のIT分野と同様に強固なセキュリティ対策を講じる必要があります。今後も新たなサイバー攻撃が登場し、自動車を脅かすことは考えられるでしょう。そのため、セキュリティの最新動向を把握し、継続的に対策をアップデートしていくことが求められます。
自動車のセキュリティリスクがもたらす被害
自動車のセキュリティリスクに対して適切な対策を講じなければ、甚大な被害を及ぼしかねません。ここでは、自動車のセキュリティリスクがもたらす主な4つの被害について見ていきましょう。
情報漏えい
自動車関連のソフトウェアがサイバー攻撃を受けると、顧客や自社の重要な情報が漏えいする恐れがあります。車載システムにはナビの履歴や通話記録など、さまざまな個人情報が保存されており、サーバーに送信されるケースもあるでしょう。これらが不正アクセスにより流出すれば、プライバシー侵害に加え、企業の信頼失墜や訴訟リスクも生じます。
ある大手自動車メーカーの事例では、サーバー機器への不正アクセスによって10万件を超える個人情報が漏えいしました。
データの改ざん
攻撃者が車載システムやサーバーへの不正アクセスを実現すれば、データを改ざんされる恐れがあります。たとえば、ナビ情報や走行履歴といった電子データが書き換えられると、不正な登録や情報の偽装が行われかねません。データの改ざんが及ぼす影響は大きく、企業の運用を阻害するばかりか、利用者の安全を脅かすことも考えられます。
ある大学の研究では、特定の攻撃手法を用いることで、自動運転用のセンサー上で広範囲の物体を消去したり、偽装データを注入したりできることが確認されました。これは、センサーが認識する「景色」そのものが改ざんされることを意味し、自動運転システムの判断を誤らせる恐れがあります。
システムの誤作動
ECU(電子制御ユニット)の通信が偽装される、中枢データが改ざんされる、などシステムの誤作動を引き起こすシナリオも考えられます。サイバー攻撃により車載システムが誤作動を起こすと、重大な事故につながる恐れがあります。特に、ブレーキやアクセルの制御が困難になれば、人命に関わる危険は避けられません。また、ランサムウェア(身代金要求型ウイルス)による車両ロックなど、乗車そのものを妨害する攻撃も懸念されます。
ある実証実験では、海外某メーカーの自動車が、遠隔地のノートパソコンから不正にワイパーやエンジンを誤作動できてしまうことが証明されました。この事態を受け、当該メーカーは140万台を超える車両をリコールするに至りました。
不正の踏み台にされる
インターネットに接続可能な車載システムは、サイバー攻撃の踏み台として利用される危険性もゼロではありません。たとえば、マルウェアに感染した車載システムが攻撃者によって遠隔操作され、大量の不正リクエストを企業サイトに送られる、といった手口も考えられます。開発者にその意図が無くても、システムの脆弱性が悪用されれば、結果的にサイバー攻撃の一端を担ってしまうのです。
また近年では、標的とする自動車メーカーを攻撃するための踏み台として、関連会社のシステムを狙う手法も報告されています。ある大手自動車メーカーの事例では、関連会社のシステムが乗っ取られたことで部品の発注業務に支障をきたし、結果として14工場の停止に追い込まれる事態となりました。
このように、自動車ソフトウェアがサイバー攻撃を受けると、さまざまな被害が懸念されます。こうしたリスクを軽減するには、開発段階からのセキュリティ対策が不可欠です。
自動車セキュリティを軽視したソフトウェア開発企業が被る不利益
自動車ソフトウェアのセキュリティ対策を怠った場合、困るのは利用者だけではありません。ソフトウェア開発者が自動車セキュリティを軽視した場合、所属企業や開発者自身が次のような不利益を被ることも考えられます。
事後対応によるコスト増加や納期遅延
ソフトウェア側の不備による問題が発生した場合、納期遅延や事後対応によるコスト増加は避けられません。問題調査や修正対応などによって多くの作業時間を奪われ、予算やスケジュールに影響を及ぼすためです。特に、脆弱性が市場に出た後に発見されると影響範囲が大きくなり、対応が長期化しやすいでしょう。
ブランドイメージ失墜による顧客離れ
セキュリティ事故が発生すれば、ブランドやメーカーに対するイメージが失墜し、顧客離れを招くことも考えられます。自動車業界はサプライチェーンの依存関係が強いケースも多く、メーカーの売上減少はソフトウェア開発者にも影響を及ぼしかねません。自動車は安全性が最優先される製品であり、一度の事故で築いた信頼が大きく損なわれ、回復が困難になることもあります。
損害賠償などによる金銭的損失
サイバー攻撃による被害が発生すれば、取引先から法的措置を受けるケースも少なくありません。損害賠償などによる直接的な金銭的損失はもちろん、訴訟への対応に要する人件費も大きなものとなるでしょう。企業の財務に大きな打撃を与えることで、最終的に倒産や経営危機につながる事態も考えられます。
このように、ソフトウェア開発者の不備が、所属企業や自分自身への不利益となることもあります。そのため自動車のセキュリティ問題は、利用者の自己責任で済ませるのではなく、開発側が最大限に配慮することが大切です。
自動車セキュリティの基盤となる「セキュリティガイドライン」
自動車業界がセキュリティ対策を強化するうえでは、「セキュリティガイドライン」の遵守が重要となります。セキュリティガイドラインとは、企業がセキュリティ対策に取り組むうえでの指針やノウハウをまとめたものです。企業がセキュリティガイドラインを適切に導入・運用することで、信頼性の高いセキュリティ対策を施すことが可能です。
セキュリティガイドラインは業界や分野ごとに存在します。自動車業界向けとしては、日本自動車工業会(JAMA)が提供する「自動車産業サイバーセキュリティガイドライン」が代表的です。自動車業界のサプライチェーン全体を包括的にカバーするもので、自動車に求められるセキュリティ対策について体系的にまとめられています。
なお、セキュリティガイドラインとは何かについて詳しくは、次の記事をご覧ください。
セキュリティガイドラインとは?重要性や活用のポイントを紹介
自動車のソフトウェア開発者が検討すべきセキュリティ対策
自動車のソフトウェア開発者が検討すべきセキュリティ対策は、主に次の3つです。
セキュリティガイドラインを活用する
まずは、業界や分野に合ったセキュリティガイドラインの活用を検討しましょう。自動車業界では、前出の「自動車産業サイバーセキュリティガイドライン」などが代表的です。セキュリティガイドラインの内容を全社的に理解し、運用していくことで、業界の標準に沿った適切な対策を実施できます。
セキュリティ教育を実施する
開発者や運用者に対して、セキュリティ教育を実施することも効果的です。関係者全員が自動車セキュリティへの正しい知識を持ち実践できれば、開発段階での脆弱性の混入や、運用段階でのサイバー攻撃成功リスクを低減できるでしょう。定期的なセキュリティ教育を実施し、開発者や運用者に対する知識のアップデート、意識の強化を図りましょう。
脆弱性診断を実施する
インターネット接続により影響範囲が拡大した自動車ソフトウェアには、車載システムやサーバー、通信ネットワークなど、さまざまな箇所に脆弱性が潜んでいます。ソフトウェアに潜んだ脆弱性を検出するためには、「脆弱性診断」の実施が効果的です。
脆弱性診断では、専用ツールによるスキャンや、専門家による目視での精査により、ソフトウェアに潜む脆弱性を検出します。しかし、いずれの方法で診断するにしても専門知識が不可欠です。適切に実施できないと、重要な脆弱性を見落としてしまうリスクがあります。
自社での脆弱性診断が難しい場合は、当社が提供する脆弱性診断サービスがおすすめです。セキュリティのプロがツールを併用しながら効率的・効果的に脆弱性を検出します。自動車ソフトウェアの脆弱性に不安を抱える方は、ぜひご活用ください。
また、脆弱性診断によって潜在的なリスクを把握した後は、具体的なセキュリティ対策を講じることも重要です。たとえば、Webアプリケーションに対する攻撃に対策したい場合は「WAF(Webアプリケーションファイアウォール)」の導入も有効です。WAFは、サーバーに対する不正なリクエストを検知・防御するため、サーバーを踏み台としたサイバー攻撃に対して高い効果を発揮します。当サイトでは低コストな「PrimeWAF」も提供していますので、こちらもぜひご活用ください。
まとめ
本記事では、自動車セキュリティの重要性や具体的な脅威、求められる対策についてお伝えしました。
ソフトウェア開発者一人ひとりが自動車セキュリティに対する正しい知識を持つことが大切です。本記事の内容を参考に、セキュリティ対策を取り入れ、今後のサイバー攻撃に備えましょう。
当サイトでは自社システムにおけるセキュリティリスクを考えている方や、サイバー攻撃の脅威から守るWAFやセキュリティ診断に興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。