　VicOneは2025年5月に自動車サイバーセキュリティの動向をまとめたレポートを発行する。レポートでは、自動車のサイバーセキュリティで今後重大なリスクとなる可能性があるAI（人工知能）などについて説明する。例えば、AIアシスタントはユーザーのスケジュールやメールなどさまざまな領域にアクセスするため、車両に新たな脆弱性を生み出す可能性がある。音声認識機能もプロンプトインジェクション攻撃のような新たな脅威になりかねない。

VicOneの原聖樹氏

　また、車載システム上でのAIの処理を強化するには高性能なコンピュータが必要になる。ハードウェア特有の脆弱性への対応は今後も課題だ。CPUなどハードウェアの脆弱性を悪用する場合、デバイスに不正に侵入してプログラムをインストールさせる必要があり、ハードウェアに到達すること自体が困難だ。

　ただ、対処法としてはソフトウェアによるパッチだけでは不十分で、ハードウェアの交換が必要になる場合もある。「ハードウェアの脆弱性は攻撃側が利用するのも、自動車メーカー側が対策を行うのも簡単ではない」（VicOne 執行役員の原聖樹氏）。

　現状ではオンボードシステムの脆弱性が大多数だが、クラウドサービスの比重が高まるとクラウド側の脆弱性も増加し、車両を対象とした大規模なサイバー攻撃に発展することも考えられる。サプライヤーやサードパーティーの取引先など外部との連携もリスクにつながる。

　EV（電気自動車）の充電器もセキュリティ上のリスクだ。充電コネクターが車両に進入する糸口になり、実際にハッキングコンテストでも充電コネクター軽油のハッキングに成功した例がある。車両本体だけでなく、EVの充電インフラも含めてセキュリティ対策をしていく必要がある。また、ソフトウェアプラットフォームの標準化により、ある攻撃が成功すると被害の範囲が大きく広がることも考えられる。

2025年の自動車サイバーセキュリティのトレンド［クリックで拡大］出所：VicOne

ダークウェブでも自動車への攻撃が話題に

　自動車で特定された脆弱性は2024年に530件だった。2019年から大幅な増加が続いているが、ITを含めると脆弱性が約3万件報告されており、まだ件数としては多くないように見える。これは自動車がサイバーセキュリティ上安全なのではなく、ユーザー数が多く影響が大きくなりやすいIT業界では脆弱性を広く発信する慣習があるためだ。自動車も、1社のサプライヤーが複数の自動車メーカーと取引しているので、脆弱性を把握すべき関係者は増えていくと考えられる。

　自動車業界が受けたサイバー攻撃は、車両からデータが盗まれるなどの被害よりも、企業のシステムを狙ったデータ漏えいやランサムウェア被害が主だ。自動車業界に限らず企業が受ける可能性のある攻撃だ。ただ、規制への対応や攻撃者のモチベーションを考えると、車両のサイバーセキュリティ対策は不可欠だ。

自動車の脆弱性は増加している［クリックで拡大］出所：VicOne

　ダークウェブを観察し、攻撃のトレンドをいち早く把握することもVicOneのサービスの1つだ。ダークウェブ上では自動車に関する議論が活発化しており、キーレスエントリーの突破方法など方法論が共有されているという。足元では攻撃者の自動車に対する関心事は、車両の窃盗方法だ。人気の車種を狙って盗み、転売することで利益を得る。

　ITのハッキングでは1つの攻撃がヒットすると数億円以上の“収益”が狙えるが、特定の自動車メーカーのあるモデルに対するサイバー攻撃で同等の収穫を得るのは難しい。ただ、ダークウェブには依頼すれば代理で攻撃するサービスがあり、ITと同様に自動車もターゲットにし始めると危険な状況だ。自動車も攻撃対象として話題になり始めているため注意が必要だ。

　また、車両にアプリストアを搭載してさまざまなモバイルサービスとつながり始めると、それだけ攻撃対象も広がり、攻撃のモチベーションになっていく可能性がある。

　車両を乗っ取って操作することは攻撃者にとってまだメリットが少ないが、交通や流通を止めるなど社会的な影響が大きくなる可能性がある。

　こうした攻撃者の動向分析に加えて、VicOneは、親会社のトレンドマイクロが運営する脆弱性発見コミュニティー「ゼロデイイニシアチブ」からも情報も得られる。

　新たな脆弱性が日々見つかる中、自動車メーカーやサプライヤーが膨大な情報を精査し、対応を逐一判断するのは負担が大きい。膨大な情報を分析して読み解き、自動車メーカーやサプライヤーが対応を判断しやすくするためのサービスも提供する。

広範囲の脆弱性を検出、分析できることが強みだ［クリックで拡大］出所：VicOne

膨大な情報をそのまま提供するのではなく、フィルタリングして検証できる［クリックで拡大］出所：VicOne

→その他の「車載セキュリティ」関連記事

自動車メーカーとサプライヤーはどう連携してセキュリティに取り組むべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。目次は下記の通り。
自動車メーカーに選ばれるのは、セキュリティを理解したサプライヤーだ
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。今回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について説明していく。
出荷後の車両や部品の脆弱性に、あなたの会社はどう行動すべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。前回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について紹介した。今回は生産フェーズ以降のサイバーセキュリティマネジメントシステム（Cyber Security Management System、CSMS）のプロセス構築について説明していく。
コネクテッドカーの規制対応やセキュリティに欠かせない「SBOM」
VicOneは「コネクテッドカー規制とSBOM」をテーマにオンラインでセミナーを開いた。Astemo、ティアフォー、VicOneから出席した立場の異なる3人の登壇者が、コネクテッドカーに求められるセキュリティとソフトウェア部品表（SBOM）について語った。
避けて通れぬ自動車のセキュリティ、ソフトウェア開発は何をすべきか
サイバーセキュリティにさらに力を入れるには、ソフトウェア開発のライフサイクル中のサイバーセキュリティ活動も含めて、自動車業界における文化的および組織的なシフトの必要性がある。自動車業界の課題や解決策について解説していく。
車載ソフトウェアのコーディングの課題と、実用的な解決策
静的コード解析やソフトウェアコンポジション解析、ファジングテストの使用など、車載ソフトウェア開発ライフサイクルのセキュリティを向上させるソリューションの概要を説明した前回の記事に続き、今回は静的コード解析をテーマにする。最初にコーディングの問題について説明し、次に実用的な解決策について解説する。