【2019年】PwCの眼（5）CASEはハッカーにもチャンスを与える

2019-08-21

モビリティ社会の変化により新たな価値が提供される一方で新たな脅威も出現している。近年、複数のセキュリティ研究者によって様々なコネクテッドカーに対してサイバー攻撃が可能であることが実証、報告されている。例えば、研究者により車載システムに対してネットワーク経由でリモートからシステムを攻撃できることが報告され、リコールに至らなかったもののOEMによりOTA（Over-The-Air＝無線）によるアップデートの実施が行われた事例もある。また、シェアリングサービスにおいては、サービスの脆弱性を悪用した無賃乗車の事例が確認されている。

このようにハッカーはCASE(コネクテッド、自動化、シェアリング、電動化)といった新たな価値・機能を全く別の視点から捉え攻撃の機会、可能性を伺っている。一般消費者が新たな価値・機能の利便性に着目する一方でハッカーはその悪用可能性に着目する。

こうした事例は主にセキュリティ研究者による脅威分析・脅威実証と、車両の盗難等の実際の犯罪行為に大別される。前者に関しては前述のようにセキュリティカンファレンス、学会等の公的な場所で発表されるため、情報収集・分析を行うことで脅威やその原因・対策を把握することができる。そのためこうした脅威については自動車関連企業、関係団体において広く認知されており、製品出荷前の設計、実装、テスト段階での取り組みやその全体プロセス等に関するガイドライン、規定等が整備されている。また、様々な組織・団体で製品出荷後における攻撃検知の仕組み、検知時の対処に関する検討が始まっている。今後新たに標準化が予定されているISO/SAE 21434（車両のライフサイクル全体を通じたサイバーセキュリティ活動に関するプロセスを規定）等の動向を継続的にウオッチし、自社のビジネスに必要な取り組みを評価、導入していくことが重要だ。

一方で実際の犯罪行為は、攻撃手法や攻撃ツール等が不明な場合が多く対策することが難しい。特にグローバル展開が進んでいるOEMにとっては日本国内に先行して、海外で攻撃・被害が発生するケースがあり、その詳細を把握し難い。こうした攻撃手法・ツールに関する情報はアクセスするために特別なソフトウェアが必要となり、一般のインターネットから分離されたダークウェブ上で情報のやりとりされるため、公開情報の収集・分析を行うだけでは対応することができない。スレット・インテリジェンスと呼ばれるこうした脅威情報を収集、分析する専用サービスの利用も検討する必要があると考えられる。

このように攻撃する側と対策する側はイタチごっこの関係にある。攻撃の防御、検知、対処といった一連の対策コストは事前準備の度合いにより大きく異なり、後続の工程に進むほど対応コストが増大する。そのため最新の情報をウオッチし続け、必要と考えられる取り組みを評価・判断し、自社の取り組みに適用していく仕組みが重要である。