PwCの取り組みにより見えてきた、コネクテッドカーの明るい未来～CEATEC JAPAN 2017講演

サイバー攻撃の脅威にさらされ、セキュリティへの取り組みが急務といわれているコネクテッドカー。2017年10月に開催された「CEATEC Japan 2017」で、PwCサイバーサービス合同会社サイバーセキュリティ研究所所長の神薗雅紀が、コネクテッドカーに忍び寄る脅威や、今後求められるセキュリティ対策に関するPwCの取り組みを紹介しました。コネクテッドカーとは、インターネットにつながる次世代自動車の総称です。通信機能を備えており、最新道路状況の取得や緊急時の通報、車内エンターテインメントの充実のみならず、自動運転や運転支援などの恩恵が期待できます。その反面、サイバー攻撃の対象となる穴ができることで、サイバー攻撃を受けることが懸念されています。この講演を通じて、PwCはサイバーセキュリティのリスクヘッジや攻撃事例など、コネクテッドカーの開発に求められるセキュリティ対策の重要性について強いメッセージを発信しました。

PwCサイバーサービス合同会社サイバーセキュリティ研究所所長神薗雅紀

コネクテッドカーの脆弱性があらわになってきた

コネクテッドカーのセキュリティに関する脆弱性があらわになっています。車両を遠隔操作することが可能な脆弱性や、Wi-Fiで空調設定の変更や盗難警報を解除するなどのサイバーリスクが問題視されています。海外のカンファレンスでは、コネクテッドカーの制御を乗っ取る方法を研究し、成功した報告もあります。

サイバーセキュリティ研究所は、学会やカンファレンスに参加し、コネクテッドカーのサイバーセキュリティに関する研究や情報収集に取り組んでいます。今回の講演では、簡易な機器を使うだけで自動車のリモートキーの解除を行うサイバー攻撃の仕組みを解説しました。実際に同じような手法を使った自動車の窃盗が発生しており、サイバー攻撃が身近なものになりつつあるとの警鐘を鳴らしました。

セキュアなサプライチェーンの構築で、部品レベルからセキュリティへの取り組みを進める

コネクテッドカーには数多くの部品が使われています。もし、その中の一つに不正なプログラムが混入していると、システムの全てが脆弱性を抱えた状態に置かれることになります。「部品を提供するサプライヤーとも協力し、供給部品レベルからセキュリティを確保する取り組みが必要」と神薗は述べています。

搭載部品（コネクテッドカーをつかさどるCPUやメモリーなど）のセキュリティ対策が万全であっても、機能強化のために大量に納品された部品（プロセッサーやフラッシュメモリーなど）の中に不適切なものが混入されるケースが想定されます。不適切で脆弱な部品がたった一つあっても、セキュアなコネクテッドカーを作ることはできません。とはいえ何万個もの部品の中に、果たして不正な部品が混入しているのかどうか、全てを検査するのは困難です。不正な部品が紛れ込むことを許さない、信頼できるパートナーとの共同によるセキュアな取り組みができるサプライチェーンの構築が重要なのです。

搭載部品のセキュリティを高める取り組みとして、部品レベルで協力できるサプライチェーンの構築が重要です。

コネクテッドカーのサービス提供側に存在するセキュリティリスク

コネクテッドカーは、車両本体だけではなく、さまざまな情報を提供するサービス側のインフラと組み合わせて、その真価を発揮します。そのため、サービス提供側がサイバー攻撃を受け、リモートでコネクテッドカーに対する攻撃を仕掛ける可能性も考えられます。これからはコネクテッドカー車両ばかりでなく、コネクテッドカーの運用サービスまでを含んだ包括的なセキュリティ対策を講じる必要があります。

最近は、コネクテッドカーと通信する基地局を対象とした攻撃も考慮しなければいけません。基地局へのサイバー攻撃で、接続車両の位置情報漏えいや接続車両へ一斉攻撃を受ける可能性があります。このような攻撃が発生すると、影響範囲は広いものになります。

神薗は「偽の情報を提供する無線基地局を作り、その基地局とネットでつながったコネクテッドカーの走行を追跡する実証実験が成功しています。偽の基地局につながることで、車両PCがハッキングされたり、経路情報データを盗まれたりするリスクがあります。無線基地局側のセキュリティ対策として、疑似的な基地局の環境を作り、アセスメントをすることが重要です」と述べています。現在、無線基地局をシミュレーションする特別な計測器を使い、基地局とサービスを疑似的に再現し、さまざまなサイバー攻撃に対抗する検証実験が進められています。

基地局が攻撃されると、接続されている複数台のコネクテッドカーを支える基盤へのインパクトは大きいものになります。

【図1】コネクテッドカーを取り巻く環境のテスト例

コネクテッドカーの車両開発からサービス運用まで、セキュリティサービス活用の重要性を考える

コネクテッドカーの開発や運用は、自動車メーカーだけの取り組みでは進められません。製造に必要な部品を供給するサプライヤーと協力した体制が不可欠です。万全なコネクテッドカーのセキュリティを実現するためには、セキュリティにたけた協力パートナーとの取り組みを検討すべきです。

PwCが提供するコネクテッドカーセキュリティサービスは、エンジニアによる専門的なサービスです。車両システムのハッキング実証をはじめ、実装部品からファームウェアの取り出し、プログラムの構造解析や脆弱性の検証も実施しています。

【図2】車載向けサイバーセキュリティ診断サービス主要診断概要

コネクテッドカーへの攻撃対象が、車両からインフラ側に移動し始めています。コネクテッドカーを取り巻く環境全てを見据えたセキュリティを実現するために、セキュリティを考えたサプライチェーン全体での取り組みが必須です。神薗は、「コネクテッドカーを取り巻く環境の変化を意識した上で、求められるセキュリティが何かを考え、セキュリティに強いパートナーとともに、開発や製造を進めることが重要である」と述べ、講演を締めくくりました。

※法人名、役職、本文は掲載当時のものです。