車が乗っ取られる？コネクテッドカーに迫る脅威 サイバー空間と現実世界にまたがる対策が必要

実体のあるモノである自動車ならではの注意点

コネクテッドカーは位置情報を人工衛星から得るGPSや、車両同士の無線通信で周囲の情報を入手し安全運転支援を行う車車間通信、4Gや5Gでクラウドとつながるなど、さまざまな通信接続を行っている。

コネクテッドカーのセキュリティとして懸念が大きいのは、ネットワークを通じて外部から侵入されることである。例えば、PC化する自動車のコンピューターは頻繁にソフトウェアが更新されるが、この更新時を狙って古いソフトウェアに書き戻されたり、悪意のあるソフトウェアに書き換えられたりする可能性が指摘されている。

また、どこをどういうルートで移動したかやそのときの車内状況の記録など、機密性のある情報の流出や、逆に事故を起こした際に証拠となる情報を偽のデータに書き換えられたりする被害も考えられる。

しかも実体のあるモノである自動車は、ネットワーク経由だけでなく自動車のコンピューターに何らかの方法で直接、マルウェアを仕込まれたり、情報を盗まれたりする可能性もあるのが厄介な点である。自動運転に関しては、前述したようにセンサーの正しい計測を歪めるような攻撃が懸念されている。

「人間の運転手でも激しい雨で前方がよく見えなかったり、まぶしくて目がくらんだりしてしまうことがあります。自動運転のセンサーに対してもそれと同じような状況を意図的につくり出せば攻撃であり、セキュリティの対象になってきます。

例えば、センサーや見ている対象物に変な光や電波を当てて、存在する人や車を見えなくしたり、逆に幻影が見えるようにしたりして視界を狂わせ、最終的にハンドルやアクセル、ブレーキの操作を誤らせてしまうような攻撃が想定されています」

もし攻撃者がそのような方法で自動車をコントロールできれば、トンネル内で急ブレーキをかけて後続車に追突させ、人身事故や交通渋滞を引き起こし、交通や物流を麻痺させるといったテロ行為も可能になってしまう。

自動車へのサイバー攻撃の可能性が示されたのは、何も最近のことではない。例えば、2015年にはアメリカのセキュリティ専門家がフィアット・クライスラー・オートモービルズ（FCA）の「ジープ チェロキー」を遠隔操作で乗っ取る様子を公開した。これを受けてFCAは140万台の大規模リコールを発表し、自動車のサイバーセキュリティが注目を集めるきっかけとなった。

電子化した自動車で実際に多くの被害が起こっている事例としては、スマートキーの仕組みを悪用した「リレーアタック」がある。これはスマートキーが施錠・解錠のために発信する微弱な電波を増幅させ、自動車まで中継して解錠し、盗み去る手口である。

日本でもサイバーセキュリティ法規が段階的に適用

自動車に対するサイバー攻撃の懸念を受け、国連はサイバーセキュリティ法規「UN-R155」を打ち出した。これは自動車にサイバーセキュリティ対策を義務づけるもので、日本でも導入され段階的に適用が始まっている。

これによりメーカーは自動車を開発、製造、販売し、実際に使用されるという一連のライフサイクル全体にわたり、セキュリティを担保することが要求されるようになった。

自動車に限らず、さまざまなモノにコンピューターが組み込まれ、インターネットとつながるIoT（Internet of Things）の進展は、モノを自律的に動かすことを可能にし、生活の利便性や産業の効率性を高めていくと期待を集めている。ただし、その実現にはサイバー空間と現実世界の両方にまたがるサイバーフィジカルセキュリティの確立が欠かせない点に留意が必要である。

宮内 健：ライター