自動車業界におけるOTAセキュリティの重要性

日本の自動車業界は品質を最優先にして、信頼性の高いモノづくりに長年取り組んできました。新しい技術を導入する際にも、安全性や安定性を十分に確認しながら、一歩一歩着実に実装を進める姿勢が根付いています。こうした中、ソフトウェア定義車両（SDV: Software Defined Vehicle）への移行が加速する現在、無線通信によるソフトウェア更新（OTA: Over‑the‑Air）のセキュリティについても、これまで以上に真剣な対応が求められています。

2024年7月から国連規則UN-R155（サイバーセキュリティ管理システム）およびUN-R156（ソフトウェアアップデート管理システム）が義務化されたことで、OTAセキュリティは選択ではなく、事業継続のための必須要件となりました。特に、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）が共同で発行した「サイバーセキュリティガイドラインv2.2」は、業界の実質的な標準として機能し、完成車メーカーから部品サプライヤーに至るまで、サプライチェーン全体に高いレベルのセキュリティを求めています。

OTAは何か？その仕組みと役割

OTA（Over-the-Air）とは車両に搭載されたECU（電子制御ユニット）や車載ソフトウェアを無線通信を通じて遠隔から更新・修正・機能追加する技術です。従来のようにディーラーや整備工場に持ち込む必要がなく、ユーザーの利便性を高めるとともに、メーカーにとっても運用コストの削減と不具合に対する迅速な対応が可能になるという大きなメリットがあります。

SDV（ソフトウェア定義車両）の普及により、車両の機能がソフトウェアで制御されるようになった今、OTAは単なるアップデート手段ではなく、「サービスとしての機能（Function as a Service）」を提供する中核インフラとなりつつあります。しかし、OTAの導入が進むほど、サイバー攻撃のリスクも増大しています。OTAによって車両が常時インターネットに接続されることで、攻撃者にとってアクセスしうる入口が増えることになり、結果としてセキュリティ対策がより重要になると考えられます。

OTAを介したサイバー攻撃の脅威と実例

このように大きなメリットをもたらすOTAですが、その利便性の裏には深刻なセキュリティリスクが潜んでいます。

ジープ・チェロキーのハッキング事例

OTAシステムを狙ったサイバー攻撃は、すでに現実の脅威として世界で確認されています。中でも有名なのが、2015年に米国で発生したジープ・チェロキーのハッキング事件です。この事件では、セキュリティ研究者が16km以上離れた場所から、走行中の車両のエアコンやラジオを遠隔操作し、最終的にはエンジンを停止させることにも成功しました。OTA通信経路を乗っ取ることで、車両制御に深刻な影響を与えることが可能であることが実証されたのです。この事態を受け、約140万台がリコール対象となり、自動車業界に大きな衝撃を与えました。

このような事例は、OTA機能が便利である一方で、それ自体が新たな攻撃経路にもなりうることを示しています。車両が常時インターネットと接続されることで、攻撃者にとっての“入口”が増えるため、OTA導入が進むほど高度なセキュリティ対策が求められます。

OTAに限らない、サプライチェーン全体への脅威

日本国内でも、サイバー攻撃の脅威は現実のものとなっています。2022年には、トヨタ自動車の主要サプライヤーである小島プレス工業がランサムウェア攻撃を受け、トヨタの国内全工場が一時的に稼働停止となりました。また2020年には、ホンダが海外工場でサイバー攻撃を受け、生産に支障をきたした事例も報告されています。

これらの攻撃はOTAを直接的に狙ったものではありませんが、共通しているのは「セキュリティの弱いサプライチェーンが狙われ、結果として完成車メーカー全体に影響している」という点です。つまり、車両本体だけでなく、サプライチェーン全体を見据えたセキュリティ対策が不可欠になりつつあります。

OTAにおける技術的リスク

OTAセキュリティが脆弱な場合、車両の制御やデータを乗っ取られる深刻なリスクが存在します。たとえば「遠隔での車両制御奪取」は、外部の攻撃者がブレーキ、ステアリング、アクセルなどのECU（電子制御ユニット）に不正アクセスし、物理的に乗車していないにもかかわらず、車両を意のままに操ることを可能にします。これは人命に直結する安全上の脅威です。「悪意のあるソフトウェアの注入」は、正規のOTAアップデートを装ってマルウェアを車両システムに送り込む手法です。これにより車両の機能停止、ユーザーの位置情報や運転履歴などの個人情報漏えいにつながる恐れがあります。「中間者攻撃（MITM）」では、OTAの通信経路に割り込み、アップデートファイルの改ざんや偽データの注入が可能になります。暗号化や認証が不十分な場合、攻撃者は更新の整合性を破壊し、深刻なシステム障害を引き起こします。さらに、「CANインベーダー攻撃」は、物理的に車両にアクセスし、CAN（Controller Area Network）バスに不正な信号を流すことで、内部通信を乗っ取って車両の制御系統をハイジャックする高度な攻撃です。近年は市販機材でも可能になりつつあり、脅威が一層高まっています。このように、OTAを取り巻く攻撃手法は日々巧妙化・多様化しており、セキュリティ対策は“導入すべき機能”ではなく、“前提とすべき設計思想”として捉える必要があります。

自動車サイバーセキュリティに向けた政府と業界の連携

日本政府は経済産業省（METI）を中心に自動車産業におけるサイバーセキュリティ強化を国家戦略の重要課題と位置づけています。特に自動運転やコネクテッドカーの普及に伴い、車両がサイバー攻撃の標的となるリスクが顕在化したことを受け、「能動的サイバー防御（Active Cyber Defense）」に関する法整備の検討を進めています。これにより、攻撃発生前に脅威を検知し、防御・対応を迅速に実施できる体制の構築を目指し、法律面での対応を推進しています。また、政府はサイバーセキュリティ技術の研究開発や標準化、評価技術の整備に対して積極的に予算投入を行い、民間企業と連携して安全安心なモビリティ社会の実現に向けた環境整備を促進しています。

一方、自動車業界側では日本自動車工業会（JAMA）および日本自動車部品工業会（JAPIA）が共同で策定した「サイバーセキュリティガイドラインv2.2」に基づき、合計21の要求事項と153の達成条件を設けています。これらはサプライチェーン全体でセキュリティレベルを統一・向上させる狙いがあります。特に、Tier 1からTier 3まで多段階にわたるサプライヤーがこれを遵守することで、車両製造から部品供給、サービス提供に至るまで広範にわたるサイバーリスク管理が実現可能となります。このように政府と業界が連携し、ルール作りや技術開発、体制整備を推進することで、サイバーインシデントリスクの最小化を図り、安全な自動車社会の確立を目指しています。

UN-R156に基づくOTAの技術的防衛戦略

OTA（Over-The-Air）アップデートは、自動車の利便性や機能向上を劇的に促進する一方で、ジープ・チェロキー事件に代表されるような現実のサイバー攻撃事例が示す通り、高度なセキュリティ対策なくして安全性は担保できません。特に近年は、車両がインターネット常時接続となることで攻撃の入口が増大し、サプライチェーン全体へのリスクも顕在化しています。このような背景を受けて、国際規格「UN-R156」はOTAを通じたソフトウェア更新の安全性・信頼性を車両ライフサイクル全体で保証することを目的とし、以下のような多層防御戦略を明確に規定しています。

アップデート情報の完全性（Integrity）と真正性（Authenticity）の保証

OTAプロセスにおいて最も重要なのは、アップデートファイルが改ざんされておらず、信頼できる発行元（自動車メーカー）から提供されたものであることを確実に保証することです。これを実現するために、すべてのアップデートパッケージには製造者の秘密鍵によって生成されたデジタル署名が付与されます。車両側では、事前に登録された公開鍵を用いて署名を検証して転送中にデータが改ざんされていないことと正規の製造者から送信されたものであることを確認します。

安全なOTAアップデートの経路（セキュアチャネル）

アップデートデータがサーバーから車両へと転送される過程においては、その通信経路が盗聴や改ざんの脅威にさらされないよう、厳重に保護されなければなりません。具体的には、サーバーと車両間で行われるすべての通信はTLS 1.2以上の暗号化プロトコルを用いて暗号化される必要があります。これにより、中間者攻撃（Man-in-the-Middle）を防ぎながら、アップデートに関するデータの機密性と整合性を維持することができます。

安全なソフトウェアのインストールおよび実行プロセス

アップデートを車両にインストールして実行する段階では、その処理が安全かつ確実に行われるように複数の検証手順が必要です。まず、インストール前には、ソフトウェアが車両のハードウェアや現在のソフトウェアバージョンと互換性があるか、またインストールに必要なバッテリー電力やメモリ容量が十分に確保されているかなどを事前にチェックする必要があります。そのうえ、ECU（電子制御ユニット）が起動する際には、セキュアブート機能によりソフトウェアの署名を検証し、信頼できるコードのみが実行されるよう保証されなければなりません。これにより、万が一マルウェアが注入された場合でも、起動段階でその実行を阻止することが可能になります。また、アップデート中にエラーや中断が発生した場合に備え、システムを直前の安定した状態へ復旧（ロールバック）できる仕組み、あるいは最低限の走行安全を確保する復旧メカニズムも不可欠です。

車両の物理的な安全状態の保証

OTAアップデートが車両の走行安全に悪影響を及ぼすことのないよう、アップデートの実行条件にも制約が設けられています。特にブレーキやステアリングといった走行に不可欠なシステムに対するアップデートは、車両が駐車中であるなど、安全が十分に確保された状況でのみ実行されなければなりません。また、ユーザーにはアップデート実施前に、更新内容や所要時間、アップデート中に利用できなくなる機能などを明確に通知し、同意を得ることが求められます。これにより、安全性だけでなくユーザー体験や信頼性の観点からも適切な管理が可能になります。

RXSWINによる透明性とトレーサビリティの確保

UN-R156では、各車両に対して「RXSWIN（Regulation X Software Identification Number）」と呼ばれる一意のソフトウェア識別番号を割り当て、型式認証に関連するソフトウェアのバージョン管理を義務付けています。これにより、OTAアップデート後であっても、当該車両が依然として型式認証の条件を満たしているかどうかを規制当局が透明性をもって追跡・監査することが可能になります。この仕組みは、OTAによるソフトウェア更新の信頼性と法的トレーサビリティを同時に確保するための重要な基盤となります。

これらの技術的防衛戦略を相互補完的に適用することで、自動車メーカーはOTAアップデートを高い安全性と信頼性のもとで提供し、車両のライフサイクル全体にわたってセキュリティとUN-R156への規制準拠を継続的に担保することができます。

本格的なOTAセキュリティが必要

自動車が走るITシステムへと進化する中で、OTAは今後のモビリティ戦略における中核技術となるでしょう。しかし、それは車両と外部ネットワークを常に接続させるということを意味し、悪意ある攻撃者にとって新たな侵入口が生まれることでもあります。これまで紹介してきたUN-R156に基づく多層的な防衛戦略は、規制対応の一環であると同時に、企業の信頼性を支える「社会的インフラ」としての責任でもあります。特に、サプライチェーン全体にわたるセキュリティ体制の構築、そしてOTAの設計段階からセキュリティを前提に据える「セキュリティ・バイ・デザイン」の実践が求められています。

アウトクリプトOTAの普及とともに高まるサイバーリスクに対し、セキュアブートや暗号化通信、ソフトウェア検証など多層防御に対応したセキュリティソリューションを通じて、安全なモビリティ社会づくりをサポートしています。OTAセキュリティ構築や戦略に悩みがある方は気軽にお問い合わせください。