日本の自動車業界は品質を最優先にして、信頼性の高いモノづくりに長年取り組んできました。新しい技術を導入する際にも、安全性や安定性を十分に確認しながら、一歩一歩着実に実装を進める姿勢が根付いています。こうした中、ソフトウェア定義車両(SDV: Software Defined Vehicle)への移行が加速する現在、無線通信によるソフトウェア更新(OTA: Over‑the‑Air)のセキュリティについても、これまで以上に真剣な対応が求められています。 2024年7月から国連規則UN-R155(サイバーセキュリティ管理システム)およびUN-R156(ソフトウェアアップデート管理システム)が義務化されたことで、OTAセキュリティは選択ではなく、事業継続のための必須要件となりました。特に、日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)が共同で発行した「サイバーセキュリティガイドラインv2.2」は、業界の実質的な標準として機能し、完成車メーカーから部品サプライヤーに至るまで、サプライチェーン全体に高いレベルのセキュリティを求めています。 OTAは何か?その仕組みと役割 OTA(Over-the-Air)とは車両に搭載されたECU(電子制御ユニット)や車載ソフトウェアを無線通信を通じて遠隔から更新・修正・機能追加する技術です。従来のようにディーラーや整備工場に持ち込む必要がなく、ユーザーの利便性を高めるとともに、メーカーにとっても運用コストの削減と不具合に対する迅速な対応が可能になるという大きなメリットがあります。 SDV(ソフトウェア定義車両)の普及により、車両の機能がソフトウェアで制御されるようになった今、OTAは単なるアップデート手段ではなく、「サービスとしての機能(Function as a Service)」を提供する中核インフラとなりつつあります。しかし、OTAの導入が進むほど、サイバー攻撃のリスクも増大しています。OTAによって車両が常時インターネットに接続されることで、攻撃者にとってアクセスしうる入口が増えることになり、結果としてセキュリティ対策がより重要になると考えられます。 OTAを介したサイバー攻撃の脅威と実例 このように大きなメリットをもたらすOTAですが、その利便性の裏には深刻なセキュリティリスクが潜んでいます。 ジープ・チェロキーのハッキング事例 OTAシステムを狙ったサイバー攻撃は、すでに現実の脅威として世界で確認されています。中でも有名なのが、2015年に米国で発生したジープ・チェロキーのハッキング事件です。この事件では、セキュリティ研究者が16km以上離れた場所から、走行中の車両のエアコンやラジオを遠隔操作し、最終的にはエンジンを停止させることにも成功しました。OTA通信経路を乗っ取ることで、車両制御に深刻な影響を与えることが可能であることが実証されたのです。この事態を受け、約140万台がリコール対象となり、自動車業界に大きな衝撃を与えました。 このような事例は、OTA機能が便利である一方で、それ自体が新たな攻撃経路にもなりうることを示しています。車両が常時インターネットと接続されることで、攻撃者にとっての“入口”が増えるため、OTA導入が進むほど高度なセキュリティ対策が求められます。 OTAに限らない、サプライチェーン全体への脅威 日本国内でも、サイバー攻撃の脅威は現実のものとなっています。2022年には、トヨタ自動車の主要サプライヤーである小島プレス工業がランサムウェア攻撃を受け、トヨタの国内全工場が一時的に稼働停止となりました。また2020年には、ホンダが海外工場でサイバー攻撃を受け、生産に支障をきたした事例も報告されています。 これらの攻撃はOTAを直接的に狙ったものではありませんが、共通しているのは「セキュリティの弱いサプライチェーンが狙われ、結果として完成車メーカー全体に影響している」という点です。つまり、車両本体だけでなく、サプライチェーン全体を見据えたセキュリティ対策が不可欠になりつつあります。 OTAにおける技術的リスク OTAセキュリティが脆弱な場合、車両の制御やデータを乗っ取られる深刻なリスクが存在します。たとえば「遠隔での車両制御奪取」は、外部の攻撃者がブレーキ、ステアリング、アクセルなどのECU(電子制御ユニット)に不正アクセスし、物理的に乗車していないにもかかわらず、車両を意のままに操ることを可能にします。これは人命に直結する安全上の脅威です。「悪意のあるソフトウェアの注入」は、正規のOTAアップデートを装ってマルウェアを車両システムに送り込む手法です。これにより車両の機能停止、ユーザーの位置情報や運転履歴などの個人情報漏えいにつながる恐れがあります。「中間者攻撃(MITM)」では、OTAの通信経路に割り込み、アップデートファイルの改ざんや偽データの注入が可能になります。暗号化や認証が不十分な場合、攻撃者は更新の整合性を破壊し、深刻なシステム障害を引き起こします。さらに、「CANインベーダー攻撃」は、物理的に車両にアクセスし、CAN(Controller Area […]