車載ネットワークのセキュリティ
11.Aug.2022
コネクテッドカーはどのようにして悪意のある攻撃に対抗できるのか?自動車サプライチェーンセキュリティの最新動向
V2X(Vehicle-to-everything)が自動車業界を変えました。車両には、高エンドの運転補助システム(ADAS)が搭載され、自動運転車、電気自動車が雨後の筍のように次々と現れました。モビリティと利便性に伴って、サイバー攻撃のリスクも浮かび上がってきています。ハッカーの新しい目標となったコネクテッドカーの被攻撃回数は、2011年の約6500万回から2020年の約11億回に増加し、世界初のセキュリティの弱点(CVE)も11,000個を超えました。これまでのところ、国際自動車の大手メーカーは何回もハッカーによるリモート侵入攻撃を受け、深刻なインターネットセキュリティの危機になっています。
市場調査の報告によると、昨年のグローバルカーネットワークセキュリティ市場価値は72億3,000万米ドルであり、2030年までに324億1,000万米ドルに達すると予想され、複合年間成長率は16.6%でした。自動車ネットワークセキュリティソリューションの需要は増加し続けており、多くのコネクテッドカーには同じ脆弱性があります。自動車産業の処理方法は、主に個々の抜け穴を修復することですが、設計の開始から潜在的な脅威を無視したせいで、サプライチェーンにもネットワークセキュリティキーのリスクが潜んでいます。たとえば、自動車の重要なコンポーネントであるブラックボックス(EDR)に、ハッカーはウイルスをインプラントすることで、自動車事故に関連する証拠を排除できます。したがって、自動車メーカーはブラックボックスに使用されるソフトウェアソースを知る必要があります。脆弱性のあるオープンソースソフトウェアの採用はネットワークセキュリティのリスクをもたらす主な原因の一つです。
コネクテッドカーの一般的なネットワークセキュリティの脅威と攻撃技術は:携帯電話またはWi-Fiを介して接続して、車両に中間者攻撃をすること、車両制御システムに侵入すること、車両内のディスプレイのブラウザのコアに攻撃すること、ハッキング後の車オペレーティングシステムの脆弱性に攻撃することです。たとえば、権限レベルの変更や任意コードの実行、車両ソフトウェアやファームウェアのアップグレード中に行うサプライチェーン攻撃などがあります。国際規制と基準に従うことは、自動車産業におけるサプライチェーン攻撃への対策として挙げられました。国連欧州経済委員会(UNECE)は、2024年に世界のすべての新しい自動車が自動車ネットワーク安全規制の新しい規制(R155)に準拠する必要があると明確に述べました。昨年公式にリリースされたISO/SAE 21434は、自動車サプライチェーン全体のネットワークセキュリティを確保するための厳格な構造を提供しました。
もし悪意のあるプログラムを含むオープンソースソフトウェアを見つけた場合、協同組合メーカーのソフトウェアを管理するメカニズムの確立をお勧めします。機器開発者は、該当製品のソフトウェア部品表(SBOM)を作成し、使用しているすべてのOSS、および各パッケージの既知脆弱性、メイン開発者、所属会社や組織などをリストします。そして、ファームウェアスキャンを介し、ソフトウェアのトレーサビリティを執行し、ソフトウェアサプライチェーンの構成を分析します。
Onward Security SecDevice V2Xの脆弱性検出ツールは、V2Xの基本的なアプリケーション、情報セキュリティ、ネットワーキング機能などに関する既知と未知の脆弱性テストの要件を満たしています。自動車システムのOSの脆弱性スキャン、通信ネットワークファジング、外部Wi-Fi環境通信プロトコルを接続するファジングなどが含まれます。SecSAM OSSリスク管理システムは、ソフトウェア部品表(SBOM)の概念を通じて、車両製品のファームウェア、ソフトウェアコンポーネントの情報を管理し、ソフトウェアサプライチェーンの透明性の向上に役に立ちます。また、ソフトウェアリスクリスト(CBOM)を作成し、製品が使用しているコンポーネント、弱点(CVE)などを管理すれば、自動車ネットワーク攻撃事件が発生する時に、リアルタイムで製品の脆弱性の有無を確認し、害がさらに拡大する前に対処することができます。
市場調査の報告によると、昨年のグローバルカーネットワークセキュリティ市場価値は72億3,000万米ドルであり、2030年までに324億1,000万米ドルに達すると予想され、複合年間成長率は16.6%でした。自動車ネットワークセキュリティソリューションの需要は増加し続けており、多くのコネクテッドカーには同じ脆弱性があります。自動車産業の処理方法は、主に個々の抜け穴を修復することですが、設計の開始から潜在的な脅威を無視したせいで、サプライチェーンにもネットワークセキュリティキーのリスクが潜んでいます。たとえば、自動車の重要なコンポーネントであるブラックボックス(EDR)に、ハッカーはウイルスをインプラントすることで、自動車事故に関連する証拠を排除できます。したがって、自動車メーカーはブラックボックスに使用されるソフトウェアソースを知る必要があります。脆弱性のあるオープンソースソフトウェアの採用はネットワークセキュリティのリスクをもたらす主な原因の一つです。
コネクテッドカーの一般的なネットワークセキュリティの脅威と攻撃技術は:携帯電話またはWi-Fiを介して接続して、車両に中間者攻撃をすること、車両制御システムに侵入すること、車両内のディスプレイのブラウザのコアに攻撃すること、ハッキング後の車オペレーティングシステムの脆弱性に攻撃することです。たとえば、権限レベルの変更や任意コードの実行、車両ソフトウェアやファームウェアのアップグレード中に行うサプライチェーン攻撃などがあります。国際規制と基準に従うことは、自動車産業におけるサプライチェーン攻撃への対策として挙げられました。国連欧州経済委員会(UNECE)は、2024年に世界のすべての新しい自動車が自動車ネットワーク安全規制の新しい規制(R155)に準拠する必要があると明確に述べました。昨年公式にリリースされたISO/SAE 21434は、自動車サプライチェーン全体のネットワークセキュリティを確保するための厳格な構造を提供しました。
もし悪意のあるプログラムを含むオープンソースソフトウェアを見つけた場合、協同組合メーカーのソフトウェアを管理するメカニズムの確立をお勧めします。機器開発者は、該当製品のソフトウェア部品表(SBOM)を作成し、使用しているすべてのOSS、および各パッケージの既知脆弱性、メイン開発者、所属会社や組織などをリストします。そして、ファームウェアスキャンを介し、ソフトウェアのトレーサビリティを執行し、ソフトウェアサプライチェーンの構成を分析します。
Onward Security SecDevice V2Xの脆弱性検出ツールは、V2Xの基本的なアプリケーション、情報セキュリティ、ネットワーキング機能などに関する既知と未知の脆弱性テストの要件を満たしています。自動車システムのOSの脆弱性スキャン、通信ネットワークファジング、外部Wi-Fi環境通信プロトコルを接続するファジングなどが含まれます。SecSAM OSSリスク管理システムは、ソフトウェア部品表(SBOM)の概念を通じて、車両製品のファームウェア、ソフトウェアコンポーネントの情報を管理し、ソフトウェアサプライチェーンの透明性の向上に役に立ちます。また、ソフトウェアリスクリスト(CBOM)を作成し、製品が使用しているコンポーネント、弱点(CVE)などを管理すれば、自動車ネットワーク攻撃事件が発生する時に、リアルタイムで製品の脆弱性の有無を確認し、害がさらに拡大する前に対処することができます。
