今年4月にシンガポールで開催されたBlack Hat Asia 2025で日産自動車が製造する電気自動車(EV)、リーフ=写真(「Remote Exploitation of Nissan Leaf:Controlling Critical Body Elements from the Internet」より)=の脆弱性が研究者によって明らかにされたということです。リーフはガソリンをまったく使わないEV車で、通信によって機能するサービスを備えたコネクテッドカーです。
クラクションやミラー、ハンドル操作も
Black Hatはサイバーセキュリティの研究者やエンジニアが集ってカンファレンス等が行われる世界的な規模のイベントで、毎年、アメリカ、ヨーロッパ、アジアの3地域で開催されています。今年のBlack Hat Asiaは4月1~4日の日程でシンガポールのマリーナベイ・サンズで行われ、世界のサイバーセキュリティの専門家がリスクや開発、トレンドに関する最新の研究成果を発表しました。
その中でPCAutomotiveの研究者らがリーフZE1の脆弱性に関する報告をしたということです。PCAutomotiveは自動車、金融サービス、エネルギー業界等を対象にサイバーセキュリティを手掛けているハンガリー・ブダペストに本社がある会社で2019年に設立されたということです。日産のリーフは2010年に販売が開始されたEV車ですが、今回、脆弱性が指摘されたのは2代目となるZE1型のリーフになります。ZE1型は2017年から販売がスタートした車ですが、今回、脆弱性が確認された車両は2020年に製造された車両のようです。
PCAutomotiveの研究者によれば、車両の主要通信システムであるCANと情報を管理する車載インフォテインメント(IVI)の間が外部からバイパスされる恐れがあり、その結果、車載インフォテインメントのブルートゥース通信を悪用して車の内部ネットワークに侵入することが可能だということです。そして、車載インフォテインメントシステムのスクリーンショットを撮ったり、車内の音声を録音したり、さらにクラクションを鳴らしたりミラーの開閉、ハンドル操作など様々な運転上の機能を遠隔で操作することが可能だったということです。研究者らは実際に遠隔で操作している様子を動画で撮影してYouTubeに公開しています。
PCAutomotiveは2023年8月にこの問題について日産のセキュリティチームに報告、2024年1月に日産のセキュリティチームは脆弱性を確認したもののCVE登録をPCAutomotiveで行うように求めたため、2024年4月にPCAutomotiveはMITREにCVE登録を申請したもののMITREは製品メーカーのBoschに申請を転送、Boschは日産から何も聞いていないとしてCVEの登録申請を拒否し自動車のセキュリティコミュニティであるASRGに転送した経緯があるようですが、現在、CVE-2025-32056など8つの脆弱性がCVEとして登録されているようです。
サイバーリスクを低減するための取り組み
トレンドマイクロの子会社で自動車サイバーセキュリティを専門に行っているVicOneが昨年発行した「自動車サイバーセキュリティレポート」によると2014年から2024年上半期までに登録された日本の自動車メーカーおよびそのOEMにおけるCVEは18件だということです。4割近くをキーレスエントリーシステムが占めており、次いでサードパーティーアプリ、車載ネットワーク(IVN)、チップセットとプロセッサ、車載インフォテインメント(IVI)と続いています。
車両のサイバーセキュリティにかかる実害は、現状では車両盗難が主流で他のサイバー事案ようにデータ漏えいや侵害等、明確な意図をもったサイバー攻撃が車そのものに対して起きているわけではありません。車の脆弱性はホワイトハッカーである研究者が発見しメーカー等と連携して修正、改善が図られている状況があります。そのため車のサイバーセキュリティにかかる研究が活発になることで車の脆弱性の発見も増加し、また、脆弱性の焦点も車両の内部機器からシステムや充電関連にシフトしつつあるということです。日産のリーフをめぐる今回の脆弱性の指摘もこうした自動車サイバーセキュリティをめぐる現状が背景にあります。
しかし、今後、車に対して悪意のあるサイバー攻撃が行われる可能性は十分にあります。車両に対するサイバー攻撃は社会にとって深刻な脅威となりますから、今日の自動車サイバーセキュリティへの取り組みは極めて重要だと言えると思います。
■出典
https://www.securityweek.com/nissan-leaf-hacked-for-remote-spying-physical-takeover/
https://www.blackhat.com/asia-25/
https://vicone.com/jp/reports/automotive-cybersecurity-report-1h-2024