PSI CyberSecurity Insight

トップ> Insight Post一覧> PSI CyberSecurity Insight第26号:コネクテッドカーへのサイバー攻撃が現実化、自動車業界のサプライチェーン全体に及ぶリスク

2026年1月6日

株式会社ピーエスアイ

コネクテッドカーへのサイバー攻撃が現実化、自動車業界のサプライチェーン全体に及ぶリスク

背景

自動車のIoT化が進み、常時インターネットに接続される「コネクテッドカー」が普及する中、自動車そのものや、それを支えるバックエンドシステムへのサイバー攻撃リスクが現実のものとなっています。かつての自動車は独立した機械システムでしたが、現在は「走るコンピュータ」とも呼ばれ、数千万行のソフトウェアコードで制御されています。車両と外部サーバー(クラウド)、スマートフォンアプリ、EV充電スタンド、交通インフラなどがネットワークで繋がることで利便性が向上した反面、攻撃者が侵入できる「攻撃対象領域(アタックサーフェス)」も急激に拡大しています。国連のWP29(自動車基準調和世界フォーラム)によるサイバーセキュリティ法規(UN-R155)が2022年7月から日本でも施行されるなど、自動車業界全体でセキュリティ対策が法的義務となり、企業の対応が急務となっています。

実態

自動車へのサイバー攻撃には、車両への直接攻撃と、インフラ・アプリ経由の間接攻撃があります。直接攻撃としては、キーレスエントリーシステムの電波を中継増幅する「リレーアタック」や、車載ネットワーク(CAN:Controller Area Network)に不正メッセージを送信する「CANインジェクション」が実証されています。近年はより高度な手口として、車載インフォテインメントシステム(IVI)の脆弱性を悪用して車両ネットワークに侵入し、ブレーキやステアリング制御に干渉する可能性が研究レベルで実証されています。間接攻撃では、スマートフォンアプリのAPI脆弱性を突き、遠隔でエンジン始動、ドア解錠、位置情報の追跡を行う攻撃手法が実際に報告されています。さらに、EV(電気自動車)の普及に伴い、急速充電器の管理システムがランサムウェアに感染したり、充電器経由で車両へマルウェアを送り込んだりするリスクも現実化しています。攻撃対象は自動車メーカーだけでなく、Tier1・Tier2サプライヤー、整備工場、カーシェアリング事業者、テレマティクスサービス提供者など、自動車エコシステムに関わる全ての企業に及んでいます。特に、OTA(Over The Air:無線アップデート)機能を狙った攻撃では、正規のアップデートプロセスを乗っ取ってマルウェアを配信する手口も確認されており、数百万台規模での一斉感染リスクが懸念されています。

影響と対策

自動車へのサイバー攻撃は、車両盗難やプライバシー侵害だけでなく、交通事故や人命に関わる深刻な事態につながる恐れがあるため、ITシステム以上の厳格な安全性(Safety)とセキュリティ(Security)の両立が求められます。対策としては、車両開発段階からの「Security by Design」の徹底と、出荷後の継続的な脆弱性管理・アップデートが必須です。車両内部では、制御系ネットワーク(CANなど)と情報系ネットワークの厳格な分離、重要な制御メッセージの暗号化・電子署名、不正なメッセージを検知するIDS/IPS(侵入検知・防止システム)の実装が進められています。バックエンド(クラウド・アプリ)側では、APIセキュリティの強化、サーバーへの不正アクセス防止、OTA機能のコード署名検証、テレマティクス通信の暗号化が重要です。FortiGateやCheck Pointなどのネットワークセキュリティ製品は、自動車工場のOT(制御技術)セキュリティ保護、コネクテッドカー向けクラウド基盤の境界防御、サプライチェーン企業間の安全な通信確保において重要な役割を果たします。また、サプライチェーン全体でのセキュリティ基準の統一と、インシデント発生時に迅速に対応するためのPSIRT(Product Security Incident Response Team)の構築、さらには自動車特有のセキュリティ人材の育成も不可欠です。

まとめ

自動車の進化は、サイバーセキュリティなしには語れない時代となりました。車両単体だけでなく、スマートフォンアプリ、クラウドサービス、充電インフラ、交通システムを含めたエコシステム全体を守る視点が必要です。日本の自動車産業が世界をリードし続けるためには、技術革新と同時にセキュリティ対策の高度化が不可欠です。PSIでは、ITセキュリティで培った知見とOT/IoTセキュリティソリューションを融合させ、自動車産業のサプライチェーン全体を支える堅牢なセキュリティ体制の構築をご支援いたします。

参照記事リンク:

IPA 自動車のサイバーセキュリティ,  Upstream Global Automotive Cybersecurity Report,  NHTSA Vehicle Cybersecurity

会社概要

社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp

INSIGHT一覧に戻る