コネクテッドカーを標的とする新型ランサムウェア「VehicleLock」、EV充電インフラ経由で感染拡大

導入

自動車のデジタル化が進む中、これまで想定されていなかった新たなサイバー脅威が現実となりました。先週末から今週にかけて、欧州と北米でコネクテッドカーの車載システムを標的とする新型ランサムウェア「VehicleLock」による被害が相次いで報告されています。従来のITシステムへの攻撃とは異なり、車両の制御システム自体をロックし、身代金を支払うまでエンジンの始動を不可能にする手口です。特に懸念されるのは、公共のEV充電ステーション経由での感染拡大で、物理的な移動手段そのものが人質に取られる前代未聞の事態となっています。

詳細な説明

VehicleLockは、急速充電器の通信プロトコル（ISO 15118のPlug & Charge機能）の実装上の脆弱性を悪用して車両に侵入します。感染すると、まずインフォテインメントシステムが乗っ取られ、ダッシュボードに脅迫メッセージが表示されます。同時に、車両のイモビライザー（盗難防止装置）が悪用され、正規の鍵を使ってもエンジンが始動できなくなります。さらに深刻なのは、一部の検体では車両のCANバス（Controller Area Network）への侵入を試み、ブレーキやステアリングシステムへの不正アクセスを行う機能も確認されていることです。攻撃者は、充電中の車両から決済情報やGPS履歴を窃取するだけでなく、車両間通信（V2V）を利用して近隣の車両への感染拡大も狙っているとみられます。

影響と対策

物流トラックや緊急車両が感染すれば、社会インフラの麻痺や人命に関わる事故につながる恐れがあります。自動車メーカー各社は緊急対応として、OTA（Over-The-Air）アップデートによるセキュリティパッチの配信を開始しています。ユーザー側の対策として、公共充電ステーション利用時には車内Wi-FiとBluetooth機能をオフにし、充電完了後は速やかに車両を移動させることが推奨されます。企業の社用車管理においては、車両のセキュリティログを監視するVSOC（Vehicle Security Operation Center）サービスの導入や、信頼できる充電インフラのホワイトリスト化が有効です。また、充電事業者側では、充電器のファームウェア更新とネットワーク分離の徹底、異常な通信パターンの監視体制強化が急務となっています。

まとめ

自動車はもはや「走るコンピュータ」であり、サイバー攻撃の直接的な標的となる時代が到来しました。製造者、インフラ事業者、ユーザーが一体となったセキュリティエコシステムの構築と、モビリティ分野特有のセキュリティ・バイ・デザインの徹底が、安全な移動社会の実現に不可欠です。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp