VicOneは9月13日に「2024 日本自動車サイバーセキュリティレポート」の発表に際し、メディア向けのブリーフィングを開催した。その概要とともに、自動車業界のサイバーセキュリティの現状と今後を解説する。
自動車業界へのサイバー攻撃が増えている
レポートでは、自動車業界へのサイバー攻撃は2023年の急増を指摘している。VicOneの分析では、2021年、22年と100件以下の攻撃報告だったものが、23年には242件と倍以上に増えている。2024年前期の集計でも100件を超えている。業種ごとの内訳をみると、サプライヤー99件、サードパーティ105件で大半を占める。OEMへの直接攻撃は27件、ディーラーへの攻撃は54件となっている。
アジア地域を中心に海外に目を向けると(2021年から24年上半期までの統計)、日本への攻撃は19.6%と国別ではトップだ。2位以下は中国、台湾、インドと続く。海外の日系自動車メーカー子会社や関連会社別にみると、海外ではディーラー(44%)、サプライヤー(29.5%)と被害の7割を占めている。これは、海外関連企業など比較的セキュリティレベルの低いところが狙われている可能性がある。
2023年にサイバー攻撃が増えたのは、ランサムウェアの被害が増えたからだ。ランサムウェア攻撃は世界的に問題になっており、とくにコロナパンデミック以降、病院、金融機関、製造業への攻撃が急気に増えた。ただし、2023年には国際的なランサムウェアグループが摘発を受け、RaaS(Ransomware as a Service)と呼ばれる攻撃プラットフォームがいくつか解体された。その効果があって2024年は23年ほどの伸びを見せていないが、新しいRaaSグループ、プラットフォームも立ち上がっている。ランサムウェア攻撃の波は止まっていない。
求められる脆弱性対策
VicOneは、自動車業界で発生したセキュリティインシデントについても統計を発表している。最も多かったのはデータ漏洩やサーバー攻撃、ランサムウェア攻撃などのサイバー攻撃(38.8%)だった。続いてイモビライザーへの攻撃や侵害が12.8%と2位だった。自動運転や運転支援システムに関するインシデントは11.7%。充電器とIVIに関するインシデントはともに8%だった。
なお、ここでいうセキュリティインシデントは、ランサムウェア攻撃や不正アクセスのようなサイバー攻撃の他、データ流出や脆弱性の発見などを含んでいる。データは攻撃を受けなくても不注意で漏洩することもあるし、脆弱性の発見は、その攻撃があったとは限らない。実際には、攻撃が発生する前に発見され、対応されることが多い。
どのような脆弱性が発見されたのか。
