スマートビークルをサイバー攻撃から守る方法

現在の車を手に入れたときは、主に、ワイヤレス電話充電器、電話から車へのデータ転送、道路標識のリアルタイム スキャン、センサーなどの優れた機能が搭載されていたので、興奮しました。

また、アプリを使用して、車両の始動、ドアのロック、速度の設定と監視を行うこともできました。車両をホーム ネットワークに接続するか、ホット スポットにするオプションもありました。

しかし、携帯電話を車に接続すると潜在的なサイバーセキュリティのリスクにさらされることに突然気づいたので、私は空想から揺さぶられました.結局のところ、2010 年から 2021 年の間にコネクテッド カーに影響を与えたインシデントの 7.3% は、コンパニオン モバイル アプリに関係していました。

リモートでのカージャックは単なるハリウッドのファンタジーではありません

潜在的なサイバー インシデントに対する私の懸念は、ワイルド スピード 8のようなハッキングされた車両のハリウッドの描写によるものではありません。車両がハッキングされ、ハイジャックされる可能性を示す証拠があります。

アーガス研究者は、脆弱な Bosch Drivelog Connector ドングルを悪用して、走行中の車のエンジンを停止させることに成功しました。セキュリティ研究者で、 デビッド・コロンボ、TeslaMate ロギング ソフトウェアの脆弱性が原因で、世界中に散在する数十台の Tesla にリモート アクセスしました。

コネクテッドカーの脆弱性を悪用することに興味を持ったのは、サイバーセキュリティの研究者だけではありませんでした。レポートによると、車両に対するサイバー攻撃は 2018 年から 2021 年に 225% 増加しましたが、攻撃者はインシデントの 54.1% に関与していました。

攻撃の約 85% がリモートで実行され、40% がバックエンド サーバーを標的とし、38% がデータ/プライバシー侵害に関与し、20% が制御システムに影響を与えました。キーレス エントリーとキー フォブによる攻撃は、車両盗難全体の 50% を占めています。

の増加複合充電ステーション攻撃は 2022 年前半に観測され、充電機能の大規模な混乱、管理者権限の侵害、電気自動車ユーザーに対するランサムウェア攻撃への道が開かれました。

スマート車両を侵害するために使用される方法には、内部コードとデータの操作、インフォテインメント システムを介した有害なメッセージの送信、ソフトウェアと接続されたデバイスの脆弱性の悪用、特権アクセスの侵害、通信メディアへのウイルスの埋め込み、サーバーのハイジャックによるネットワーク化された車両への悪意のあるコードの伝達などがあります。 、サービス拒否攻撃を展開して車両の誤動作を引き起こします。

新たな脅威ベクトルは、非常に破壊的であることが証明されています。 API の脆弱性を悪用して車両にリモート アクセスして制御し、車両を盗み、重要な機能を妨害する攻撃が増加していることが確認されています。

攻撃者はまた、充電ステーションを使用して電気自動車を攻撃し、なりすまし詐欺を行い、電気自動車を大規模に充電する機能を妨害します。

コネクテッドカーのリスクは新たな差し迫った脅威です

他のモノのインターネット (IoT) デバイスと同様に、コネクテッド カーはサイバーセキュリティ リスクの影響を受けやすくなっています。悪名高い 2016 年の Mirai ボットネット攻撃は、多くの IoT デバイスを兵器化し、世界的に広範囲にわたる分散型サービス拒否 (DDoS) 攻撃を引き起こしました。

米国では、IoT ネットワークを使用している組織のほぼ半数がセキュリティ侵害に見舞われ、多大な経済的損失をもたらしています。適切なサイバーセキュリティ制御が実施されていない場合、スマート車両の兵器化の可能性は達成可能です。

2020 年から 2021 年にかけて、スマート車両で見つかった Common Vulnerabilities and Enumerations (CVE) は 321% 増加しました。

クリティカルが 26 件、ハイが 70 件でした。 脆弱性これには、不正な Bluetooth ペアリング (CVE-2021-0583) と、DoS 攻撃の実行に使用される可能性のある車載インフォテインメント オペレーティング システムの脆弱性 (CVE-2021-22156) が含まれていました。

Apache Log4j ライブラリを実行しているコネクテッド カーと充電ステーションは、Log4Shell の脆弱性 (CVE-2021-44228、CVE-2021-45046、および CVE-2021-45105) の影響を受けやすくなっています。

これらの脆弱性は、 妥協Vehicle-to-Grid (V2G) インフラストラクチャ、ファームウェア無線 (FOTA) 更新、車載インフォテインメント (IVI) システム、重要な車両機能を制御するデジタル キー。

コネクテッドカーに対する新たなサイバー脅威には、通信チャネルに対する脅威 (89.3%)、車両データ/コードに対する脅威 (87.7%)、パッチが適用されていない脆弱性 (50.8%)、車両の接続と接続に対する脅威 (47.1%)、およびバックエンド サーバーに対する脅威が含まれます。接続性 (24.1%)。

Vehicle-to-Everything (V2X) およびセルラー Vehicle-to-Everything (CV2X) テクノロジ ネットワークの成長に伴い、攻撃者が探索する機会は無限にあります。

このネットワークには、車両対歩行者 (V2P)、車両対ネットワーク (V2N)、車両対車両 (V2V)、車両対クラウド (V2C)、車両対グリッド (V2G)、および車両対インフラ (V2I)。

エコシステムの脆弱性は兵器化され、安全上の問題を含む大規模な混乱を引き起こす可能性があります。

よりスマートな車両の成長に伴い、より大きなリスクが伴います

コネクテッド カー市場は、2025 年までに 1,210 億米ドルに成長すると予測されています。2023 年までに、世界の自動車業界は 7,600 万台を超えるコネクテッド カーを供給すると予測されています。

5G コネクティビティは、強化されたテレマティクス、自動化された工場駐車場、高度な運転支援システム、自動運転、シームレスなデータ、セルラー コネクティビティを通じて、自動車体験を変革しようとしています。

スマート車両は、2025 年までに 1 時間あたり 25 GB のデータを生成すると推定されており、これは Web ブラウジングやビデオ ストリーミングのアクティビティを上回っています。

自動車産業の成長と変革により、攻撃対象領域が広がり、重大なビジネス リスクにさらされる可能性が高まります。世界経済フォーラムによると、コネクテッドカー市場は 2027 年までに 2,150 億米ドルに達すると予測されています。

しかし、2024 年までに、業界は 5,000 億米ドル以上を失うと推定されています。サイバー攻撃.スマート車両市場の利益のほとんどは、サイバー攻撃によって一掃されると考えて間違いありません。

国連欧州経済委員会 (UNECE) の WP.29 R1552 & R1563 規制や ISO/SAE 21434 規格などのサイバーセキュリティ規制基準に加えて、スマート車両メーカーは、適切なセキュリティ制御を優先して、攻撃対象領域を減らし、脆弱性の悪用を最小限に抑える必要があります。 .

スマートビークルを保護するためにできること

コネクテッドカーの保護は、自動車メーカーだけの責任ではありません。車両の所有者には、データへのアクセスと侵害を最小限に抑えるという役割があります。これらの簡単な推奨事項に従うことで、犯罪者があなたのデータや車両を盗むことが難しくなります.

• 自宅の住所を保存する方法など、スマート車両と共有される個人情報を制限します (面白いことに、車を更新した後、インテリジェント キーを使用してユーザー プロファイルを設定するように要求されました。ご想像のとおり、設定を拒否しました)。

• 携帯電話を最新の状態に保ち、アプリを安全にインストールできるようにします。感染したアプリは、電話やコネクテッド カーを侵害するために使用される可能性があります。

• 携帯電話をレンタカーと同期しないでください。必要以上に多くの情報を残している可能性があります。

• 利用可能な場合はファームウェアを更新しますが、実行中ではありません。新しいアップデートがどのような影響を与えるか予測できないため、安全に実行したいと考えています。

• USB ドングルなどの接続されたデバイスにマルウェアがないことを確認します。

• 車両をホーム ネットワークに接続しないように、できる限り試みてください。必要に応じて、専用チャネルで接続を維持してください。

• キーフォブを使用するときは、周囲に注意してください。車両のドアにキーレス エントリーが装備されている場合は、キーフォブではなく車両のロック/ロック解除に使用してください。

• 電気自動車の充電は、適切な抑止力のある専用ステーション (監視カメラなど) でのみ行ってください。

• 車からソーシャル メディアに接続している場合は、疑わしいリンクをクリックしないように注意してください。

• 車がインターネットに接続できる場合、悪意のあるソフトウェアをダウンロードできることに注意してください。訪問する Web サイトに注意してください。

• ダッシュボードの表示がおかしくなっていることに気付いた場合は、インフォテインメント システムが壊れていないことを確認するまで運転しないことをお勧めします。

自信を持って旅に出る

サイバー攻撃の可能性があっても、スマート ビークルを楽しむことを思いとどまらせてはなりません。上記で推奨されているようにスマートなセキュリティの選択を行うことで、安全性とセキュリティを損なうことなく、コネクテッド カーが提供する優れた機能を探索することができます。

さらに、自動車メーカーは、安全なエンジニアリング原則が車両開発ライフサイクルのすべての段階に組み込まれていることを確認する必要があります。

サードパーティ サプライヤーは、デジタル サプライ チェーンの脆弱性の悪用を最小限に抑えるための適切な制御を実装することにより、コネクテッド カーの完全性を維持する上で重要な役割を果たします。