AI・EV普及時代の影：見えざる脆弱性と戦うホワイトハッカーたち

JSTORIES ーインターネットと常時接続し、外部システムから取り込んだ様々な情報を活用できる自動車、いわゆる「コネクテッドカー」の普及が進んできた。しかし、運転の効率化や安全性、利便性が向上する一方で、こうした車両のネットワーク化により、外部からのハッキングでハンドル機能を乗っ取られたり、個人情報が盗まれるなど、自動車へのサイバー攻撃が新たなリスクとして懸念されている。

コネクテッドカーの情報セキュリティを強化するには、搭載しているアプリケーションやオペレーティングシステム内に存在する未知の欠陥を事前に発見し、ハッカーたちが悪用する前に脆弱性の改善を促すことが重要な対策となる。

その重責を担っている世界のホワイトハッカー達が今年１月、日本に集結し、都内で開かれたコンテストで3日間にわたって「ゼロディ」（ベンダーや一般に知られておらず、修正パッチが存在しないソフトウェアやハードウェアの脆弱性）を見つけ出す技術を競った。

世界最大級のゼロデイ脆弱性発見コンテスト「Pwn2Own Automotive 2025」として東京ビックサイトで開催されたこのコンテストは、自動車向けサイバーセキュリティ会社であるVicOne社（トレンドマイクロの子会社）と、脆弱性発見コミュニティZero Day Initiative（ZDI）が共催した。初イベントとなった去年に続き、２回目の開催だ。

VicOneのCEO、マックス・チェン氏とトレンドマイクロの脅威リサーチ担当副社長、ブライアン・ゴレンク氏が、2025年1月22日に東京ビッグサイトでPwn2Own Automotive 2025の開幕を公式に宣言。                 提供：VicOne （以下同様） — VicOneのCEO、マックス・チェン氏とトレンドマイクロの脅威リサーチ担当副社長、ブライアン・ゴレンク氏が、2025年1月22日に東京ビッグサイトでPwn2Own Automotive 2025の開幕を公式に宣言。提供：VicOne （以下同様）

今年のPwn2Own Automotiveでは、13か国から21チームが参加し、車載インフォテインメント（IVI）システム、電気自動車（EV）充電器、オペレーティングシステム（OS）の3カテゴリーに分かれ、未知の脆弱性発見に挑んだ。

今回のコンテストでは、3日間合計で49件のゼロデイ脆弱性が発見された。最優秀賞である「Master of Pwn」のタイトルを獲得したのは、英国拠点のサイバーセキュリティ研究者であるSummoning Team所属のシーナ・ケイルハー（Sina Kheirkhah）氏。賞金として222,250ドル（約3500万円）を受け取った。

同イベントは、車の先端技術に特化した展示会「オートモーティブワールド」と連携して行われており、業界関係者の注目を集めている。

左から：ZDIのダスティン・チャイルズ（Dustin Childs）氏、Pwn2Own Automotive2025で「Master of Pwn」のタイトルを獲得したシーナ・ケイルハー（Sina Kheirkhah）氏、VicOneのマックス・チェン氏、トレンドマイクロのブライアン・ゴレンク氏。

Pwn2Own Automotive、日本でのみ開催の理由とは

「Pwn2Own Automotive」が２年続いて日本でのみ開催された理由について、主催するVicOneのマックス・チェンCEOは、業界の主要プレーヤーと直接交流する機会を提供し、自動車技術におけるサイバーセキュリティの重要性を示すうえで、日本が最適な場だったからだと強調する。

Pwn2Own 2025で自動車技術におけるサイバーセキュリティの重要性を訴える、VicOneのマックス・チェン氏。

「日本の自動車産業は世界有数の規模を誇り、そのスケールはアメリカをも上回ります。安全性と品質基準の高さから、当社のサイバーセキュリティソリューションを開発・洗練するには理想的な環境です」とチェン氏は語る。

日本は自動車技術の分野でリーダー的な地位を確立しているだけではなく、VicOneの親会社であるトレンドマイクロのようなサイバーセキュリティ分野で世界的な競争力をもつ企業もあり、イベント開催地としての戦略的重要性を裏付けている。「日本での開催は、自動車分野におけるサイバーセキュリティの重要性を広く認識させる好機です。特に、自動車がますますネットワーク接続され、攻撃リスクが高まる現代において、このテーマの重要性は増すばかりです」とチェン氏は続ける。

充電インフラの脆弱性と新たなサイバーリスク

電気自動車（EV）やコネクテッドカーの利用拡大とともに、自動車のサイバーセキュリティが新たなリスクに脅かされる可能性が大きい。2023年には、世界の電気自動車の販売台数が約1,400万台に達し、乗用車全体の販売台数の約18%を占めた。この割合は、2020年の約4%から大幅に増加している。さらに、2025年までに運行中のコネクテッドカーの台数は世界で4億台を超えると予測されており、これは2021年の約2億3,700万台から大幅に増加する見込みだ。

一方、コネクテッドカーの急速な普及、さらには5G、Wi-Fi、Bluetoothといった情報技術の進展が新たなサイバー攻撃の経路拡大につながり、自動車を取り巻く情報リスクが様々な形で増殖しつつある。

「充電インフラの脆弱性はその一例です。サイバー犯罪者がこれらのシステムを悪用し、車両への侵入を図る可能性がありますが、ほとんどの人はこのリスクを考えていません」とチェン氏は指摘する。

充電中の電気自動車(EV)。         提供：Envato (以下同様） — 充電中の電気自動車(EV)。提供：Envato (以下同様）

また、EVだけではなく、その他の車にもセキュリティリスクがあることに多くのユーザーが気づいていないとチェン氏は警鐘を鳴らす。

「リスクがあるのはEVだけではありません。ハイブリッド車を含む、内部オペレーティングシステムを持つすべての車両がサイバー攻撃の対象になり得ます。日本のEV市場が拡大するにつれ、先進的なサイバーセキュリティソリューションの必要性も増しています」。

AIがもたらす自動車サイバーセキュリティの課題

人工知能（AI）は自動運転機能や、安全性の向上など、様々な形で自動車業界を変革しているが、一方で新たな課題も生み出している。「車両に搭載された音声操作のようなAIシステムがハイジャックされたり、誤作動を起こすことで危険な状況を招く可能性があります。また、個人情報が漏洩するリスクもあります」とチェン氏は説明する。

VicOneはこうした課題に対処するため、AIを活用したツールで、車両を保護するとともに機密情報の漏洩を防ぐ取り組みを進めているという。「AIを活用してシステムのセキュリティを確保するだけでなく、侵害をより効率的に監視し、検出する手段としても活用しています」（チェン氏）。

AI技術によりスマートフォンを使った車両の制御が可能になる一方で、ハイジャックや誤作動といったリスクが高まるという課題も浮上している。

AI技術によってスマートフォンで車を操作できるようになった一方で、ハイジャックや誤作動といったリスクも増大するという問題が浮き彫りになっている。

ゼロデイ脆弱性を特定する重要性

Pwn2Ownは、最先端の自動車関連ソフトウェアを実環境でテストし、闇市場で悪用される前に脆弱性を特定して、自動車のサイバーセキュリティを強化することを目的としている。最大5000万ドルにもなる高額な賞金は、世界中のホワイトハッカー達の参加を促すだけではなく、セキュリティ研究の成長を促進し、次世代のサイバーセキュリティの才能を育成するのに役立っており、未来のリスクへの投資になっている、と主催団体は話す。