あなたのマイカーにプログラミングされているコードの行数は、実は最新型の旅客機をも上回る。インターネットに接続できる現代の自動車は、天気や駐車場の空き、渋滞回避ルートを教えてくれる。いずれは運転そのものも自動化されるだろう。
こうした機能に消費者は喜んでいるかもしれない。だが、もっと喜んでいるのはハッカーだ。それゆえに自動車業界では多くのエンジニアが眠れない夜を過ごしている。どうすれば、世界中の自家用車に大惨事をもたらしかねないハッカーの1歩先(願わくば2〜3歩先)を行くことができるのか。自動車業界は頭痛の種を抱え込むことになった。
乗っ取りはすでにリコールに発展
ハッカーたちは、自動車を標的にするチャンスを待ちきれないように見える。
自動車がハッカーに乗っ取られた2015年の「事件」は有名だ。これはサイバーセキュリティーの研究者が行った実証実験ではあったが、16キロメートル離れた場所からノートパソコンを使って「ジープ・チェロキー」のエンジンを切ったり、ラジオ局を変更したり、ワイパーを作動させたり、冷房を全開にしたりすることに成功した。これを受け、ジープの親会社FCA(フィアット・クライスラー・オートモービルズ)は140万台のリコールに追い込まれた。
ハッキングは、いたずら程度のものから大事故につながりかねないものまで幅広い。自動車のシステムに侵入されると、運転手の個人情報が盗まれたり、電話の会話を盗み聞きされたりする可能性がある。さらに「走る・曲がる・止まる」の基本にかかわる電子制御ユニットに悪意あるコードを挿入されると、急加速したり、エンジンが停止したり、ブレーキが効かなくなったりする恐れが出てくる。
昨年には、カリフォルニア州サンタモニカの非営利団体「コンシューマー・ウォッチドッグ」がテスラ車の画面に「!ハッキング完了!」というメッセージを送ることに成功している。
実証実験を超える問題も出始めている。例えば、南米のあるトラック運送会社は、車両がハッキングされて追跡不能となり、荷物を盗まれても検知不能な状態になった。依頼を受けた自動車サイバーセキュリティー会社のカランバが目下、対策を進めている。また、インターネットを少し検索するだけで、世界の大手カーメーカーに対しハッキングに成功した例が次々と見つかる。ただし、これらはまだ深刻な被害には至っていない。
「業界の誰もが恐れているのは、自動車の操舵と加減速に対する乗っ取りだ」とカランバのアミ・ドータンCEOは指摘する。「そして、誰もがその可能性を認識している」。
自動車のサイバーセキュリティー対策は、航空機以上にハードルが高いかもしれない。コンサルティング大手マッキンゼーの報告書によると、最新の自動車には約150の電子制御ユニットが搭載され、約1億行のコードが動作している。コードの行数は、自動運転や車車間通信の登場によって2030年まで今の3倍に増加する可能性もある。
一方、最新の旅客機のコードは1500万行、一般消費者向けパソコンを動かしているOS(基本ソフト)のコードはおよそ4000万行にすぎない。自動車のコードの複雑さは明白だ。
トラックがさらされる脅威はさらに大きい
自動車メーカーは、死亡事故などにつながるハッキングを許せば会社を揺るがす大問題に発展しかねないことを理解している。それどころか、車内の画面に予期せぬメッセージが表示されるといった軽微な攻撃を許すだけで企業イメージには簡単に傷がつく。ドライバーはマイカーを究極のプライベート空間と考える傾向があるからだ。
自動車をサイバー攻撃から守るには、多面的な防御が必要になる。悪質なコードが埋め込まれたSIMカード、ワイヤレスによる偽のソフトウェアアップデート、スマートフォンから自動車に送信されるコード、自動車のセンサーやカメラを誤作動させる偽情報など、脅威は多岐にわたる。
自動車の故障診断などに使われるOBD-IIというコンピューターにデバイスを接続したときに悪質なコードが侵入する場合もある(OBD-IIの接続ポートは通常、ステアリングの下にある)。
運送会社のトラックがさらされている脅威はさらに大きいと話すのは、ガードノックス・サイバー・テクノロジーズのモーシェ・シュリセルCEOだ。サイバー攻撃によって全車両を使えなくされ、身代金を要求される可能性があるという。
「大規模な攻撃が発生するかどうかは、もはや時間の問題にすぎない」とシュリセル氏。「サイバー攻撃に最も強い車種は(100年以上前につくられた)『フォード・モデルT』だ。何にもつながっていないからね」。
最新型の自動車なら、脆弱性が見つかってもワイヤレスのアップデートでソフトウェアを修正することはできる。だが自動車業界が目指しているのは、電子システムの守りを固め、そのような事態に陥らないようにすることだ。車外の世界に最もさらされているオーディオ、ナビ、電話のシステムも例外ではない。
世界の自動車メーカーにソフトウェアや部品を供給する大手サプライヤーは、車載インフォテインメントシステムの側から自動車の操縦そのものを制御するシステムへとコードが流れ込まないようファイアウォールを組み込むようになっている。
電子制御ユニットの設計もサイバー攻撃を意識したものに変わってきている。通常決して通信することのないシステム同士が通信を行おうとした場合に警告を発する仕組みがそうだ。制御ユニットにロックをかけ、新たなコードの挿入を防ぐ設計も取り入れられるようになっている。
国連も規制に乗り出した
「人命が懸かっている。サイバーセキュリティーは私たちの最重要課題だ」とゼネラル・モーターズ(GM)のグローバルサイバーセキュリティー担当バイスプレジデント、ケヴィン・ティアニー氏は話す。
90人のエンジニアがフルタイムでサイバーセキュリティー問題に取り組むGMでは「防衛の深掘り」と呼ばれる対策が進められている。不必要なソフトウェアを取り除いたり、システム同士が必要なとき以外に通信できないようにしたりする対策だ。
それでも気合いの入ったハッカーは、いずれ侵入経路を見つけ出すだろう。自動車のサイバーセキュリティーは今のところ、各社が独自に対策を進めているにすぎない。国際的な基準や規制がなかったためだ。だが、それも変わろうとしている。
今年、自動車サイバーセキュリティーに関する国連規則が発効し、自動車メーカーにはさまざまなリスク評価を行ったり、侵入の試みについて報告したりするなど、サイバーセキュリティーへの対応度合いを証明する義務が生じた。この規制は、ヨーロッパで販売される自動車に関しては2024年7月から、日本と韓国で販売される自動車に関しては2022年から適用される。
アメリカは54の調印国に含まれていないが、アメリカで販売される自動車が他国と違った基準でつくられる可能性は低い。GMのティアニー氏も「国連規制は国際基準だ。われわれはグローバルな基準を満たす必要がある」と話す。
また、自動車安全の監視団体「センター・フォー・オート・セーフティー」のジェイソン・レヴィーン事務局長は「自動車のサイバーセキュリティーは、衝突安全の性能評価と同じようにランク付けすべきだ」と語っている。
そうなると、ある疑問が浮かんでくる。アメリカ政府でさえ政府のコンピューターに対するロシアのハッキングを防げなかったのに、果たして自動車メーカーにハッキングが防げるのだろうか──。
コメントをお書きください