車両盗難はサイバー攻撃なのか？CISOがリスクとして捉えるべき“同じサイバーキルチェーン”

要約

自動車盗難は、もはや単なる物理的な犯罪ではありません。現在では、企業のCISO（最高情報セキュリティ責任者）が日常的に対処しているサイバー攻撃と同様のサイバーキルチェーン、脆弱性クラス、攻撃フレームワークに基づいて実行される“本格的なサイバー攻撃”へと進化しています。コネクテッドカーが企業システムの延長線上に位置づけられるようになった今、デジタル化された車両盗難は自動車メーカーや保険会社に対して、セキュリティ面だけでなく、財務・規制対応の観点からも大きなリスクをもたらしています。PlaxidityX vDomeは、こうした攻撃をリアルタイムで検知・防御するために開発されたAI搭載ソフトウェアソリューションです。従来の自動車サイバーセキュリティ対策では埋めきれなかった重要なギャップを補完し、新たな脅威への対応を可能にします。

もし、信頼済み社内ネットワークに不正なハードウェアデバイスが接続され、認証のないプロトコル上のブロードキャスト通信を盗聴し、その後、偽装メッセージを注入して認証を回避、最終的にエンドポイントを完全に制御する―そんなネットワークシナリオを耳にしたら、誰もがそれを“サイバー攻撃”と判断するでしょう。そして、その脅威を脅威モデルへマッピングし、MITRE ATT&CKなどのフレームワークと照合したうえで、インシデント対応チームへエスカレーションするはずです。

実際、CANインジェクションツールを用いた車両盗難で起きているのは、まさにこれと同じ構図です。違いがあるのは物理レイヤーだけであり、Ethernetの代わりにCANバス、サーバーの代わりに車載ECUが標的になっているに過ぎません。脆弱性の分類、攻撃パターン、そしてサイバーキルチェーンの構造は、企業のリスクレジスター（組織として管理対象としているリスク一覧） ですでに管理対象となっているサイバー脅威と本質的に同一です。

CISOにとって既知の「サイバーキルチェーン 」

CANインジェクションによる車両盗難を、自動車特有の専門用語を使わず、エンタープライズセキュリティの観点に置き換えてみると、セキュリティチームが日常的に対処している攻撃と極めてよく似た構造であることが分かります。

Step 1 – 物理アクセス

攻撃者はまず、ヘッドライトコネクタやOBD-II診断ポートを経由して車両のCANバス配線へ接続します。企業ネットワークに置き換えると、これはサーバールームやロビーのEthernetポートへ不正な小型ネットワーク機器を接続する行為に相当します。どちらのケースでも共通しているのは、「信頼済み内部ネットワーク」に未承認のハードウェアが侵入している点です。

Step 2 – ネットワーク偵察（情報収集）

接続されたデバイスは、CAN通信を盗聴し、ECUのメッセージID、通信タイミング、ペイロード情報をすべて収集します。CANは暗号化をしないブロードキャスト型プロトコルであり、ネットワーク上のすべてのノードがすべての通信を閲覧できます。これはエンタープライズセキュリティにおいて、802.1XやNAC（Network Access Control）が導入されていないフラットなネットワーク上でEthernet通信を盗聴し、ホスト、サービス、プロトコルをマッピングする行為と同じです。

Step 3 – 攻撃実行

次に攻撃デバイスは、CANプロトコルの「送信元を検証しない」という設計を悪用し、攻撃者は偽装CANフレームを送信します。 例えば、「キー認証済み」を装ったメッセージを送ることでイモビライザーを無効化し、車両制御へのアクセスを獲得します。これは、車両の認証ロジックを標的としたゼロデイ攻撃といえます。エンタープライズセキュリティの世界で例えるなら、不正デバイスが未対策のシステムへ攻撃コードを送り込み、 管理者権限を奪取するケースに相当します。

Step 4 – 攻撃の影響

最終的に、車両は解錠され、エンジン始動が可能になります。さらに高度な攻撃では、ECUファームウェアの改ざん、診断キーの抽出、永続的なバックドアの設置などが行われるケースもあります。これはエンタープライズセキュリティにおける、データ流出、ランサムウェア攻撃、あるいは永続的な不正アクセスと同等のインパクトを持ちます。

同じサイバーキルチェーン 。同じ脆弱性クラス。違うのは、“標的”が車両であるという点だけです。

CANインジェクション攻撃は、既存のセキュリティフレームワークで説明できる

車両盗難に悪用されるCANインジェクション攻撃は自動車特有の未知の脅威ではありません。既存のサイバーセキュリティフレームワークで定義されている典型的な脆弱性や攻撃パターンに、そのまま当てはめることができます。

CWE（Common Weakness Enumeration）に当てはめる

例えばCWE（Common Weakness Enumeration：ソフトウェアやシステムの弱点を主離別に分類したリスト）では、以下のような弱点として整理できます。

• CWE-306：認証なしで重要機能へアクセスできる設計
  CAN ECUは送信元の検証を行わず、あらゆるCANフレームを受け入れてしまいます。
• CWE-74：偽装メッセージの注入
  偽装されたメッセージが正規コマンドとして解釈されます。
• CWE-290：正規ノードになりすますスプーフィング
  ネットワーク上の正規ノードになりすまして認証を回避します。
• CWE-294：正常通信を再利用するリプレイ攻撃
  正規通信を記録・再送することでセキュリティ制御を突破します。

MITRE ATT&CK for ICSに当てはめる

CANインジェクション攻撃は、MITRE ATT&CK for ICSにおける以下のテクニックにも対応します。

• T0830：Adversary-in-the-Middle（通信への割り込み・なりすまし）
• T0856：Spoof Reporting Message（偽装メッセージ送信）
• T0814：Denial of Service（サービス妨害）
• T0890：Exploitation for Privilege Escalation（権限昇格の悪用）

OWASP Top 10（2021）に当てはめる

OWASP Top 10の観点でも、同様の脆弱性カテゴリに該当します。

• A03：Injection（不正な命令の注入）
• A07：Identification & Authentication Failures（認証・識別の不備 ）
• A01：Broken Access Control（アクセス制御の不備）
• A08：Software & Data Integrity Failures（ソフトウェア／データ完全性の不備 ）

Microsoft STRIDEに当てはめる

STRIDEモデルに照らし合わせても、典型的な脅威パターンとして整理できます。

• Spoofing（信頼されたECU IDになりすます攻撃）
• Tampering（偽装メッセージ注入による通信内容改ざん）
• Denial of Service（Bus-Off攻撃による正規ノード停止）
• Elevation of Privilege（診断セッション悪用による権限昇格）

ポイントは、これらが単なる理論上の話ではないという点です。UNR155 Annex 5 Part A の項目7（7.1〜7.4）では、車載内部ネットワークへの脅威、診断インターフェースの悪用、アクセス制御不備などが明確に対象化されています。さらに、ISO/SAE 21434でも、まさにこれらのフレームワークを用いたTARA（脅威分析とリスク評価）の実施が求められています。

デジタル／キーレス車両盗難は「車両だけ」の問題ではない

もし読者が、自動車メーカー、フリート事業者、モビリティサービスプロバイダー、あるいは保険会社のCISOであれば、キーレス車両盗難は決して他人事ではありません。この問題は、少なくとも以下3つの観点で、エンタープライズセキュリティ領域と直接的に関係しています。

1. 攻撃対象領域が共通している

車両のソフトウェア定義化とコネクテッド化が進むにつれ、車両は企業IT/OTエコシステムの一部に存在するエンドポイントへと変化しています。CANバスは、言い換えれば車両内のOT（Operational Technology）ネットワークであり、OTセキュリティはすでに多くのCISOにとって重要な管理対象です。製造工場や施設ネットワークで防御している「接続デバイスを認証しない信頼前提のネットワークに不正デバイスが接続される」という攻撃パターンが、今まさに製造・運用・保険対象となる車両そのものに対して悪用されているのです。

2. 規制・コンプライアンス上のリスクを伴う

UNR155およびISO/SAE 21434では、OEMに対し、車両ライフサイクル全体を対象としたサイバーセキュリティマネジメントシステム（CSMS）の実装が求められています。その対象には、車載ネットワークに対する脅威監視やインシデント対応も含まれます。車両サイバーセキュリティに関与する組織にとって、これらの攻撃はすでにコンプライアンス管理の対象領域となっています。

3. 財務インパクトが極めて大きい

車両盗難による経済損失は急速に拡大しています。例えばカナダでは、2025年の盗難関連保険請求額が9億ドルを超えました。米国では、State Farm、Progressive、Allstateといった大手保険会社が、既知のセキュリティ脆弱性を持つ車種に対して保険引受を拒否するケースも発生しています。さらに、Munich Re傘下のHartford Steam Boiler（HSB）は、自動車向けの専用サイバー保険を提供しており、車両サイバー攻撃による事業停止まで補償対象としています。つまり、保険業界はすでにこの問題を「サイバーリスク」として評価し始めているのです。企業のリスクレジスターも同じ現実を反映する必要があります。

端的に言えば、キーレス車両盗難は「サイバー攻撃」である

デジタル車両盗難がサイバーセキュリティの問題として十分に認識されてこなかった理由の一つは用語にあります。メディアでは、これらのデバイスを「CAN インベーダー」や「車両盗難ツール」といった呼びやすい名称で呼ぶことがあります。しかし、こうした表現は物理的な盗難ツールのような印象を与え、実態であるサイバー攻撃としての本質を見えにくくしています。現代の車両盗難は、単なる物理的な侵入ではありません。脆弱性を悪用し、デジタル的に車両制御権を奪取する攻撃です。

そのため、これらのデバイスや攻撃手法について、以下のように再定義するべきです。

一般的な呼称	サイバーセキュリティ観点での呼称
「CANインベーダー」 / 「車両盗難ツール」	CANインジェクションツール
「CANバスハック」	CANインジェクション
「緊急始動装置」	不正エンジン始動ツール
「キーエミュレーター」	キー登録なりすましツール

このような用語を使えば、セキュリティ担当者であれば誰でも脅威の本質が即座に理解でき、既存のサイバーセキュリティフレームワークに基づいた適切な対応へとつなげることができます。

例えば自動車セキュリティの脅威をエンタープライズセキュリティの言葉で説明するとしたら、次のように表現できます。

「攻撃者は、不正なデバイスを車両ネットワークへ接続し、偽の命令を送り込むことで車両の制御権を奪おうとしています。これは、企業ネットワークに悪意あるデバイスが侵入し、未対策のサーバーへ攻撃を仕掛けるケースと本質的に全く同じパターンです。
車両内部のネットワークは、接続されたコンポーネントを盲目的に信用してしまう（送信元認証がない）構造になっているため、なりすまし攻撃の格好の標的となります。
これは物理的な自動車の持ち去りではなく、「インジェクション」や「認証の不備」といった、ITの世界ではお馴染みの脆弱性を悪用した典型的なサイバー攻撃そのものです。実際に、エンタープライズITで広く使われるOWASP Top 10やMITRE ATT&CKといった標準フレームワークでも、すでに既知の攻撃パターンとして定義されています。」

CISOが「サイバー型車両盗難」を防ぐためにできること

幸いなことに、この攻撃パターンは車両レベルで検知・防御が可能です。PlaxidityX vDomeは、CANインジェクション攻撃や不正なキー登録をリアルタイムで検知するソフトウェアソリューションです。既知の攻撃ベクトルに対するシグネチャベース検知を活用し、極めて低い誤検知率で攻撃を識別します。さらに、攻撃を検知すると、エンジン停止などの防御アクションを即座に実行し、車両が移動する前の段階で盗難を阻止します。

CISOにとって重要なポイントは非常にシンプルです。もし企業ネットワークにおいて、認証も監視もないEthernet環境を放置しないのであれば、同じ考え方を、製造・運用・保険対象となる車両のCANバスにも適用すべきです。これは新しい脅威カテゴリではありません。
既知のサイバー攻撃パターンが、新たな標的である車両に向けられているだけです。必要なフレームワークはすでに存在しています。脅威モデルも定義されています。やるべきは、そのギャップを埋める車載セキュリティレイヤーを実装することです。

PlaxidityX vDomeが、こうした新しい形態のサイバー攻撃から組織をどのように保護できるのか、ぜひお気軽にお問い合わせください。