車に潜む知られざるプライバシーリスク

地元の自動車解体場は、クラシックカー愛好家や整備工場のオーナーにとって、入手困難な部品を見つけられる宝の山です。しかし、壊れたシャシーや金属スクラップの山の中には、目に見えないもう一つの“宝”、「膨大な個人情報」が潜んでいます。もしそれが悪意ある第三者の手に渡れば、ドライバーのプライベートな秘密や個人情報が流出するリスクがあります。

その理由は、私たちが日常的に乗っている車が、いまや「走るコンピューター」へと進化しているからです。これらの車は膨大な量のデータを収集・処理・共有しており、マイク、カメラ、各種センサーの搭載によって、ソフトウェア・デファインド・ビークル（SDV）が扱う個人情報の量はかつてないほど増えています。つまり、あなたがSDVを運転しているなら、知らないうちにプライバシーが危険にさらされている可能性があるのです。

自動車メーカーやアプリ提供者が収集しているデータの実態が、消費者や規制当局の間で広く認識されるようになるにつれ、「データプライバシー」は自動車メーカーやドライバーにとって、もはやなくてはならない機能へと進化しています。

自動車解体場？それともハッカーの楽園？

PlaxidityXのThreat Research Labが最近公表したセキュリティ調査では、車載ソフトウェアや不十分なデータ保護の実態が、どのようにドライバーの個人情報を危険にさらしているかを明らかにしました。調査結果によると、中国で高い人気を誇るある電気自動車から、ドライバーの位置情報、連絡先、家族の健康情報、勤務先住所、さらにはSpotifyの音楽嗜好といった極めて機微な個人データが、驚くほど容易に抽出できてしまうことが示されています。

この調査の目的は、車から収集したデータを解析して、ハッカーがどこまで個人の私生活に踏み込めてしまうのかを明らかにすることでした。調査は、地元の自動車解体場から始まりました。そこで、データ消去されていない2023年製BYD ATTO 3のマルチメディアヘッドユニット（IVI）を入手しました。非常に人気が高い車種であるということ、また中国の自動車メーカーは一般的にデータプライバシーへの配慮が十分とは言えないため、研究対象として理想的なケースでした。

私たちはラボでそのIVIに接続し、保存・処理されているデータを調査しました。すると驚いたことに、情報の暗号化や圧縮は一切行われておらず、強力なパスワードも設定されていませんでした。
これは、データやログファイルへの不正アクセスを試みるハッカーにとって、あまりにもハードルが低い危険な状態です。ドライバーへのメッセージは明確です。自分の車が収集しているデータが安全に保護されていると過信しないこと、そして、自分には関係ないと考えないことです。

調査の過程で、私たちはBYDのDiLink 3.0 OS（ATTO 3などのモデルに搭載）におけるシステムログダンプ機能に、暗号化実装の不備による脆弱性が存在することも発見しました。この発見は、責任ある開示プロセスに従いBYD社に報告し、その後ASRGが、CVE-2025-7020として公開しています。

個人情報の宝庫

私たちが車両ログから発見した個人データの量とその詳細レベルは、まさに驚愕の一言でした。ドライバーのスマートフォンから取得されていたデータには、関係性を示すメタデータ付きの完全な連絡先リストが含まれており、彼女の父親・母親・兄弟姉妹の氏名と連絡先がわかりました。さらに、彼女が新生児科医をかかりつけにしていることから赤ちゃんがいることが分かり、薬剤師の名前まで特定できました。ラジオ局の好みやSpotifyの再生リストから、おそらく彼女はサブリナ・カーペンターやビリー・アイリッシュのファンであることまでわかってしまうのです。

さらに、携帯端末の完全な識別情報（CCID、IMSI、MACアドレス、IMEI）を抽出することもできました。これらは悪用されると、本人へのなりすましやその他の深刻なプライバシー侵害に結びつく恐れがあります。

1年分のGPS追跡データから、車載位置情報を基に過去1年間に彼女が訪れた場所のほぼすべてを、おおよそ数十メートルの誤差範囲で特定できました。これにより、ハッカーはヒートマップを作成し、ドライバーの自宅や勤務先、さらには特定の人物との会合場所まで推定することが可能になります。

彼女の電話番号を使って、Truecaller（発信者ID・迷惑電話ブロックアプリ）から彼女の自撮り写真を取得しました。これは、電話番号から即座に所有者の氏名や顔写真を入手できる、一般的な手法の一例に過ぎません。また、ドライバーの注意力をモニターするための車内カメラを侵害すれば、自撮り写真が取得できる可能性もあります（今回の調査ではその攻撃経路の検証は行っていません）。

あなたの車が収集したデータ、中国へ送信されているかもしれません

私たちの調査によって、BYD車であれば最先端のツールを使わなくても、ハッカーが簡単にドライバーの個人情報にアクセスできることが明らかになりました。さらに問題なのは、こうした情報があらかじめ搭載されたGSMモデムを通じて、中国国内のサーバーへ継続的に送信されている点です。この事実だけでも、BYDのドライバーにとっては十分に衝撃的です。自分の個人情報が送信されていると知れば、情報送信を停止するようBYDに求めたくなるのも当然でしょう。

地政学的な観点から見ると、こうした個人情報が中国へ送信されている事実は、国家安全保障やサイバー諜報活動の観点で重大な懸念を引き起こす可能性があります。米国商務省が、中国やロシア経由のコネクテッドカー向けハードウェアおよびソフトウェアの販売・輸入を禁止する最終規則を発表したことは、海外の関係機関へのデータ流出を制限する必要性への認識を一層高めました。この文脈において、車両から収集された個人情報が、政府関係者や軍関係者の安全を脅かすために悪用されるリスクも十分に考えられます。

自動車分野のデータプライバシー対策はいまだ遅れを取っている

データプライバシーに関する規制、特にGDPR（一般データ保護規則）は、個人データ、すなわち「特定または特定可能な自然人に関連するあらゆる情報」に対して、個人がより強い管理権限を持てるようにするため、そしてEU全体で統一されたデータ保護ルールを確立するために制定されました。しかし、自動車業界においては、他の業界と比べるとこれらのプライバシー規制の適用や執行は、いまだ発展途上の段階にあるようです。

Mozillaの調査によると、現代の自動車は「プライバシーに関してこれまでに評価した中で最悪の製品カテゴリー」であるとされています。これは、自動車メーカーによるデータ保護体制の不備が主な理由です。実際、ほぼすべての自動車メーカーがMozillaの「Privacy Not Included（プライバシー非対応）」リストに掲載されていますが、GDPRのもとで自動車業界に対して課された罰金は、これまでのところわずか3件にとどまっています。

• 2022年には、フォルクスワーゲン（VW）が、歩行者の同意を得ずにADAS（先進運転支援システム）の学習用データとして映像を使用したことにより、110万ユーロの罰金を科されました。
• 2023年には、フォルクスワーゲン・リース（Volkswagen Leasing GmbH）が、顧客からの要請に対し、同社が保有する当該顧客の個人データを提供しなかったとして、4万ユーロの罰金を科されました。
• 2024年には、トヨタのポーランド金融子会社であるトヨタ銀行ポルスカ（Toyota Bank Polska）が、データ漏えい発生後72時間以内に当局へ報告しなかったとして、1万8,000ユーロの罰金を科されました。

このようなギャップが生じている背景には、データ保護の具体的な要件、たとえば暗号化の方法などが明確に定義されていないことが大きな要因として挙げられます。GDPRでは、個人データの送信や保存に関する最低限のセキュリティ要件は定められているものの、悪意ある攻撃者から消費者（あるいは企業）を保護すること自体は主な目的ではありません。この領域は、UNR 155など、他のサイバーセキュリティ関連規制によってカバーされています。

たとえば、GDPRには暗号の強度に関する具体的な基準が定められていません。そのため、仮にOEMがWi-Fiのパスワードを「123456」に設定したとしても、「パスワードを設定している」という要件自体は満たしていることになります。しかし、これであなたのデータが安全に守られるわけではありません。

さらに、データプライバシー関連の規制では、企業が位置情報や連絡先といった個人情報を収集する際、ユーザーから明示的な同意を得ることが義務付けられています。しかし私たちの調査では、ユニットを工場出荷時設定にリセットした後でさえ、このような同意を求める確認は一切表示されませんでした。そして現在も、この問題がBYD車両において広く残っていることを確認しています。

車のオーナーが直面するリスク

データ保護の改善に対する責任は、自動車メーカーだけにとどまりません。たとえば、あなたがヨーロッパで2週間の休暇を過ごす際にレンタカーを利用するとしましょう。そのとき、自分のスマートフォンを車のマルチメディアシステムに接続しようと思いますか？自分のデータが外部サーバーに送信されたり、漏えいしたりするリスクを取れるでしょうか？そして、あなたが借りた車にどの程度のデータ保護対策が施されているのか、把握している人はほとんどいないのが現実です。

ドライバー自身の意識こそが、個人情報を守るための最も重要な鍵です。もし、レンタカーに自分のスマートフォンをどうしても接続する必要がある場合は、返却時に必ず自分（もしくはレンタカー会社）でデータを完全に消去するようにしてください。同様のリスクは、自動車メーカーが提供するリース契約や、自家用車を売却する場合にも存在します。車を手放す前には、個人情報や運転履歴データがすべて確実に削除されているかを必ず確認することが重要です。

結論

PlaxidityXのこの調査は、車載ソフトウェアの脆弱性がドライバーを現実的なリスクにさらしていることを、はっきりと示しています。こうした脆弱性により、ドライバーの極めてプライベートな個人情報が、ハッカーや中国など国外の自動車メーカーの手に渡る可能性があるのです。

そして、この問題はすぐには解決しそうにありません。ベンダー各社は今後も、自社製品の改善、トラブル対応、そして新たな収益化の機会を得るためにデータ収集を続けていくでしょう。一方でユーザー側も、より良い製品やサービスを提供してもらえるのであれば、個人情報の提供に一定の理解を示しています。

解決の力になりそうなのは、消費者と自動車メーカーとの間における、より高い透明性の確保です。メーカー側はどのような情報を、どの範囲で、どの目的で収集しているのかを、より明確に伝える取り組みを進めるべきです。そして消費者もまた、それを当然の権利として求める必要があります。たとえば、情報収集のタイミングでユーザーの同意を求める標準的な方法、Androidの実行時の権限「危険な権限（dangerous permissions）」に似た仕組みを業界全体で導入することが考えられます。

このリスクへの認識を高めることは、自動車メーカーがドライバーの個人データを適切に保護するための行動を取るうえで欠かせません。安全性が最優先であることは言うまでもありませんが、今後はデータ保護もまた、自動車メーカーにとって重要な競争要件の1つとなっていくでしょう。