ニュース
ブラックベリー、「クルマはソフトウェアと侵入経路の増加でセキュリティのリスク増加」 自動車産業が直面する最大の課題と警鐘
2023年2月22日 17:02
- 2023年2月21日 開催
ブラックベリー(BlackBerry)は2月21日、「2022年第4四半期脅威インテリジェンス・レポート 記者説明会」を開催した。現在のセキュリティの状況を説明するとともに、クルマ内部のソフトウェアが増加し、コネクティッドカーやOBD2の普及などによりクルマへ侵入するエントリーポイントも増加するため、セキュリティのリスクは増えていると説明した。
ランサムウェアの被害は多いが、サプライチェーン悪用の攻撃も多い
ブラックベリーは、初期のスマートフォンメーカーとしての一面もあったが、現在は携帯情報端末の製造はしておらず、車載機器のOSである「QNX」も買収し、セキュリティソフトウェアをメイン事業としている。
説明会では最初に執行役員社長の吉本努氏が、現在のサイバーインシデントの傾向として、情報などへのアクセスを不可能にし、その制限を解除する“身代金”など要求するという「ランサムウェア」の被害が増えていること、大企業よりも中小企業の被害が多い傾向があること、そして、サプライチェーンの弱点を悪用した攻撃が増えていることなどを紹介した。
そして、被害企業の傾向として、87%がウイルス対策ソフトを導入しているが、そのうちの90%が検出されなかったことなども紹介。すでにウイルス対策ソフトを導入しているだけでは対応できないことも指摘。特にランサムウェアの侵入経路はVPNによるものが多く、信頼できる通信のみ許可する「ゼロトラスト」の考え方などが重要だとした。
続いて、主任脅威解析リサーチャーで工学博士の糟谷正樹氏が被害状況の詳細について説明、自動車業界ではフィッシングメールでさまざまなマルウェアがばらまかれたほか、ランサムウェアは驚異だとし、なかでもサプライチェーン攻撃によって自動車国内工場が停止した事例では、ランサムウェアによる可能性が高いと説明する。
糟谷氏によると、前述のゼロトラストが必要な理由として、子会社や委託業者に対して、セキュリティ対策の甘い侵入口を用意してしまう例があり、そこから侵入されたり、いったん子会社や委託会社に侵入し、そこを経由して親会社や取引先に侵入するといった「サプライチェーン攻撃」を許してしまうこともあるという。
クルマはソフトウェアと侵入口の増加でセキュリティのリスク増加
クルマのセキュリティについては、カントリーセールスマネージャー 日本 IoTのアガルワル・サッチン氏が説明。まず、自動車業界はCASEなどによりソフトウェアの量が増えているとし、プログラムのコードの行数でいえば現在のボーイング787航空機やF-35戦闘機などよりも2030年のクルマのほうが多くなると指摘。
その一方で、コネクティッドカーとして4Gや5Gでインターネット接続し、タイヤ空気圧監視のTPMSを近接無線で接続、さらにOBD2ポートやUSBでクルマのECUに接続するなどしてエントリーポイントも増えていく傾向があることから、サッチン氏は「4Gや5G、Wi-Fi、USBポートからでもクルマをハッキングすることが可能になる」と警告する。
さらに、膨大なソフトウェアを1社で提供することは不可能で、しかも、ソフトウェアが複雑になるほどセキュリティリスクが高くなるため「ソフトウェアサプライチェーンマネジメント」「セキュリティ基準」などの策定が進んでいるなどと説明した。
また、専門分野を横断した協力関係が必要として、「エンジニアと非エンジニアに関わらずセキュリティについて考え、後回しにせず、システム設計を始める段階でセキュリティ対策について考えるべき」と語った。
そして、クルマでも今後増えていくソフトウェアを、遠隔やインターネット経由でアップデートするOTA(Over-The-Air)のセキュリティについても、認証やエンドポイント管理などのセキュアな仕組みを採用する必要があるなど、重要性を訴えた。
なおサッチン氏は最後に、ソフトウェアの増大と侵入口の増加は、自動車業界だけでなく、医療や防衛などすべてのミッションクリティカルな産業に通じることと警鐘している。