英国に本社を置き自動車技術に関する調査およびコンサルティングを手掛けるSBD Automotiveジャパン(名古屋市)では、自動車サイバーセキュリティに関する調査を継続的に行っており、自動車のサイバーセキュリティに関連する最新動向をまとめ、分析したレポート「サイバーセキュリティ最新動向ガイド」、法規制が車載およびオフボードの自動車システムに及ぼす影響について分析したレポート「サイバーセキュリティ法規制ガイド」の最新版を2023年3月8日に発行いたしました。
<サイバーセキュリティ最新動向ガイド>
UNECE WP29自動車サイバーセキュリティ法規では、サイバーセキュリティ管理システムのプロセスによりセキュリティが適切に考慮されていることを証明することが求められ、それにはリスク管理や対策だけでなくサイバーセキュリティインシデント事例の脅威や脆弱性情報などのモニタリングも含まれます。UNECE法規のAnnex5では、脅威に関連する脆弱性および軽減策を車両やバックエンドサーバー、通信の脅威など7つのカテゴリでリスト化しており、OEMはそれらを考慮する必要があります。
本書では、自動車のハッキング事例を挙げながら、それらがAnnex5のどの項目に該当するかを分類しており、こうした情報が自社製品にどのように関連するのかを参照することが可能です。またそれらの事例に対し、サイバーセキュリティゴールおよびセキュリティ要件を含めた脅威の緩和策の推奨策、ISO21434で採用されることになるCAL(Cybersecurity Assurance Level)での基準も含めて整理しており、ハッキング事例を技術面およびリスク管理面の両方からわかりやすくまとめています。
<本書の構成>
はじめに:本書の目的・対象・分析手法
概要:自動車業界における最新ハッキング動向
車への攻撃:車両の内部ネットワークおよびアプリケーションに関連する攻撃の分析
・ECUのUDS認証をバイパスするCANdid攻撃
・NXP製i.MX SoCのメモリデータ漏洩の脆弱性
・Toyota EPS ECUのファームウェアメモリダンプ
・John Deereのトラクターでルートアクセスに成功
・Tesla Model YへのNFCリレーアタック
・攻撃者によるTesla車へのキー登録
・離れた場所からのTesla車の盗み出し、など
バックエンド/スマートフォンアプリへの攻撃:バックエンドおよびその他のオフボードシステムに関連する攻撃の分析
・Hyundai/Genesisの車両をハッカーがモバイルアプリを使って操作
・Nissan/Hondaの車両をハッカーがモバイルアプリを使って操作
・EV充電器へのリバースエンジニアリング攻撃
・MiCODUS GPSトラッカーにリモート攻撃の脆弱性
・BenderとGaroの充電コントローラに複数の脆弱性
・CCSタイプのEV充電をワイヤレスで妨害、など
自動車エコシステム全体における攻撃:OEMの組織全体および自動車サプライチェーンに関連する攻撃の分析
・Lockbitランサムウェア攻撃グループがContinentalグループにハッキングしたと主張し、盗んだデータを漏洩させると脅迫した
・Toyotaが、Github上でのアクセスキー公開に起因するデータ漏洩を公表、など
<レポートの詳細>
https://insight.sbdautomotive.com/rs/164-IYW-366/images/IB_905_22_Cyber_Security_Intelligence_JPN.pdf
UNECE WP29自動車サイバーセキュリティ法規では、サイバーセキュリティ管理システムのプロセスによりセキュリティが適切に考慮されていることを証明することが求められ、それにはリスク管理や対策だけでなくサイバーセキュリティインシデント事例の脅威や脆弱性情報などのモニタリングも含まれます。UNECE法規のAnnex5では、脅威に関連する脆弱性および軽減策を車両やバックエンドサーバー、通信の脅威など7つのカテゴリでリスト化しており、OEMはそれらを考慮する必要があります。
本書では、自動車のハッキング事例を挙げながら、それらがAnnex5のどの項目に該当するかを分類しており、こうした情報が自社製品にどのように関連するのかを参照することが可能です。またそれらの事例に対し、サイバーセキュリティゴールおよびセキュリティ要件を含めた脅威の緩和策の推奨策、ISO21434で採用されることになるCAL(Cybersecurity Assurance Level)での基準も含めて整理しており、ハッキング事例を技術面およびリスク管理面の両方からわかりやすくまとめています。
<本書の構成>
はじめに:本書の目的・対象・分析手法
概要:自動車業界における最新ハッキング動向
車への攻撃:車両の内部ネットワークおよびアプリケーションに関連する攻撃の分析
・ECUのUDS認証をバイパスするCANdid攻撃
・NXP製i.MX SoCのメモリデータ漏洩の脆弱性
・Toyota EPS ECUのファームウェアメモリダンプ
・John Deereのトラクターでルートアクセスに成功
・Tesla Model YへのNFCリレーアタック
・攻撃者によるTesla車へのキー登録
・離れた場所からのTesla車の盗み出し、など
バックエンド/スマートフォンアプリへの攻撃:バックエンドおよびその他のオフボードシステムに関連する攻撃の分析
・Hyundai/Genesisの車両をハッカーがモバイルアプリを使って操作
・Nissan/Hondaの車両をハッカーがモバイルアプリを使って操作
・EV充電器へのリバースエンジニアリング攻撃
・MiCODUS GPSトラッカーにリモート攻撃の脆弱性
・BenderとGaroの充電コントローラに複数の脆弱性
・CCSタイプのEV充電をワイヤレスで妨害、など
自動車エコシステム全体における攻撃:OEMの組織全体および自動車サプライチェーンに関連する攻撃の分析
・Lockbitランサムウェア攻撃グループがContinentalグループにハッキングしたと主張し、盗んだデータを漏洩させると脅迫した
・Toyotaが、Github上でのアクセスキー公開に起因するデータ漏洩を公表、など
<レポートの詳細>
https://insight.sbdautomotive.com/rs/164-IYW-366/images/IB_905_22_Cyber_Security_Intelligence_JPN.pdf
<サイバーセキュリティ法規制ガイド>
本書では、法規制が車載およびオフボードの自動車システムのどの部分にどのような影響を及ぼすのかについて詳細な分析を行います。欧州、米国、中国、日本における政府の義務化、ガイドライン、標準による影響および機会を特定します。これら以外の国においても法規制に関する重要な進展が見られた場合は適宜、情報を提供します。
また、各地域における法規制制定の背景やタイムライン、ベストプラクティス、および標準規格に関する詳細情報についてまとめており、堅牢なサイバーセキュリティ戦略の策定を支援します。
<本書の構成>
はじめに:本レポートの内容と各章の概要
基本情報:本レポートで扱う法的トピックと地域の概要
最新情報:新たな政策活動に関する主なポイントと主要な発表
・UNECE R155/R156
・ISO 21434
・NHTSAのサイバーセキュリティベストプラクティス
・NIST SP 800、など
サマリー表:付属のExcelデータベースに収録された様々な規則/法律/ガイドライン/政策に関する法的状況および最新動向の概要
・米国・欧州 - 法律/規則、ベストプラクティス/ガイドライン
Excelデータベース:フィルタリングや並べ替え機能を使用して特定の規則/法律/政策/標準規格や関連データポイントを確認することが可能
<レポートの詳細>
https://insight.sbdautomotive.com/rs/164-IYW-366/images/IB_539_22_Cyber_Security_Legislation_JPN.pdf
各レポートの詳細に関するお問い合わせは下記にて承っております。
SBD Automotiveジャパン
〒460-0002 名古屋市中区丸の内2-18-22三博ビル6F
Tel: 052 253 6201
E-mail: postbox@sbdautomotive.com
https://www.sbdautomotive.com/ja/
【SBD Automotiveについて】
英国を本拠とする自動車技術の調査・コンサルティング会社です。1997年の創業以来、日本、欧州(英国とドイツ)、米国、中国の拠点から自動車業界に携わるクライアントをグローバルにサポートしています。
クライアントは自動車メーカー、サプライヤー、保険業界、通信業界、政府・公的機関、研究機関など自動車業界のバリューチェーン全体。調査対象エリアは欧州、北米、中国、ブラジル、インド、ロシア、東南アジアなど世界各国の市場を網羅。自動車セキュリティおよびIT、コネクテッドカー、自動運転などの分野において調査を実施、各種レポートやコンサルティングサービスを提供しています。
SBD Automotiveジャパン
〒460-0002 名古屋市中区丸の内2-18-22三博ビル6F
Tel: 052 253 6201
E-mail: postbox@sbdautomotive.com
https://www.sbdautomotive.com/ja/
【SBD Automotiveについて】
英国を本拠とする自動車技術の調査・コンサルティング会社です。1997年の創業以来、日本、欧州(英国とドイツ)、米国、中国の拠点から自動車業界に携わるクライアントをグローバルにサポートしています。
クライアントは自動車メーカー、サプライヤー、保険業界、通信業界、政府・公的機関、研究機関など自動車業界のバリューチェーン全体。調査対象エリアは欧州、北米、中国、ブラジル、インド、ロシア、東南アジアなど世界各国の市場を網羅。自動車セキュリティおよびIT、コネクテッドカー、自動運転などの分野において調査を実施、各種レポートやコンサルティングサービスを提供しています。