テキサスの車影に潜む報復劇 サイバー脆弱性の露呈と規制の萌芽(2009年から2010年代)
2009年前後、リーマンショック後の不況で、多くのアメリカ市民が自動車ローンの返済に苦しんでいた。販売店やローン会社は延滞者から効率的に車を差し押さえるため、遠隔車両停止システムを導入した。これはGPSや車載リレーを通じ、インターネット経由でエンジンを強制的に停止できる仕組みであった。安価なモジュールで簡単に導入できたため、全米で急速に広まった。
しかし2010年前後、テキサス州オースティンの販売店で、このシステムが悪用される事件が起きた。解雇された元従業員が不正に侵入し、100台以上の車を一斉に停止させたのである。突然移動手段を奪われた人々は職場や学校へ通えず、生活は大混乱に陥った。警察の捜査で、これは報復行為であったことが明らかになった。
事件はIoT機器の脆弱性を鮮烈に印象づけた。当時は暗号化通信の実装もなく、パスワードは初期設定のまま放置され、アクセス制御も甘かった。こうした無防備さは、内部犯行や外部攻撃に対して深刻な弱点をさらけ出すことになった。関連技術としては車載テレマティクス、リモートエンジンスタート、GPS追跡などが普及しつつあったが、同じ基盤に依存していたため、危険と利便が表裏一体となっていた。後にはCANバスへの侵入研究が進み、ブレーキやステアリング操作すら外部から可能であることが実証された。この事件は、コネクテッドカーの脆弱性を広く知らしめる契機となった。
そして、この事件は規制の流れを加速させた。米国道路交通安全局は2010年代初頭から車載システムのサイバーセキュリティ指針を策定し、暗号化通信やOTA更新、侵入検知の導入を推奨した。国連欧州経済委員会も2020年に自動車サイバーセキュリティ規則を採択し、日本やEUでは2022年以降、新型車への適用が進んでいる。また、自動車業界全体で情報共有を進めるAuto ISACが2015年に設立され、各社がサイバー攻撃情報を交換する仕組みが整えられた。
オースティンの遠隔車両停止事件は、車が移動手段からネットワーク端末へと変貌する過程で生じた最初期の危機であった。同時に、それは産業全体に警鐘を鳴らし、後の規制や産業構造の変革を促す分水嶺となった。
No comments:
Post a Comment