Pwn2Own Automotiveイベントで発見されたゼロデイ脆弱性44件はVicOne製品のみが検出可能

2024年2月8日
VicOne
Pwn2Own Automotiveイベントで発見されたゼロデイ脆弱性44件はVicOne製品のみが検出可能

By Ling Cheng (Senior Product Marketing Manager)

前回の記事では、ゼロデイ脆弱性の重要性と自動車のスレットインテリジェンスにゼロデイ脆弱性情報を組み込む必要性について解説しました。本稿では、2024年1月24日から26日に東京で開催されたPwn2Own Automotiveイベントの素晴らしい成果をご報告できることを嬉しく思います。このイベントはVicOneとトレンドマイクロのゼロデイイニシアチブ(ZDI)が主催し、合計49件に及ぶ新規のゼロデイ脆弱性が発見されました。現在、これらの中で44件の脆弱性を検出できるのは、自動車向けサイバーセキュリティ製品の中ではVicOne製品だけです。これらの脆弱性は、次世代の車両セキュリティオペレーションセンター(VSOC)プラットフォーム「xNexus」、フリクションレス車載侵入検知・防御システム「xCarbon」、そして高性能な自動車脆弱性管理とソフトウェア構成表(SBOM)管理システム「xZETA」を含む、当社の製品ラインアップによって検出可能です。

この中には、参加チームのNCC Group EDGが車載インフォテインメントシステムで人気のファーストパーソンシューティングゲーム「Doom」を動かすことを可能にした脆弱性も含まれています。また、参加チームのSina Kheirkhahは、メーカーによって通常は無効化されている充電器のカメラを起動し、ダンスするRick Astley氏を表示して電気自動車の充電システムを「rickroll(踊るRick氏)」するために2件の脆弱性を連携させました。

これらのゼロデイ関連スレットインテリジェンスによって、VicOneのお客様には、他のセキュリティベンダーから得られない大きなアドバンテージが提供されます。こうした早期検出機能を提供することで、自動メーカーOEMTier 1サプライヤーEV充電システムサプライヤーは、競合よりも早くリスクやそれらに関する潜在的なビジネスへの影響をプロアクティブに確認することができます。これによりお客様は、自社の車両コンポーネントや充電システムがこれらゼロデイ脆弱性44件のいずれかに脆弱かどうかを判断し、潜在的なリスクに対して先手を打つことができます。

以下、それぞれの製品から詳細を説明します。

ECUソフトウェアパッケージ内のゼロデイ脆弱性を検出する唯一の方法

既知の脆弱性への対策だけでは、常に変化する自動車のセキュリティ環境におけるリスクを効果的に低減させるには不十分です。現在の脆弱性管理システムが既知の脆弱性に主眼を置いているのに対し、VicOneのxZETAは、電子制御ユニット(ECU)やEV充電システムのファームウェアやバイナリーに存在し得るゼロデイ脆弱性を検出するように設計されています。

xZETAを利用することで、OEM、Tier 1サプライヤー、EV充電システムのサプライヤーは、早期警告を受け、迅速に確認することが可能になります。これにより、ECUや充電システムのソフトウェアパッケージにこれらのゼロデイ脆弱性が含まれているかどうかを検出できます。xZETAは、これら特定のゼロデイ脆弱性だけでなく、未公開の脆弱性やCWE、標的型サイバー攻撃(APT)、ランサムウェアに至るまで、広範な検出範囲を提供します(図1参照)。VicOneは、お客様が未知の脆弱性の盲点を解消し、サイバーセキュリティの体制の全体的な強化をサポートします。

図1:xZETAは、ソフトウェアパッケージに存在し得るゼロデイ脆弱性49件が検出可能な唯一の製品

図1:xZETAは、ソフトウェアパッケージに存在し得るゼロデイ脆弱性が検出可能な唯一の製品

他に類を見ない保護機能:自動車のゼロデイ脆弱性情報における最高のスレットインテリジェンスを駆使した迅速なリスクアセスメント

自動車のゼロデイ脆弱性を見落とすことは、未知の脆弱性というセキュリティ上の盲点を生じさせる可能性があり、この点からも効果的な自動車関連のスレットインテリジェンスの役割がいかに重要か分かります。

VicOneによる独自かつ最先端の自動車関連のスレットインテリジェンスを基盤とする次世代VSOCプラットフォーム「xNexus」とフリクションレスの車載IDS/IPSである「xCarbon」は、これらのゼロデイ脆弱性に対応しています。お客様は、わずか一回のクリックで「xNexus」を通じてリスクおよびビジネスへの影響を迅速に確認でき、使用中のシステムが悪用され得るゼロデイ脆弱性に対して脆弱であるかどうかを判断できます(図2を参照)。また、VSOCチームは、攻撃経路や感染経路、さらに戦術、技術、手順(TTPs)など、自動車のセキュリティ対策において重要となる詳細情報にアクセスし、包括的な知見を得ることができます。そして車両が走行中でも充電システムが稼働中でも、「xCarbon」によりこれらのゼロデイ脆弱性を検出することが可能であり、自動車メーカーOEMやサプライヤーに安心を提供します。

図2:ワンクリックでxNexusからリスクやビジネスへの影響を迅速に確認できる

図2:ワンクリックでxNexusからリスクやビジネスへの影響を迅速に確認できる

ZDIの強固な支援とPwn2Own Automotiveイベントのような戦略的な取り組みにより、VicOneの自動車関連スレットインテリジェンスは、ゼロデイ脆弱性についての独自の知見を含んでいます。これにより、お客様は未知の脆弱性というセキュリティ上の盲点を解消し、サイバー攻撃を早期に確認する能力を獲得し、自身のシステムを保護するための包括的なサポートを得ることができます。

注:ゼロデイ脆弱性の重要性を鑑み、標準的なゼロデイ脆弱性管理プロセスを順守し、VicOneのソリューションは脆弱性の状況に応じて定期的に最新情報へと更新されます。この記事は、脆弱性件数を明確にするために、2024年2月9日に更新されました。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

  • 2025年に向けたギアチェンジ:次世代の自動車サイバーセキュリティにおける課題
    ブログ

    2025年に向けたギアチェンジ:次世代の自動車サイバーセキュリティにおける課題

    2025年6月2日
    AI、EV、SDV が自動車業界を変革する中、サイバー脅威も同様に進化しています。VicOne の 2025 年の自動車サイバーセキュリティレポートを参考にし、この記事では、業界の脅威の展望に関する重要な洞察と、自動車メーカーが先手を打つために必要な戦略の概要をご紹介します。
    続きを読む
  • シングルSTM32ボードを使用したRAMNの再現
    ブログ

    シングルSTM32ボードを使用したRAMNの再現

    2025年5月26日
    たった1枚のSTM32ボードを使用して、本格的なRAMN(Resistant Automotive Miniature Network)のコア機能を再現することは、高度なインビークル・ネットワーキングに取り組むための実用的でコスト効率の高い方法です。このハンズオンガイドでは、エンジニアやリサーチャーが最小限のハードウェアで弾力性のある車載通信システムを試作できるように、ステップ・バイ・ステップのセットアップを実行します。
    続きを読む
  • 見えない脆弱性がもたらすリコールリスク:より安全なSDVのための戦略
    ブログ

    見えない脆弱性がもたらすリコールリスク:より安全なSDVのための戦略

    2025年5月21日
    従来の脆弱性管理プラットフォームには、増加するゼロデイ脆弱性のリスクについては見落としてしまうセキュリティ上のギャップがどうしても生まれてしまっていました。VicOneの脆弱性&SBOM管理ツール、xZETAがどのように脆弱性の可視性を高め、新たな脅威に先手を打つことを支援できるかを紹介します。
    続きを読む
  • LockBitランサムウェアグループのデータ流出:自動車のサイバーセキュリティへの示唆
    ブログ

    LockBitランサムウェアグループのデータ流出:自動車のサイバーセキュリティへの示唆

    2025年5月21日
    最近起きたLockBit(ロックビット)ランサムウェアグループの内部データ流出により、グループのチャットのやり取りが公開され、被害者がどのように標的とされ、恐喝されたかを知る貴重な内部情報が得られました。攻撃された被害者の中には、自動車関連企業の名前が目立ちます。その主な調査結果を紹介し、LockBit攻撃や類似のインシデントを阻止するために自動車関連企業が講じることのできる実践的な対策を概説します。
    続きを読む
ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼