2026-06-18 — views
フィジカルAIサイバーセキュリティ — 自動運転攻撃面、センサースプーフィング、フリート全体リスク
自動運転へのサイバー攻撃は物理的安全事象——センサースプーフィング、OTAパイプライン悪用、HDマップ注入をフィジカルAIセキュリティ基準次元として体系的に分析。
フィジカルAI基準シリーズ第115回 — フィジカルAIサイバーセキュリティ:自動運転攻撃面、センサースプーフィング、OTAパイプラインセキュリティ、そして自律型フリートへのサイバー攻撃が物理的安全事象である理由
自動運転車両は物理空間で動作するネットワーク接続コンピュータである。侵害された企業サーバーとは異なり——その結果はデータ損失、身代金支払い、またはサービス中断——自動運転車両への成功したサイバー攻撃は、公共道路上での車両制御喪失に直接つながる可能性がある。結果のカテゴリが根本的に異なる:データ侵害ではなく、共有公共環境を高速走行する多トンの機械が関与する物理的安全事象である。
自動運転車両の攻撃面は異常に広い。自動運転車両は同時に、車両(ブレーキ、ハンドル、加速を制御する物理的アクチュエータを持つ)、センサースイート(LiDAR、カメラ、レーダー、GPS、超音波)、ネットワーク接続コンピュータ(OTA更新とリモート操作のためのモバイル接続を持つ)、クラウドサービスクライアント(HDマップ、リモートアシスタンス、場合によってはクラウド推論)、そしてフリートメンバー(数百または数千台の同一車両とソフトウェアを共有する)である。
本稿では、自動運転サイバーセキュリティを構造化された基準次元としてマッピングする。第1節は攻撃面を難易度と影響評価とともに整理する。第2節は実証済み研究攻撃を技術的詳細とともにレビューする。第3節はTeslaとWaymoの主要次元におけるセキュリティアーキテクチャを比較する。第4節はサイバーセキュリティがフィジカルAI基準フレームワークに属する理由を確立する。
第1節 — 自動運転攻撃面マップ
| 攻撃面 | 内容 | 潜在的影響 | 攻撃者難易度 |
|---|---|---|---|
| OTAソフトウェア更新パイプライン | 車両ファームウェアと自動運転ソフトウェアスタックへの無線更新;署名インフラが侵害されると、攻撃者はフリート全体に悪意のあるコードを同時配信できる | フリート全体の車両制御侵害;最悪のケース:全車両での同時物理事象 | 高——製造業者の署名インフラへの侵害が必要;成功した場合の影響は壊滅的 |
| LiDARスプーフィング | LiDARユニットが実際の障害物として解釈するレーザーパルスを投射することで誤った点群データを注入;幻の障害物を作成したり実際の物体をマスクしたりできる | 幻の障害物に対して車両が緊急ブレーキ;またはスプーフィングデータでマスクされた実際の歩行者を検出できない | 中——物理的近接が必要(推定10–50m);学術研究で実証済み |
| カメラ敵対的攻撃 | カメラベースのニューラルネットワークを混乱させる敵対的パッチ(ステッカーや路面に印刷された特定の視覚パターン) | 停止標識が速度制限標識として読まれる;歩行者が背景として分類される | 中——物理的にパッチを配置する必要がある;研究で実証済み |
| GPS/GNSSスプーフィング | 車両の位置推定をオーバーライドする偽のGPS信号をブロードキャスト | 車両が誤った場所に誘導される;HDマップの相関が崩れる | 中——SDRハードウェアが必要;研究で実証済み |
| HDマップインジェクション | HDマップ更新パイプラインを侵害して誤った道路形状、車線マーキング、または交通要素を挿入 | 車両が偽のマップに従って危険な場所に誘導される | 高——マップ配信インフラへのアクセスが必要;Waymoのマップ依存アーキテクチャはビジョン専用アプローチより脆弱 |
| リモートアシスタンスチャンネル | リモートオペレーターと車両間の通信リンクへの中間者攻撃 | 緊急時にオペレーターが車両制御を失う;または攻撃者が偽のコマンドを送信 | 高——暗号化通信の侵害が必要;成功した攻撃は車両を立ち往生または誘導する可能性 |
| クラウド推論API | 推論が車載ではなくクラウドで実行される場合、侵害されたエンドポイントが運転判断に影響する可能性 | 改ざんされたデータに基づく判断;タイミング攻撃が重要な状況での応答を遅延 | アーキテクチャ依存——TeslaとWaymoは車載で推論を実行しているようだ(推定) |
| CANバス/内部ネットワーク | 攻撃者が車両内部ネットワークへの物理的またはワイヤレスアクセスを得た場合、ブレーキ、ハンドル、加速へのコマンドを注入できる | 直接的な車両制御 | ワイヤレスでは非常に困難;物理的アクセスが必要;2015年ジープチェロキーハックで実証済み |
第2節 — 実証済み研究攻撃
| 攻撃 | 実証者 | 対象 | 手法 | 結果 |
|---|---|---|---|---|
| LiDARスプーフィング | UCアーバイン、デューク大学などの学術研究グループ(推定2019–2022年) | 汎用自動運転LiDARユニット | カスタムレーザーパルスインジェクター(推定約50ドルのハードウェア) | 幻の物体を作成;自動運転テストプラットフォームが緊急ブレーキ |
| カメラ敵対的パッチ | カーネギーメロン、MITなど複数の学術グループ | 停止標識認識システム | 停止標識に敵対的パターンステッカーを貼付 | 制御実験で停止標識が高い確率で速度制限標識に誤分類 |
| Tesla FSD敵対的攻撃 | Tencent Keen Security Lab(2019年、2022年) | Tesla Autopilotカメラシステム | テープで車線マーキングを変更;路面に敵対的パッチを貼付 | テスト条件下で車両が対向車線に誘導;速度制限標識が誤読 |
| GPSスプーフィング | 複数の研究グループ;自律型船舶とドローンで実証 | GPS依存ナビゲーションシステム | ソフトウェア定義無線(SDR)が偽のGPS信号をブロードキャスト | 車両とドローンが偽の場所に誘導 |
| CANバス攻撃(ジープハック) | Miller and Valasek(2015年)——開示済み | 2014年Jeep Cherokee | Uconnectモバイルモデムへのリモートエクスプロイト経由でCANバスインジェクション | 高速走行中にハンドル、ブレーキ、加速のリモート制御を実証 |
| 注記 | 上記はすべて研究/責任ある開示のコンテキスト | — | — | 2026年中旬時点で、物理的危害を引き起こした悪意のある自動運転サイバー攻撃は確認されていない(推定) |
第3節 — TeslaとWaymoのセキュリティアーキテクチャ比較
| セキュリティ次元 | Tesla | Waymo |
|---|---|---|
| OTA更新署名 | すべてのソフトウェア更新に暗号学的コード署名;検証済みブートチェーン;車内ハードウェアセキュリティモジュール(HSM)(推定) | 同じアプローチ;Alphabetレベルのセキュリティ基準を適用(推定) |
| HDマップ攻撃面 | Teslaのビジョン専用アプローチはHDマップ攻撃面を完全に排除——侵害されるマップパイプラインが存在しない | WaymoのHDマップ依存は追加の攻撃面を生み出す;マップの整合性をセンサーデータと継続的に検証する必要がある |
| 推論場所 | 完全車載——HW4がすべての推論をローカルで実行;運転判断にクラウドAPI依存なし(推定) | 主に車載(推定);エッジケースでの人間による監視のためにリモートアシスタンスチャンネルが残る |
| モバイル接続 | Tesla車両はOTA、リモート監視、センチネルモードのためにLTE/5Gを持つ;モバイルインターフェースは攻撃面 | Waymo車両はリモートアシスタンスとフリート運営のためにモバイル接続を持つ;攻撃面が存在する |
| バグバウンティプログラム | Teslaは公開バグバウンティプログラムを持つ(推定);研究者への車両脆弱性開示報酬を支払っている | Alphabet/Waymoはセキュリティ研究プログラムを持つ(推定) |
| アーキテクチャ上のセキュリティ優位性 | ビジョン専用アーキテクチャはHDマップを攻撃ベクターとして排除;ビジョン推論は車載のみ | マップ依存アーキテクチャは継続的なマップパイプラインセキュリティが必要;Alphabetセキュリティ基準による多層防御が優位性 |
第4節 — 自動運転サイバーセキュリティが基準次元である理由
| 含意 | 詳細 |
|---|---|
| 物理的結果 | 成功した自動運転攻撃はデータ侵害ではない——公共空間での潜在的な車両制御事象;結果の重大性はほとんどのサイバー攻撃より根本的に高い |
| フリート全体の相関リスク | 侵害されたOTAパイプラインはすべての車両に同時影響;人間のドライバー(各自独立)とは異なり、数千台の同一自動運転ソフトウェアスタックのフリートは完全に相関したサイバーリスクを持つ |
| 規制要件 | NHTSAは現代車両のサイバーセキュリティベストプラクティスガイダンスを持つ;EU UNECE WP.29 R155規制は2024年7月からすべての新車型に認定サイバーセキュリティ管理システム(CSMS)を義務付ける |
| EU R155市場参入 | 2022年7月以降に承認されたすべての新車型(2024年7月から全新車に義務)は認定CSMSを持つ必要がある——Teslaおよび将来のWaymoのEU事業に適用 |
| 競争上の堀 | 最強のセキュリティアーキテクチャを持つ企業は、セキュリティ認証が前提条件となるより高セキュリティ環境(政府回廊、空港輸送ゾーン、病院キャンパス)に拡張できる |
| 中国V2Xインフラリスク | 政府が展開するV2Xインフラを使用する中国の自動運転車両はそのインフラを信頼する必要がある;侵害された都市V2Xシステムは複数の自動運転会社に同時影響する可能性 |
第5節 — 防御アーキテクチャ基準目標
| 防御次元 | 現在の状態(推定) | 基準目標 | 優先度 |
|---|---|---|---|
| OTAパイプラインセキュリティ | 暗号学的署名が展開済み(推定);車内HSM(推定) | ハードウェア信頼ルート+独立CA+必須ローテーションスケジュール | 重要 |
| センサースプーフィング防御 | センサーフュージョンが部分的保護を提供;正式なスプーフィング検出レイヤーなし | スプーフィングパターンと一致するLiDAR-カメラの不一致をフラグするクロスモーダル異常検出 | 高 |
| HDマップ整合性 | 署名済み更新(推定);部分的な車載整合性チェック | 完全な暗号学的検証+リアルタイムセンサー整合性クロスチェック | 高(Waymo固有) |
| CANバス分離 | 2015年以降改善;統一的に認定されていない | 接続スタックと車両制御ネットワーク間のハードウェアファイアウォール | 高 |
| インシデント報告 | 米国では任意;EU R155では義務 | 安全規制当局への自動運転サイバーインシデントの義務報告 | 規制上のギャップ |
注記: 「(推定)」と表示されているすべての数字は、2026年中旬時点の公開情報、開示された研究成果、およびエンジニアリング推定から導出されている。TeslaとWaymoのセキュリティアーキテクチャの詳細は完全には公開されていない;推定値は入手可能な情報に基づいており、方向性のある参考値として扱うべきである。本稿はセキュリティアドバイスを構成するものではない。
ソース
- NHTSA 現代車両サイバーセキュリティベストプラクティス — NHTSA ↗
- UNECE WP.29 サイバーセキュリティ規制 R155 — UNECE ↗
- Tencent Keen Security Lab Tesla研究 — Keen Security Lab ↗
- LiDARスプーフィング研究 — IEEE S&P / 学術 ↗
- Teslaバグバウンティプログラム — Tesla ↗