2026-06-18 — views
Physical AIサイバーセキュリティ2026 — WaymoのLIDARスプーフィング対TeslaのFSD敵対攻撃:自動運転セキュリティベンチマーク
Waymoのマルチセンサー融合がLIDARスプーフィングと敵対的パッチを抑制。Tesla純視覚FSDは異なる攻撃面に直面。OTAセキュリティは両者に重要。
Physical AIベンチマークシリーズ第210回 — 自動運転サイバーセキュリティ詳細分析
コンシューマーエレクトロニクスにおけるサイバーセキュリティはデータ保護の問題です。自動運転車のサイバーセキュリティは安全の問題です。攻撃者がスマートスピーカーの脆弱性を悪用した場合、結果はプライバシー侵害です。攻撃者が自動運転車の脆弱性を悪用した場合、結果は高速道路で数トンの機械が緊急ブレーキをかけたり、誤った目的地に向かったり、信号を無視したりすることになる可能性があります。現代の自動運転車の攻撃面は、無線通信、センサーハードウェア、測位システム、車両制御ネットワーク、乗客アプリケーション、無線(OTA)ソフトウェア更新インフラにまたがっており、その多様性はあらゆるコンシューマーデバイスカテゴリを上回ります。
本記事では、2026年におけるWaymoとTesla FSDの自動運転サイバーセキュリティを評価します。研究者が実証した攻撃カテゴリ、各社のアーキテクチャが露出にどう影響するか、どの規制フレームワークが義務化されているか、そしてハードウェア変更なしには解消できない構造的セキュリティ優位性について解説します。(推定値)と記されたすべての数値は、企業が公式開示を行っていない場合の推定値です。
第1節 — 自動運転の攻撃面:サイバーセキュリティがなぜ安全問題なのか
サイバーセキュリティ問題と安全問題の違いは、自動運転セキュリティフレームワークにおける最も重要な概念です。コンシューマーIoTでは、サイバー攻撃の成功はデータやサービスの可用性を危険にさらします。自動運転車では、サイバー攻撃の成功は物理世界に直接作用する可能性があります——緊急ブレーキ、ステアリングの変化、または乗客を乗せて高速走行中の測位能力の喪失。これは脅威モデルを根本的に変えます:攻撃者の目的はデータ抽出ではなく、物理的な結果です。
自動運転の攻撃面は複数の層を持ちます:
無線通信 — すべての現代的な自動運転車は、OTAソフトウェア更新、フリート監視、リモート操作のためにLTEまたは5Gセルラーモデムを搭載しています。このモデムは車両とインターネットの常時接続です。1日1〜2時間しか走行しない個人車両とは異なり、商業自動運転フリートは継続的に運行しており、攻撃暴露時間を桁違いに延ばします。
センサーハードウェア — LIDARセンサーはレーザーパルスを発射・受信して3Dポイントクラウドを構築します。カメラシステムはリアルタイム映像を取得します。レーダートランシーバーは速度と距離を測定します。各センサーは原則として標的にされる可能性があります:LIDARレシーバーは外部からのレーザーパルスを受け取ることができ、カメラは敵対的な視覚パターンによって欺かれる可能性があり、レーダーはジャミングやスプーフィングを受ける可能性があります。センサー層は従来のコンシューマーデバイスにはなかった物理的攻撃面です。
測位システム — GPS/GNSS信号は非常に弱く(推定受信電力 -130 dBm(推定値))、ジャミングやスプーフィングに対して脆弱です。GPS環境が侵害された場合、自動運転車の位置推定が破壊される可能性があります。各自動運転システムがGPS劣化をどのように処理するか——フォールバック測位方法を通じて——は重要なセキュリティアーキテクチャの決定です。
車両制御ネットワーク — CANバスは安全クリティカルな車両システム(ステアリング、ブレーキ、スロットル)を電子制御ユニットに接続します。当初はセキュリティを考慮せずに設計されており、CANバスは古典的な自動車研究(2015年のMillerとValasekによるJeep Cherokee遠隔ハック)で悪用可能であることが実証されています。現代の自動運転車はアーキテクチャ上の改善を行っていますが、ネットワーク接続コンポーネントがCANにブリッジできる場合、車内ネットワークは依然として重要な攻撃面です。
乗客インターフェース — コンシューマー向けモバイルアプリ(WaymoアプリやTeslaアプリ)は、数百万人のユーザーにAPIエンドポイント、OAuthフロー、アカウント管理インターフェースを公開しています。侵害されたモバイルアプリやバックエンドは、車両位置、旅行履歴、またはアカウントアクセスを露出する可能性があります。
リモートオペレーションセンター — Waymoの商業フリートにはリモート操作機能があります:訓練されたオペレーターが旅行を監視し、車両が新しい状況に遭遇した際に介入できます。侵害されたリモートオペレーションセンターは、理論上フリートの行動に影響を与える可能性があります。
OTAソフトウェア更新 — 自動運転の攻撃面で最も価値の高いターゲットです。OTAの成功したエクスプロイトは、フリート内のすべての車両に同時に影響を与えます。WaymoとTeslaの両方が無線でソフトウェア更新を提供します。更新パイプラインのセキュリティ——サーバー認証から車両での暗号署名検証まで——は最も重要な単一障害点です。
自動運転のサイバーセキュリティが従来の自動車サイバーセキュリティと根本的に異なる理由は、3つの要因の組み合わせにあります:(1)自動運転車は公共空間で無人監視下で運行しており、サイバーセキュリティによって引き起こされた誤動作を人間がオーバーライドできない;(2)商業自動運転フリートは常時稼働・常時接続であり、継続的な攻撃暴露をもたらす;(3)自動運転の意思決定の安全クリティカルな性質は、成功した攻撃が単なるデータの結果ではなく、即座の物理的な結果をもたらすことを意味します。
第2節 — LIDARスプーフィングとセンサー攻撃:研究者が実証したもの
| 攻撃カテゴリ | 実証済み? | 手法 | Waymoの露出 | Tesla FSDの露出 | 緩和状況 |
|---|---|---|---|---|---|
| LIDARスプーフィング(幽霊物体) | YES — 研究で実証済み(Duke/UCSB/Michigan チーム):攻撃者はレーザー装置を使用して自動運転LIDARの認識に偽のポイントクラウドデータを注入し、幽霊車両や歩行者を作成;幽霊車両への自動運転車の緊急ブレーキを誘発することが実証済み | LIDARレシーバーに向けた商業用レーザーダイオードアレイ;推定視線距離30〜100メートル以内(推定値)が必要;スプーフィングされたポイントはポイントクラウド内で固体物体として表示;USENIX SecurityとIEEE S&Pなどのトップセキュリティカンファレンスで複数の独立した実証 | WaymoはLIDAR+カメラ+レーダーのマルチモーダル融合を使用;攻撃者は自動運転車に行動を起こさせるためにすべての3つのモダリティで一貫した偽物体を同時に作成する必要がある;カメラとレーダーに存在しないLIDARの幽霊はフィルタリング可能;HDマップ一貫性チェックが追加の異常検知を提供 | Tesla FSDはカメラのみ(LIDARなし)を使用;上記定義のLIDARスプーフィングはTeslaのカメラのみのアーキテクチャには適用されない;ただしTeslaのカメラシステムはLIDARベースシステムとは異なる形で影響を受ける敵対的パッチ攻撃に直面している | Waymoの緩和:マルチモーダル融合によりスプーフィングが大幅に困難になるが不可能ではない;マルチモーダル不一致の異常検知;スプーフィングパルスタイミングを検知するLIDARレシーバーハードウェア修正;Tesla:LIDAR スプーフィング非該当 |
| カメラ敵対的パッチ | YES — 研究で実証済み(UW/UCSB/Michigan):道路標識や路面に貼り付けられた小さな印刷パターンがニューラルネットカメラシステムの誤分類を引き起こす;制御された環境でSTOP標識の誤分類と速度制限の誤読が実証済み | ニューラルネット分類器に対して最適化された特定の高コントラストパターン;物理的な表面(停止標識、車線マーキング)に貼り付け可能;電子機器や車両への接近不要——標識のステッカーが通過するすべての車両に影響を与える可能性 | WaymoはLIDAR+カメラ+レーダーの融合を使用;敵対的パッチが貼られたSTOP標識はHDマップ上の正しい3D位置に依然として存在し、LIDARによって標識形状の物体として検出可能;カメラ分類の失敗はLIDARマップ位置との交差検証が可能;カメラのみのシステムより大幅に耐性が高い | Tesla FSDはカメラのみ;カメラ分類器を標的とした敵対的パッチはTeslaの最も直接的なセンサー層のセキュリティ懸念事項;Teslaのエンドツーエンドニューラルネットは多様な標識状況でのトレーニングから暗黙の堅牢性を持つ可能性があるが、敵対的パッチはニューラルネットを欺くために特別に最適化されている | マルチモーダル融合(Waymoの優位性);時間的一致性チェック(アプローチ中に外観が変化する標識は異常);フリート全体の異常検知;ニューラルネット開発中の敵対的トレーニング |
| GPSスプーフィングとジャミング | YES — 民間環境で実証済み:商業デバイスによるGPSジャミング;ドローンアプリケーションや軍事紛争地域付近でGPSスプーフィングが実証済み;GPS信号は弱く(推定 -130 dBm(推定値))干渉を受けやすい | 市販のGPSジャマー;GPSスプーフィングには信号生成機器が必要;信号が弱く干渉を受けやすい | Waymoの主要測位:HDマップと照合したLIDARポイントクラウド(GPSではない);GPSは二次入力;GPSがLIDARマップマッチングと矛盾する場合、LIDARマップマッチングが優先される;LIDARマップマッチングも欺けないGPSスプーフィング攻撃はWaymoの測位に無効 | Tesla FSD測位は視覚的ランドマーク(車線、道路標識、建物のファサード)に依存した位置推定が多い;GPSはマップマッチングとルーティングに使用;視覚ベースの測位はGPSスプーフィング耐性を提供するが、視覚的ランドマークの品質と環境の密度に依存 | LIDARマップマッチング(Waymo)と視覚慣性測位(Tesla)がフォールバック測位を提供;マルチコンステレーション・マルチ周波数GPSアンテナ設計がスプーフィング検知を改善;IMUがGPS失敗時の短期デッドレコニングを提供 |
| OTAソフトウェア更新攻撃 | NO — 量産自動運転フリートでの公開実証なし;理論上高価値な攻撃ベクター;非自動車IoTで類似攻撃が実証済み;TeslaとWaymoのOTAインフラは両方とも暗号署名を使用 | OTA更新サーバーを侵害するか配布チャンネルを傍受;悪意のあるファームウェアを車両にプッシュ;単一の侵害がフリート全体に同時に影響 | Waymoの推定2,500台の商業車両(推定値);安全クリティカルなドライブシステムはインターネット接続更新システムからエアギャップで隔離されており、OTA攻撃の爆発半径を制限 | Teslaの推定600万台以上のコンシューマーFSD対応車両(推定値)は自動車業界最大のOTA攻撃面を代表;TeslaはOTAセキュリティ強化の10年以上の経験を持つ;HSMベースの鍵管理 | 両社は暗号コード署名を使用;ハードウェアセキュリティモジュールが署名鍵を保護;更新適用前の車両での署名検証;攻撃には配布チャンネルではなく署名インフラまたは鍵保管の侵害が必要 |
| CANバスと車内ネットワーク | YES — 古典的な自動車研究(Miller/Valasek 2015年Jeep Cherokee遠隔ハック);現代の自動運転車はCANセキュリティを改善 | 物理的なOBDポートアクセスまたはCANにブリッジする侵害されたネットワーク接続コンポーネント経由;物理アクセスまたはネットワークコンポーネントの事前侵害が必要 | Waymo商業フリート:物理攻撃には商業車両へのアクセスが必要;フリート管理が車両アクセスを制御;インターネットシステムと安全クリティカルなCANシステム間のエアギャップがリモートからCANへの攻撃経路を制限 | Teslaコンシューマー車両:物理的なOBDアクセスは車両オーナーが利用可能;Teslaは安全クリティカルとインフォテインメントネットワークを分離するゾーンベースのCANアーキテクチャを実装;しかし個人の手にある数百万台の車両はWaymoの管理された商業フリートより多様な物理アクセスシナリオを生む | 現代の自動運転アーキテクチャはハードウェア分離、ファイアウォール、暗号アクセス制御により安全クリティカルシステムをインターネット接続システムから隔離 |
第3節 — 自動運転サイバーセキュリティの規制・標準状況
| 標準/規制 | 管轄区域 | 主要要件 | 自動運転への適用 | 状況 |
|---|---|---|---|---|
| UNECE WP.29サイバーセキュリティ | EU、日本、韓国(義務);グローバルデファクトスタンダード | サイバーセキュリティ管理システム(CSMS)認証を要求;車両ライフサイクル(設計、製造、製造後)を網羅;メーカーは車両生涯にわたりCSMSを維持・更新する必要がある | EU、日本、韓国市場のWaymoとTesla車両に直接適用;すべての車両システムへの脅威分析とリスク評価(TARA)を義務化;インシデント監視と対応を義務化 | 2022年7月よりEU、日本、韓国での新型式認証から義務化;最も厳格でグローバルに広く採用されている自動運転サイバーセキュリティ標準 |
| ISO/SAE 21434 | グローバル標準(非義務) | 自動車サイバーセキュリティエンジニアリング標準;TARA方法論;セキュリティバイデザインライフサイクル;製造後のサイバーセキュリティ管理 | UNECE WP.29コンプライアンスが参照する技術工学標準;自動車サイバーセキュリティプロセスの構築方法を定義;LIDARスプーフィング、OTA攻撃、センサー敵対攻撃のTARAはこのフレームワークでカバー | 2021年8月発行;自動車サプライヤーにベースラインとして広く採用;Waymo、Tesla、Auroraにセンサーを提供するTier 1サプライヤーはISO/SAE 21434に準拠する必要がある |
| NHTSA サイバーセキュリティベストプラクティス | 米国(自主的ガイドライン、2022年) | 自動車サイバーセキュリティの自主的ベストプラクティス;アクセス制御、脅威監視、インシデント対応、OTA更新、ネットワーク分離を網羅 | 米国販売車両への自主的ガイダンス;NHTSAは義務的規則への移行を進めているが、まだ義務的な自動車サイバーセキュリティ規制を制定していない | 2026年時点で自主的;NHTSA Moving Forward規制アジェンダには義務的CSMS規則の提案が含まれる;米国は義務的自動運転サイバーセキュリティ規制においてEUに遅れを取っている |
| 中国 GB/T 38628 | 中国(コネクテッドカー義務) | コネクテッドカー向けサイバーセキュリティ管理システム標準;UNECE WP.29と同様の範囲 | 中国で販売されるすべてのコネクテッドカーに適用;Tesla上海製造拠点にとって特に重要;中国標準はデータローカリゼーション——中国で収集された自動運転データは中国に留まらなければならない——を強調 | 中国で義務化;MIITが施行;データ主権要件はグローバルデータパイプラインを持つ外国自動運転企業の複雑さを増す |
| SAE J3061 | 米国/グローバル(自主的) | サイバー物理車両システム向けサイバーセキュリティガイドブック;自動車サイバーセキュリティエンジニアリングのプロセスフレームワーク | ISO/SAE 21434の前身;業界で広く参照;自動運転サイバーセキュリティ設計プロセスに関連 | 2016年発行;新しいプログラムではISO/SAE 21434に部分的に置き換えられている;既存のプログラムでは依然として参照されている |
| EU NIS2指令 | EU(義務) | 重要インフラのネットワークと情報セキュリティ要件;運輸部門が含まれる | コネクテッドカーインフラ(フリート管理サーバー、OTA更新インフラ、リモートオペレーションセンター)はNIS2の重要インフラ要件に該当する可能性がある | 2024年10月までにEU加盟国の法律に転置;EUでの自動運転フリートオペレーターはNIS2インシデント報告要件を遵守する必要がある |
第4節 — セキュリティアーキテクチャ比較:Waymo対Tesla FSD
| セキュリティ次元 | Waymo | Tesla FSD | 優位性 | 主要な不確実性 |
|---|---|---|---|---|
| 攻撃に対するセンサー冗長性 | マルチモーダル融合(LIDAR+カメラ+レーダー+HDマップ):攻撃者は複数の独立したセンサーを同時に欺く必要がある;これがWaymoの最大の構造的サイバーセキュリティ優位性 | カメラのみ:カメラシステムへの成功した敵対的攻撃を捕捉する独立したLIDARやレーダーの検証がない;冗長性は時間的(複数フレーム)と幾何学的(複数角度)だがモダリティベースではない | Waymo:マルチモーダルセンサー冗長性はハードウェア変更なしにカメラのみのシステムでは対応できない構造的セキュリティ優位性 | Waymoのマルチモーダル融合は実際の生産環境で敵対的パッチ攻撃を実際にキャッチするか?学術研究は管理された環境;現実世界の敵対的パッチの耐久性(天気、照明、物理的摩耗)が攻撃有効性に影響 |
| フリート攻撃面 | 推定4米国都市で2,500台の商業車両(推定値);管理された商業展開;フリート管理が車両への物理アクセスを制御;より小さい総ネットワーク面 | 数十カ国で推定600万台以上のコンシューマーFSD対応車両(推定値);プライベートな消費者所有は多様で管理が難しい物理アクセスを意味する;自動車業界最大のOTA攻撃面 | Tesla:FSDの規模はセキュリティの複雑さを生むが、セキュリティ投資リソースももたらす;Teslaの10年以上のコンシューマーOTAセキュリティ強化経験は意味のある運用経験 | Teslaの規模は、成功したフリートレベルの攻撃が同等のWaymo攻撃より推定2,400倍の影響範囲を持つことを意味する(推定値);この非対称性が最も重要なセキュリティリスクの比較かもしれない |
| OTA更新セキュリティ | 安全クリティカルシステムのエアギャップ(ドライブシステムはインターネット接続更新システムから隔離);暗号コード署名;小さいフリートにより1台が異常行動を示した場合の異常検知が速い | HSMベースの鍵管理;暗号コード署名;フリート全体の段階的OTA展開(最初にフリートの少割合にプッシュ、監視後に拡大);10年以上のコンシューマーOTAセキュリティ強化 | 同等(両社とも強力なOTAセキュリティプログラムを持つ);Teslaはより多くの実際のOTA強化年数を持つ;WaymoのCSの安全クリティカルシステムへのエアギャップは爆発半径の制限を提供 | エアギャップアーキテクチャは理想的な設計;問題はWaymoの実装が完全に実現されているか、またはブリッジされたコンポーネントが存在するかどうか |
| バグバウンティプログラム | Waymoはセキュリティ脆弱性開示プログラムを持つ;範囲には車両システム、クラウドインフラ、モバイルアプリが含まれる | 2014年からのTeslaバグバウンティ;自動車業界最長期間のバグバウンティプログラムの一つ;大幅な報酬を支払ってきた;セキュリティ研究者コミュニティがTeslaシステムに精通 | Tesla:10年以上のプログラム履歴はより多くの研究者がTeslaセキュリティを研究し、より多くの脆弱性が発見・修正されたことを意味する;Waymoのプログラムはより新しく研究者コミュニティが小さい | バグバウンティの有効性は研究者コミュニティの規模と報酬水準に依存;大規模なプログラムは時間とともにより多くの脆弱性を発見・修正する |
| 規制コンプライアンス | UNECE WP.29は目標拡大市場で義務化;米国NHTSAの自主的ガイドラインを遵守;ISO/SAE 21434工学標準 | UNECE WP.29はTeslaが販売するEU、日本、韓国市場で義務化;米国NHTSAは自主的;中国GB/T 38628は上海運営に重要 | 同等(両社とも同じ義務的標準の対象);Teslaのより大きな中国製造拠点は中国GB/T 38628を運営上より重要にする | NHTSAの義務的CSMS規則が制定された場合、両社にとって最も影響の大きい米国規制変化となる |
第5節 — Physical AIサイバーセキュリティベンチマークスコアカード
| セキュリティ次元 | Waymo | Tesla | Aurora(自動運転トラック) | 2028年展望 |
|---|---|---|---|---|
| センサー攻撃耐性 | 高:マルチモーダル融合(LIDAR+カメラ+レーダー+HDマップ)は攻撃者が複数の独立したモダリティを欺くことを要求;センサー層攻撃の構造的優位性 | 中:カメラのみは潜在的な敵対的パッチの脆弱性を生む;時間的・幾何学的冗長性で補完されるがモダリティ冗長性ではない | 高:Aurora DriverはWaymoと同様のLIDAR+カメラ+レーダー融合を使用;高速道路限定の運用設計領域により都市部の敵対的パッチシナリオへの露出が少ない | Tesla FSDがカメラのみである限り、WaymoとAuroraの構造的センサーセキュリティ優位性は持続;Teslaがレーダー冗長性を追加すればギャップが縮まる |
| フリートレベルの攻撃面 | 低(管理済み):推定2,500台の商業車両(推定値);管理された物理アクセス;より小さいクラウド面 | 高:推定600万台以上のコンシューマー車両(推定値);多様なプライベート所有;世界の自動車業界最大のOTA面;10年以上のセキュリティ強化で補完 | 低(管理済み):商業トラックフリート;管理されたデポアクセス;Waymoより小規模 | Teslaの規模は継続的なフリートレベルのセキュリティ複雑さを生む;WaymoとAuroraの小さな商業フリートは本質的により管理しやすい |
| OTA更新セキュリティ | 高:安全クリティカルエアギャップ+暗号署名;小さいフリートにより異常検知が速い | 高:10年以上のコンシューマー強化;HSM;段階的展開;しかし数百万台の車両が更新サイクルごとの露出ウィンドウを延ばす | 高:商業フリート、管理された更新展開 | WaymoとTeslaの両方が成熟したOTAセキュリティを持つ;Teslaの追加コンシューマー強化年数は攻撃面が大きいにもかかわらず意味のある能力優位性 |
| 規制コンプライアンス態勢 | 高:UNECE WP.29は目標拡大市場で義務化;積極的なコンプライアンスプログラム | 高:UNECE WP.29は現在のEU、日本、韓国市場で義務化;中国GB/T 38628積極的 | 中高:トラック固有の規制環境;同様の義務的標準が適用 | グローバルな義務的標準(UNECE WP.29、中国GB/T 38628)がこれらの市場で運営するすべての自動運転企業のベースラインとなる |
| 総合評価 | 2026年の自動運転サイバーセキュリティは、Waymoがセンサー層で構造的優位性を持つ(マルチモーダル融合によりセンサースプーフィングがカメラのみのシステムより大幅に困難)が、Teslaはより深いセキュリティ文化の優位性を持つ(10年以上のコンシューマーOTAセキュリティ強化、最長のバグバウンティプログラム、大規模な内部セキュリティチーム)。最も重要な未解決リスクは規模:Tesla推定600万台以上の車両(推定値)への成功したフリートレベル攻撃は、Waymo推定2,500台のフリートへの同等の攻撃より約2,400倍の影響範囲を持つ(推定値)。最も重要な構造的セキュリティ優位性はWaymoのマルチモーダルセンサー融合——カメラの敵対的パッチとLIDARスプーフィングはLIDAR、カメラ、レーダー、HDマップを同時に欺くことはできない。Tesla FSDがハードウェアモダリティ冗長性(レーダーまたは他の非カメラセンサー)を追加するまで、この構造的ギャップは持続する。 |
出典:UNECE WP.29サイバーセキュリティ規制(unece.org);ISO/SAE 21434自動車サイバーセキュリティエンジニアリング(iso.org);NHTSA現代自動車向けサイバーセキュリティベストプラクティス(nhtsa.gov);Teslaバグバウンティプログラム(tesla.com/support/security)。学術研究参考:USENIX Security、IEEE S&P自動車サイバーセキュリティと敵対的機械学習カンファレンス論文集。(推定値)と記されたすべての数値は、公開開示、規制申請、第三者報告に基づく推定値であり、独立して検証されておらず、企業の内部データとは異なる場合があります。
ソース
- UNECE WP.29サイバーセキュリティ規制 — UNECE ↗
- ISO/SAE 21434自動車サイバーセキュリティエンジニアリング — ISO ↗
- NHTSA現代自動車向けサイバーセキュリティベストプラクティス — NHTSA ↗
- Teslaバグバウンティプログラム — Teslaセキュリティ ↗