目次
●關於汽車網絡安全的意識調查結果
●汽車被駭客入侵的實驗結果是？
●汽車網絡安全法規「UN-R155」是什麼？
●汽車製造商所需的可靠性

關於汽車網絡安全的意識調查結果

---

2024年6月10日Trend Micro子公司「VicOne」發佈了關於汽車網絡安全的意識調查新聞稿。

下圖為調查結果之一，問卷中提到「假設汽車遭遇網絡攻擊，以下哪一種安全性風險最為嚴重？」，以下為回答彙整（選項包括「不清楚」在內共四個選項）。

除了「不清楚」選項外，最多的回答是「隱私/數據保護的安全性」，其次是「經濟損失的安全性」。這兩方面在智能手機和電腦的安全性中也被高度重視。

剩下的選項「物理/交通安全性」是汽車特有且重要的安全要素，但看起來並沒有很多人對其持有「可能會成為網絡攻擊對象」的意識。

隨著「智慧聯網汽車」增加，總覺得可能會發生操控汽車劫持的網絡犯罪，這是否只是筆者擔憂過頭？

是否認為智慧聯網汽車有風險？

根據VicOne的調查，擔心汽車被網絡攻擊劫持或發生交通事故的人似乎比較少。筆者對此感到好奇，因此在知識家網站上提出了「是否認為智慧聯網汽車有危險性或缺點？」之問題。

●以下是收到的三個回覆：

．「智慧聯網汽車可上網或遠端操控，還配有空調和立體音響，過於方便，不禁會想這樣是否不需要再移動了？（U先生）」

．「透過網路控制汽車，解鎖和啟動引擎後被盜的風險似乎存在。我覺得應該將智慧型手機功能和鑰匙及駕駛功能分開。（H先生）」

．「被駭客劫持駛向十字路口的群眾，造成重大事故……這樣的情況是有可能發生的。（O先生）」

此次得到的回答只有上述三個，而擔心汽車被劫持的回答就佔了兩個，相對較多，關於隱私泄露的回答則為零。

這樣的結果有些出乎意料，但也許認為「智慧聯網汽車被駭客劫持為可能」的人並不少。那麼，這些擔憂是否有可能變成現實呢？筆者決定進一步調查智慧聯網汽車的劫持風險和網絡安全問題。

汽車被駭客入侵的實驗結果是？

---

在調查關於智慧聯網汽車駭客攻擊的資料時，筆者發現了一個2015年報導的實驗。這項實驗成功地從16公里外遠程操控了一輛正在行駛中的Jeep Cherokee。

被駭客操控的功能包括空調、收音機、雨刷及油門。特別令人擔憂的是油門被劫持，但即便是收音機或雨刷被操控，也可能在某些情況下引發危險（比如在雨天時突然雨刷失靈……）。

值得一提的是，這次實驗中被駭客攻擊的Cherokee所搭載的是「Uconnect」系統。

根據進行實驗的研究人員所說，只要知道車輛的IP，就可透過網絡侵入車輛的控制系統。甚至可以遠程停止引擎或使煞車失靈……這不是一件非常恐怖的事嗎？

汽車網絡安全法規「UN-R155」是什麼？

---

駭客遠程操控智慧聯網汽車是有可能的。不過，對此風險已經有了一些應對措施。

像是UNECE（聯合國歐洲經濟委員會）於2021年實行汽車網絡安全法規「UN-R155」，並要求UNECE成員國逐步實施這一法規。

簡單來說，UN-R155是為了讓市場上流通的汽車具備抵禦網絡攻擊的能力所制定的。日本已經將UN-R155納入「道路運送車輛法」，並根據UNECE制定的時程表推進相關對策。

截至2024年6月，所有新型車輛無論是否支援OTA（無線網絡通訊），都必須遵守UN-R155的規定。還計劃在2026年5月將所有持續生產的車輛也變成規範的對象（支援OTA持續生產車輛將於2024年7月1日起成為規範對象）。

保證網絡攻擊安全性的CSMS

UN-R155規定了汽車網絡安全及網絡安全管理系統（CSMS）的標準。CSMS是管理網絡安全，保證車輛整個產品生命周期內的安全性。

在UNECE成員國流通UN-R155規範對象的車輛前，必須先建立符合國際標準的CSMS，並通過審查。

在此基礎上遵從CSMS開發車輛，並通過車輛型式審查後，該車型便能獲得生產所需的型式認證。此外，獲得認證的車輛會依據CSMS持續進行安全檢查，從而維持網絡攻擊的安全性。

整體來看，UN-R155似乎是經過精心考慮的法規。但實際上有些部分仍由製造商自行決定。

具體的判斷標準由製造商制定

UN-R155規範汽車網絡安全的基本方針，但具體標準制定則委託給製造商決定。舉例來說，評估車輛面臨的風險及對策的「風險評估標準」，是由汽車製造商制定。

此外，在車輛型式審查中，風險評估也會一併經過審查，製造商必須證明其遵循UN-R155法規。這樣看起來無論是審查方還是被審查方，都會面臨挑戰。

UN-R155本來就只是一個大概的方針，又該如何明確判定製造商制定的判斷標準合格與否呢？這是一個值得關注的問題，但作為消費者的我們只能相信「審查是嚴格且公正的」。

汽車製造商所需的可靠性

---

到目前為止探討了汽車網絡安全的相關問題，但最終駕駛者似乎只能相信汽車製造商主張「我們的車是安全的！」，因為網絡攻擊和對應安全性能是肉眼看不見的。

無論如何，汽車資訊化趨勢會持續，未來駭客與汽車製造商之間的網絡攻防戰將越來越激烈。在這種情況下汽車製造商需要比以往更高的信賴度。

最後稍微提及Netflix一部電影中的場景，描述了大量自駕車被駭客操控後追撞在一起，將道路擠滿。雖然這是科幻場景，但現代技術的恐怖之處在於「它不一定不會成為現實」。

希望汽車製造商能夠加強網絡安全，以防止這類嚴重犯罪有被實現的一天。

原文出處：イマドキの新常識“コネクテッドカー”に潜む恐ろしいリスク…「車のサイバーセキュリティ」ほとんどのユーザーが無頓着？
想看更多：MOBY