自動車ゼロデイ76件発見、御社の対策は万全かwn2Own Automotive 2026が示す車載セキュリティの現実

過去最高76件のゼロデイ脆弱性が自動車業界に警鐘を鳴らす

自動車サイバーセキュリティの脆弱性が、かつてないレベルで顕在化しました。2026年1月に開催されたPwn2Own Automotive 2026において、世界38チームが参加し、Tesla車両やEV充電器などから過去最高となる76件のゼロデイ脆弱性が発見されたとVicOneおよびTrend Zero Day Initiativeが発表しました。この結果は、コネクテッドカーや電動化が進む自動車業界全体に対する重大な警鐘といえます。

Pwn2Own Automotiveとは何か

Pwn2Own Automotiveは、自動車に特化したセキュリティ脆弱性発見コンテストです。世界中のセキュリティ研究者が集まり、実際の車両システムやEV充電インフラに対してハッキングを試み、未知の脆弱性（ゼロデイ）を発見することを競います。発見された脆弱性は、悪意ある攻撃者に悪用される前にメーカーへ報告され、修正が行われる仕組みとなっています。

今回の大会では、Tesla車両のインフォテインメントシステム、複数メーカーのEV充電器、車載オペレーティングシステムなど、幅広いターゲットが対象となりました。38チームという過去最大規模の参加があり、発見された76件という数字は前回大会を大幅に上回るものです。この結果は、自動車のデジタル化・ネットワーク化が進むほど、攻撃対象となる領域（アタックサーフェス）が拡大している現実を如実に示しています。

なぜ自動車サイバーセキュリティが経営課題なのか

自動車業界におけるサイバーセキュリティは、もはや技術部門だけの問題ではありません。2022年に施行されたUN規則（UN-R155）により、自動車メーカーはサイバーセキュリティ管理システム（CSMS）の認証取得が型式認定の要件となっています。これはサプライチェーン全体に波及するため、部品サプライヤも対応を迫られています。

脆弱性が発見された場合、リコール対応やソフトウェアアップデートに多額のコストが発生します。さらに深刻なのは、実際にサイバー攻撃を受けた場合のブランド毀損リスクです。コネクテッドカーの普及により、車両がハッキングされるリスクは、乗員の安全に直結する問題となっています。Pwn2Ownのようなコンテストで脆弱性が「善意の研究者」によって発見されることは、悪意ある攻撃者に先んじて対策を講じる貴重な機会なのです。

御社が今すぐ取り組むべき5つのアクション

今回の発見を踏まえ、自動車メーカーや部品サプライヤが早急に検討すべき対策があります。

まず第一に、自社製品・システムの脆弱性診断を実施することです。外部の専門機関による診断を定期的に受けることで、社内では気づきにくい脆弱性を洗い出せます。第二に、インシデント対応体制の構築が挙げられます。脆弱性が発見された際の報告ルート、修正パッチの配布体制、顧客への告知方法などを事前に整備しておくことが重要です。

第三に、サプライチェーン全体でのセキュリティ基準の統一です。自社だけでなく、取引先の部品メーカーにもセキュリティ要件を明確に伝え、遵守状況を確認する仕組みが必要となります。第四に、セキュリティ人材の育成と確保があります。自動車特有のセキュリティ知識を持つ人材は市場で不足しており、計画的な採用と育成が求められます。そして第五に、最新の脅威情報の継続的な収集です。Pwn2Ownのような大会結果や、業界のセキュリティ動向を常にウォッチし、自社の対策に反映させる体制づくりが欠かせません。

まとめ

Pwn2Own Automotive 2026で76件のゼロデイ脆弱性が発見されたことは、自動車業界のサイバーセキュリティ対策が急務であることを改めて示しました。コネクテッドカーの普及とともにリスクは拡大しており、経営層を巻き込んだ全社的な取り組みが求められています。

GXOは、180社以上の支援実績をもとに、セキュリティ診断からインシデント対応体制の構築まで、一気通貫でご支援いたします。自社のセキュリティ体制に不安をお持ちの方は、ぜひGXOにご相談ください。