1台のクルマに、いったいどれほどのソフトウェアコードが詰め込まれているのか。業界の試算では、すでに数億行に達するとされる。半導体設計大手シノプシスによれば、2027年にはそのコード行数が6億行を超えると予測されている。一般的なPCのOSと比べても、その数倍に相当する規模だ。「ソフトウェア定義車両(SDV)」という言葉はまだ耳慣れないかもしれないが、現実はすでにその段階に達している。加速・制動・操舵といった根幹機能までソフトウェアが制御し、無線通信(OTA)で機能の追加や変更が可能になった。クルマはいま、「車輪のついた機械」から「走るコンピュータ」へと変貌を遂げている。
問題は、コンピュータになった瞬間、ハッキングの標的にもなるということだ。かつてクルマをハッキングするには、物理的に車両へ接触する必要があった。しかし今は違う。Wi-FiやLTEモジュール、NFCベースのデジタルキー、OTA、そしてV2X(車両・インフラ間通信)など、外部との接続経路は飛躍的に増えた。攻撃者にとって、これら一つひとつが遠隔侵入の糸口となる。実際、セキュリティ研究者が数キロ離れた地点から車両のブレーキシステムを遠隔操作したり、自動運転センサーを意図的に攪乱する実験に成功した事例が、すでに複数報告されている。
グローバルセキュリティ企業カスペルスキーが発表した「2026年 自動車産業サイバー脅威展望」レポートは、車両内部のECU(電子制御ユニット)、CANバス、OBDポートはもちろん、あらゆる無線インターフェースが攻撃対象として開かれていると指摘する。SDV環境では外部ネットワークと車両内部の制御系が構造的につながるため、外部からの攻撃が車両の根幹機能に直接波及しうるという警告だ。同社は「物理的に車両へ触れることなく制御システムへアクセスできる可能性が高まっている」と述べ、メーカーとサプライチェーン全体が脅威モデルを根本から見直し、車両の内外を包括するセキュリティアーキテクチャを再構築する必要があると強調している。
こうした脅威は、もはや絵空事ではない。コネクテッドカーが普及すればするほど、被害の規模と波及力は増大する。1台の脆弱性が、同一ソフトウェアを搭載した数十万台へ同時に影響を及ぼしかねない構造だからだ。さらにタクシー・カーシェアリング・物流といったモビリティサービスまでが連携するいま、サイバー攻撃ひとつで大規模なサービス停止や個人情報漏洩が引き起こされるリスクは、一層深刻なものとなっている。
各国の規制当局はすでに本格的な対応に乗り出している。国連欧州経済委員会(UNECE)は、自動車サイバーセキュリティ管理体制(CSMS)とソフトウェアアップデート管理体制(SUMS)の整備を義務付けたUN-R155を施行中だ。EUは2024年7月から域内で生産・販売されるすべての車両にこれを適用している。さらにEUサイバーレジリエンス法(CRA)が2024年12月に発効し、2027年12月の全面施行に向けた移行期間に入った。一般乗用車はUN-R155の適用対象外となるものの、テレマティクスモジュール・充電インフラ・インフォテインメントソフトウェアなど単体流通部品や、農業機械・建設機械といった非道路車両は直接の規制対象となる。
結局のところ、セキュリティを設計の初期段階からどこまで組み込めるかは、もはや競争力の話にとどまらない。市場に参入できるかどうかを左右する、参入資格そのものの問題になった。業界関係者はこう話す。「SDVへの移行が加速するなかで、1台のセキュリティ上の欠陥が、同一ソフトウェアを積んだ数十万台に同時波及する構造が現実になっている。セキュリティ設計を内製化できないメーカーは規制対応すら不可能になり、最終的には市場からの退場を余儀なくされる時代が来た」
