IoT and Embedded Security: Firmware, Automotive, and Regulations

article technology medium #IoT#embedded security#automotive#UNECE R155#EU CRA#ISO 21434#Mirai#firmware
Created: 2026-05-31 Updated:

IoT・組込み・車載セキュリティの俯瞰。ファームウェアセキュリティ、Mirai ボットネット、CAN バス脆弱性、UNECE R155 / ISO 21434 / EU CRA 2024/2847 規制を体系的に解説。

IoT・組込み・車載セキュリティ

IoT(Internet of Things)・組込みシステム・自動車(車載)のセキュリティは、数十億台のデバイスが物理世界と接続する時代に急浮上した分野である。低スペック・長寿命・大量展開という制約が IT セキュリティの常識を覆し、攻撃者にとっては規模の優位性を利用できる巨大な攻撃面となっている。情報カットオフ ~2025-08、confidence: medium 固定(2026-05 時点での外部再検証は未実施)。

IoT の脅威面 — なぜ難しいのか

IoT デバイスは以下の特性から、セキュリティ確保が構造的に困難である。

  • 大量・均質: 同一ファームウェアを持つデバイスが数百万台展開されるため、単一の脆弱性が世界規模で悪用される。
  • 低スペック: CPU・メモリ・ストレージの制約から、フルの TLS スタックや暗号ライブラリを搭載できないケースがある。
  • 更新困難: エンドユーザが更新を意識しないデバイス(監視カメラ・ルーター・センサ)は数年間無更新で稼働し続ける。
  • 物理アクセス: デバイスが分散配置されるため、デバッグポート(UART・JTAG)や NAND フラッシュへの物理アクセスを攻撃者が得やすい。
  • 長期運用: 自動車・産業機器は 10〜20 年間使用される。出荷時点で安全だったとしても、その間に脆弱性が発見・悪用される。

これらの制約を踏まえ、設計段階からセキュリティを組み込む「Security by Design」が唯一の根本対策となる。

デバイス・ファームウェアセキュリティの基礎

ファームウェアはデバイスの「OS に相当するソフトウェア」であり、その完全性・真正性を保護することがデバイスセキュリティの核心である。

セキュアブート(Secure Boot): デバイス起動時にブートローダから OS・ファームウェアまで署名チェーンを検証し、改ざんされたコードの実行を防ぐ。Root of Trust(信頼の基点)はハードウェア焼き付きの公開鍵から始まる。

Root of Trust(RoT): TPM(Trusted Platform Module)・Secure Element・ARM TrustZone などのハードウェアセキュリティモジュールが RoT として機能する。秘密鍵の保護・セキュアブートの起点・リモートアテステーション(デバイスの健全性証明)を担う。

署名付き OTA(Over-the-Air)更新: ファームウェア更新パッケージに製造元の署名を付与し、デバイス側で検証してから適用する。更新を HTTPS で配信するだけでなく、署名検証・バージョンロールバック防止(ダウングレード攻撃対策)も実装する必要がある。

Secure Element(SE): 物理的に分離されたハードウェアチップで秘密鍵・認証情報を保護する。スマートカード・決済端末・スマートフォンの SIM スロット型 eSIM に広く使われる。

ファームウェアのバイナリ解析(リバースエンジニアリング)はファジングと並び、IoT 脆弱性発見の主要手法であるため、デバッグシンボルの除去・難読化も考慮すべきである。

IoT ボットネット — Mirai と規模の脅威

Mirai(2016 年) は IoT セキュリティの歴史を変えたボットネットである。デフォルト認証情報(admin/admin・root/password などメーカー出荷時のまま)を持つルーター・監視カメラ・DVR を Telnet でスキャンして感染し、最大 620 Gbps の DDoS 攻撃を実現した。Dyn(DNS プロバイダ)への攻撃により Twitter・Netflix・Reddit などが一時的に停止した。

Mirai のソースコードは公開されており、派生亜種(Botnet Miori・Moobot・Satori など)が現在も続々と観測されている。

Mirai が示したアンチパターンは以下の 2 点に集約される。

  1. デフォルト認証情報の放置: 出荷時の ID/パスワードをユーザが変更しないまま使い続けること。
  2. 不要なポート開放: UPnP・Telnet・SSH をインターネット側に無条件公開していること。

EU CRA・米国の IoT セキュリティ法など各国規制はこの教訓を受けてデフォルト認証情報の禁止を明示的に義務付けている。

車載通信セキュリティ — CAN バスと ECU

自動車内部のネットワークは、乗用車ではほぼ CAN(Controller Area Network) バスで構成される。1986 年設計の CAN は認証・暗号化を持たないブロードキャストバスであり、バスに接続した任意のノードが全メッセージを受信・送信できる。

CAN の脆弱性: バスに物理的にアクセスできれば、任意の ECU(Electronic Control Unit)になりすましてコマンドを送信できる。2015 年に Jeep Cherokee がリモートから完全に制御された実証(Charlie Miller & Chris Valasek)は車載セキュリティの転換点となった。OBD-II ポート経由での攻撃も実証されている。

ECU と攻撃面の拡大: 現代の自動車は 100 個以上の ECU を持ち、テレマティクス・Wi-Fi・Bluetooth・V2X(車車間通信)・OTA 更新といった無線接続が増加している。これにより以前はリモート不可能だった攻撃がリモートから実行可能になっている。

CAN 以降の車載ネットワーク: 高帯域・低レイテンシ要件を持つ ADAS(高度運転支援)・自動運転向けに、車載イーサネット(100BASE-T1 / 1000BASE-T1)・SOME/IP(Service Oriented Middleware over IP)が導入されつつある。ゲートウェイ ECU でドメインを分離し、攻撃の横断移動を抑制するアーキテクチャが標準化されている。

車載セキュリティ規制 — UNECE R155 と ISO 21434

UNECE WP.29 R155(2020 年採択) は自動車の型式認可に CSMS(Cyber Security Management System)の第三者認証を必須化した最初の国際規制である。

R155 の要求事項は以下を含む。

  • 開発・製造・廃車までのライフサイクル全体を通じたサイバーセキュリティ管理
  • 脆弱性の継続的な監視と対応(販売後を含む)
  • OTA によるセキュリティ更新の提供能力
  • 生産・廃車後少なくとも 10 年間の脆弱性対応

UNECE R156 は OTA ソフトウェア更新管理(SUMS)を定める姉妹規制であり、更新プロセスの完全性・真正性・安全な配信を義務付ける。

ISO/SAE 21434(Road vehicles — Cybersecurity engineering)は R155 が推奨する技術規格であり、TARA(Threat Analysis and Risk Assessment / 脅威分析・リスク評価)の実施方法・設計ガイドライン・テスト要件を定める。TARA は STRIDE 脅威モデリングの車載版に相当する。

これらの規制は日本・EU・韓国・中国などで適用が進んでおり、日本では 2022 年 7 月以降の新型車から義務化されている。

フィジカル連携とサイバーフィジカル攻撃

IoT・組込みシステムは物理プロセスと直接接続するため、サイバー攻撃が物理的損害に直結する「サイバーフィジカル」リスクを持つ。

サイドチャネル攻撃: デバイスの消費電力・電磁波・音・処理時間を計測することで秘密鍵を解析する手法。スマートカード・組込み暗号実装への現実的な脅威。物理的に近接または内部アクセスを必要とするが、ハードウェアセキュリティモジュール(HSM)による対策が標準的。

物理改ざん(タンパリング): デバイスを分解してファームウェアを書き換え・デバッグポートを盗聴・メモリをダンプするなどの攻撃。耐タンパー設計(tamper-evident ケース・コーティング・メッシュ)と Secure Element による鍵保護が対策となる。

センサ偽装(Spoofing): GPS・カメラ・LiDAR などのセンサ入力を偽の信号で汚染し、制御システムに誤った判断をさせる攻撃。自動運転・ドローン・産業ロボットで懸念される。センサフュージョン(複数センサの相互検証)と異常値検知が対策の方向性。

IoT 規制 — EU CRA と各国動向

EU サイバーレジリエンス法(EU CRA、規則 2024/2847) は 2024-11-20 に官報掲載され、2024-12-10 に発効した。デジタル要素を持つすべての製品(ハードウェア・ソフトウェア・IoT デバイスを横断する水平規制)を対象とし、セキュリティ設計要件・脆弱性報告義務・サポートライフサイクルを法的義務として課す。

脆弱性報告義務の期限は以下の通りである。

  • 24 時間以内: 能動的に悪用されている脆弱性の認知から初回報告(ENISA・各国当局への報告)
  • 72 時間以内: 是正措置の概要報告
  • 14 日以内: 最終的な詳細報告

EU CRA の適用除外はきわめて限定的であり、組込みソフトウェアを持つほぼすべての製品が対象となる。完全適用は 2027 年末ごろとなる見通し。

US Cyber Trust Mark(IoT ラベリング) は FCC が 2024〜2025 年にかけて開始した米国の自主ラベリング制度であり、NIST 基準を満たした IoT 製品への認定付与を行う。[VERIFY: 2025 年以降の正式運用状況・採用状況]

Matter / Thread はスマートホーム向けの相互運用プロトコルスタックであり、Connectivity Standards Alliance(旧 Zigbee Alliance)が策定した。Matter は IP ベースの相互運用プロトコル、Thread は低電力メッシュネットワーク層であり、エンドツーエンドの認証・暗号化をデフォルトで持つ。Apple・Google・Amazon・Samsung が対応を表明しており、次世代スマートホームのセキュリティ基盤として位置付けられる。

アンチパターン — よくある失敗

アンチパターンリスク
デフォルト認証情報の放置Mirai 型ボットネットへの感染(全 IoT 侵害の主因の一つ)
更新機構なしで製品を出荷脆弱性発見後に対応不可能、EU CRA / 米国法規で違反
CAN バスへの認証前提バス接続ノードは任意コマンドを注入できる(Jeep Cherokee 実証)
物理アクセスの脅威モデル漏れUART/JTAG 経由でファームウェア抽出・書き換えが可能
OTA 更新の署名検証省略中間者攻撃によるマルウェアファームウェアの注入
センサ入力の単一依存センサ偽装で制御システムを誤動作させるリスク

Local graph