2025年は、国内外とも自動運転サービスが着実に成長を遂げた一年となった。海外ではWaymoが躍進し、グローバル展開を視野に活動を加速する動きも大きくなった。国内では、レベル4自動運転バスが複数産声を上げた。
無人サービスの拡大は非常に喜ばしいことだが、その裏でしっかり目を向けておかなければならないのが脆弱性だ。コンピュータと化した自動運転車は常にサイバー攻撃の危機にさらされ、攻撃が成功した際の負の影響は計り知れない。
また、パーセプション技術の能力不足が脅威につながることもある。先頭を走るWaymoですらまだまだ完成の域に達しておらず、セキュリティ面からもさらなる機能向上が求められるところだ。
この記事では、自動運転の脆弱性について比較的新しい研究成果やトラブル事例などを紹介していく。
記事の目次
| 編集部おすすめサービス<PR> | |
| 車業界への転職はパソナで!(転職エージェント) 転職後の平均年収837〜1,015万円!今すぐ無料登録を |  |
| タクシーアプリは「DiDi」(配車アプリ) クーポン超充実!「無料」のチャンスも! | |
| 新車に定額で乗ろう!MOTA(車のカーリース) お好きな車が月1万円台!頭金・初期費用なし! | |
| 自動車保険 スクエアbang!(一括見積もり) 「最も安い」自動車保険を選べる!見直すなら今! | |
| 編集部おすすめサービス<PR> | |
| パソナキャリア |  |
| 転職後の平均年収837〜1,015万円 | |
| タクシーアプリDiDi | |
| クーポンが充実!「乗車無料」チャンス | |
| MOTAカーリース | |
| お好きな車が月々1万円台から! | |
| スクエアbang! | |
| 「最も安い」自動車保険を提案! | |
■自動運転における脆弱性
慶大チームが走行車両へのLiDAR攻撃に成功
慶應義塾大学の研究チームは、LiDARの脆弱性に関する研究を進めている。同大理工学部電気情報工学科の吉岡健太郎専任講師らが9種類のLiDAR センサーに対する網羅的な脆弱性調査を行い、新たな攻撃手法「HFR(高周波レーザー除去)攻撃」の実用性を実証したと2024年に発表した。
攻撃用のレーザーパルスを対象となる LiDAR のレーザー発射周波数よりも高い周波数で大量発射することで、電波妨害のように対象LiDARの計測を妨害する。広範囲の物体を消去したり、偽装データを注入したりするようなセンサーのパーセプションを欺く攻撃が可能になる。最新のLiDARにも有効だったという。
翌2025年には、高速走行中の車両のLiDARセンサーを長距離から無効化する実証に世界で初めて成功し、安全な自動運転の実現に必要な対策を提示した。
従来のLiDAR攻撃は低速・短距離の環境下での実験に限られていたため、高速走行する車両に対し長距離攻撃を実現する新たな手法「Moving Vehicle Spoofing(MVS)システム」を開発し、実証を行った。
時速60キロで走行する車両に110メートル離れた地点から攻撃を行った結果、攻撃開始地点の110メートルから車両の制動ブレーキ距離20メートルの地点までの広範囲にわたり、平均96%の歩行者を構成する LiDAR点群データを消失させることに成功したという。
また、最新の LiDAR センサーに搭載されている防御機構(PulseFingerprinting機構)を回避する新たな攻撃手法も発見した。LiDARのスキャンパターンを分析し、そのパターンに適応して高周波のレーザーパルスを生成し、従来の防御機構が想定していない高周波で攻撃レーザーパルスを照射することで、防御機構を回避することが可能になるという。
今後、脆弱性に対抗するための防御策の開発や、異なる種類のセンサーとの組み合わせによる安全性向上の可能性などについて探求するとしている。
【参考】関連記事「慶応の学生ら、走行中の自動運転センサーを無効化 「脆弱性」を発見」も参照。
LiDARに対するリレー攻撃やスプーフィング攻撃に成功
オランダのトゥエンテ大学や独ウルム大学の研究者らによる論文によると、反射して戻ってきた光線で物体検知するLiDARの特性を突き、リレー攻撃やスプーフィング攻撃などで誤認識させる実験に成功したという。なお、論文作成年次は不明だ。
リレー攻撃では、2台のトランシーバーを用い、標的車両のLiDARから送信された元の信号を別の位置から中継して偽のエコーを作成し、最終的に実際の物体を実際の位置よりも近くまたは遠くに見せる実験に成功したという。
スプーフィング攻撃では、複数の偽造パルスを連続して注入することに成功し、偽の壁を検出させたとしている。
カメラによるパーセプション技術の向上は必須
これまでのセンサーに対する攻撃は、多くの場合カメラがターゲットとされていた。例えば、道路標識にシールを貼ることで、一時停止標識を時速30キロに誤認させる……といった感じだ。一見アナログな攻撃に思われるかもしれないが、単純に見た目で誤認させるものもあれば、パーセプション技術のプログラムに作用する形で誤認させるものもあるようだ。
自動運転車の判断としては、本来あるべき道路標識を見た目で正しく認識できなかった場合、認識不能として見なかったことにしたり、無理やり類似したものを導き出したり、エラーとして走行停止したりするケースなどが考えられる。
認識精度を高め、可能な限り誤認を防ぐのが必須となるが、プログラムに関与する形で誤認させられた場合は、セキュリティ問題と捉えソフトウェアの脆弱性を改善するほかない。
アナログ的な誤認は、ADASの標識認識機能における誤認がある意味象徴的だ。飲食チェーンのロゴ看板を「進入禁止」に読み間違える……といった感じだ。
こうした誤認は単純な認識能力不足と言えるが、認識能力不足を狙って攻撃される懸念もある。自動運転においては、認識不足は脆弱性そのものと言えるだろう。
【参考】関連記事「テスラ、お前もか。ガストのロゴを「STOP標識」と誤認識 日本語は苦手なの?」も参照。
テスラは偽の壁に突っ込んだ
アナログな手法では、2025年にエンジニア系YouTuberが公開した実験が話題となった。精巧に印刷した風景画像を壁に貼り、車載カメラやLiDARがこれを見抜くことができるか……といった実験で、LiDARは見事見抜いて壁への衝突を免れたものの、カメラ搭載車(テスラのAutopilot)はそのまま壁に激突した。
Autopilotのカメラは、その画像が本物か偽物か見抜けなかったのだ。一方、別のYouTuberが同様の実験をFSDで行った際、FSDは偽の壁を見破ったという。
まさに、パーセプション技術の敗北と勝利を象徴するような実験だ。自動運転車であれば、このレベルの実験は軽々クリアしなければならない。
【参考】関連記事「テスラの車載カメラ、「偽の壁」に騙され、盛大に突っ込む」も参照。
LEDで画像認識ソフトウェアを誤認識させる
シンガポールの南洋理工大学などに所属する技術者らは、LEDを使って道路標識に特定のパターンの光を当てることで、画像認識ソフトウェアが道路標識を正しく認識できないようにする実験に成功したという。
CMOSカメラセンサーがターゲットとなっており、百度・アポロプロジェクトのハードウェア・リファレンス・デザインで使用されている「Leopard Imaging AR023ZWDR」というカメラを搭載した車両でテストを実施したところ、90%台の攻撃成功率を得たとしている。
【参考】関連記事「自動運転車にLED攻撃、標識の認識を「無効化」 脆弱性が浮上」も参照。
ミリ波レーダーを対象とした研究も
ミリ波レーダーを対象とした研究も発表されている。米バッファロー大学の研究チームは2024年、3Dプリントされた物体を戦略的に設置することで、AI搭載レーダーシステムによる検知を無効化する実験に成功したという。
3Dプリンターと金属箔を用いて特定の幾何学的形状を持つ物体を作製し、前走車両に2枚配置することで、レーダー探知におけるAIモデルの誤認を招き、車両をレーダーから消すことができたとしている。
■自動運転車のトラブル例
Zooxはトラブル発生の度に細かく対応
アマゾン傘下Zooxは、些細な脆弱性でも発覚次第リコールを実施し、ソフトウェア改善を重ねている。2025年中にも、最低4回はリコールを実施している。
真横方向から接近してきた車両の制動予測を誤る修正や、歩行者や自転車など弱い立場の道路利用者が車両のそばにいる場合、車両の動きをさらに防止するための知覚トラッキング改善を含むソフトウェアアップデートなどだ。後者は、右折(日本でいう左折)する際に減速・停止したところ、スクーターに衝突された事故を受けてのものだ。
2025年12月にもリコールを届け出たようだ。自動運転車両が黄色のセンターラインを越えて交差点付近で対向車線に進入するケースなどがあったことを受けてのものだ。
ロイターによると、右折の際に対向車線に一部進入し、対向車線手前で一時停止した事案が発生したため調査を開始したところ、不必要に車線の一部または完全に車線を越えた事例が62件特定されたという。衝突事故は発生していないが、しっかりと改善を図るとしている。
【参考】関連記事「Amazonの自動運転車が事故!再び「脆弱性」発見?」も参照。
テスラは踏切が苦手
ADASながら、一般道におけるレベル2+で世界最先端をいく米テスラ。しかし、踏切が苦手なようで、トラブル事例が続々と報告されている。
信号が点滅し遮断器が下がってきている踏切にノーブレーキで突っ込もうとするなど、「踏切」というもの自体を認識しない例が多いようだ。
踏切を通過する列車をトレーラーの一群として捉えることもあれば、道路と勘違いして踏切内の線路に進入してしまうケースもあったようだ。
もちろん、踏切を全く認識していないわけではなく、問題なく通過できるといった報告も多数上がっている。ただ、このように正しく認識するかもしれないししないかもしれない状態では自動運転化は不可能だ。
イーロン・マスク氏は踏切問題になかなか触れないが、自動運転計画を口にする前に、この脆弱性を確実に解決するのが筋だろう。
【参考】関連記事「テスラの自動運転機能、「踏切の認識」で脆弱性」も参照。
Waymoにもまだまだ脆弱性がある
自動運転タクシーで世界の先頭を走る米Waymoにも、まだまだ脆弱性は散見される。Waymoは2022年から2024年にかけて道路上のチェーンやゲートなどに衝突する軽微な事故を16件起こしており、2024年末までにソフトウェアアップデートで改善している。
2025年9月には、集中豪雨で冠水した道路で立ち往生する様子がSNSで報告された。水たまりレベルで通過できないほどではないものと思われるが、Waymo車4台が一列に連なって停止し、車線の一つを塞いだという。
テレビ局の取材に対し、Waymoの担当者は「想定外の豪雨と雷という異常気象で、乗客の安全を最優先に考え一時的にロボタクシーサービスを停止した」と回答したという。
2025年12月には、停電を原因に交差点で立ち往生する事態がサンフランシスコで多数発生したようだ。停電で信号機が停止した交差点で、安全性優先のため停車する仕組みが交通妨害につながった。
Waymoの自動運転システムは、信号が消えた状態を四方向停止として処理するよう設計されており、安全な選択を確実に実行するため、時折オペレーターに確認を求めることがあるという。
今回の大規模停電では広範囲の信号機が停止したため、これらの確認要求が集中的に発生する事態となり、これによりバックログが発生し、応答遅延などによってすでに混雑していた道路の渋滞をさらに悪化させてしまったようだ。
状況を踏まえると、Waymoの自動運転タクシーは停電時でも走行を続けていたように思われる。しかし、信号が機能していない交差点で判断に迷い、オペレーターへの問い合わせが集中したようだ。
サーバーと常時通信しながら走行する自動運転車にとって、停電対策は必須となる。システムによっては、停電になった瞬間に走行不能に陥ることなども考えられる。有事に備え、安全な場所へ早めに一時避難することも選択肢に入れるなど、さまざまな対応をシミュレーションしておく必要がありそうだ。
【参考】関連記事「Googleのロボタクシーに新たな脆弱性!「停電」で立ち往生」も参照。
自家用車でもソフトウェア面の脆弱性が増加
トレンドマイクロ子会社のVicOneは2025年6月、最新の自動車サイバーセキュリティ実態を明らかにする「VicOne 2025年 自動車サイバーセキュリティレポート」を発表した。2024年に公開された自動車関連の脆弱性の総数は530件に上り、この5年で倍増したという。
調査対象が世界なのか日本国内なのかなど不明だが、2024年に報告された自動車サイバーセキュリティインシデントの総数は215件で、同年公開された自動車関連の脆弱性の総数は530件に上ったとしている。
インシデントの中で最も頻度高く狙われたのがクラウドおよびバックエンドの脆弱性で、それを悪用したランサムウェア攻撃、データ侵害、ソーシャルエンジニアリングおよびフィッシング攻撃が多く報告されているという。
公開された脆弱性の件数は、2016年頃までは一桁で推移していたものの2017年15件、2018年36件、2019年266件と右肩上がり傾向が続き、530件に達した。増加し始めた時期は、コネクテッドカーの普及時期と重なる。
同社は「ハードウェアにおける脆弱性が最も多いものの、2024年はオペレーティングシステムやIVIシステムなどソフトウェア面の脆弱性が増加していることも特徴的。車両のコネクテッド化が進む中、ソフトウェアにおけるセキュリティ強化が急務となっている」と指摘している。
サイバーセキュリティは自動運転車だけではなく、自家用車においても非常に重要なものとなっていることがよくわかる。
▼VicOneのレポートはこちら
https://vicone.com/jp/reports/2025-automotive-cybersecurity-report
■【まとめ】セキュリティ企業が存在感を増す
現状はパーセプション分野における脆弱性が多い印象だが、今後は通信やサーバー、クラウドを対象とした事案も増加していくことが想定される。
また、機能の充実とともにサードパーティ製のソフトウェアの搭載などが進めば、リスクとなり得るポイントも増加していくことになる。
悪意ある攻撃者が本格的に自動運転車をターゲットに据えれば、その被害は計り知れない。各社の不断の努力は言うまでもないが、自動運転サービスの拡大とともに、セキュリティ企業への注目度もいっそう増していくことになりそうだ。
【参考】関連記事としては「自動運転が可能な車種一覧(タイプ別)」も参照。
