[Apple CarPlay] 脆弱性CVE-2025-24132、なぜ修正パッチは適用されないのか？自動車業界の構造的課題に迫る

今年7月に報じた「公共Wi-Fiで感染拡大するApple AirPlayの危険な脆弱性が発見」の続報が、さらに深刻な状況を浮き彫りにしています。2025年4月29日にサイバーセキュリティ企業Oligo Securityが公開したApple CarPlayの脆弱性「CVE-2025-24132」について、発見から4ヶ月半が経過した現在も、自動車メーカーは一社も修正を適用していないという衝撃的な事実が明らかになりました。

このバッファオーバーフローの脆弱性はCVSSスコア6.5と評価され、攻撃者がUSBまたはインターネット経由で侵入し、BluetoothとiAP2プロトコルを悪用することでroot権限でのリモートコード実行（RCE）を可能にします。ユーザーの操作を一切必要としない「ゼロクリック攻撃」により、位置情報の監視、車内会話の盗聴、さらには運転中の画面操作による妨害まで – あらゆる危険が現実のものとなる恐れがあります。

Appleは既に2025年3月31日に修正パッチを公開していますが、自動車業界特有の複雑なサプライチェーンとOTA（無線アップデート）の普及の遅れが、迅速な対応を阻んでいます。Oligo Securityの研究者Uri Katz氏は、課題の根本は「標準化の欠如」であり、OTAの採用とサプライチェーンの連携強化が急務だと警鐘を鳴らしています。

スマートフォンなら数日で配信されるセキュリティ修正が、なぜクルマでは半年以上も放置されているのか？コネクテッドカー時代の光と影を、詳しく解説します。

From: Apple CarPlay RCE Exploit Left Unaddressed in Most Cars

【編集部解説】

「つながるクルマ」の影、CarPlay脆弱性が浮き彫りにした巨大な課題

今回のニュースは、単なる「Apple CarPlayの脆弱性」という話にとどまりません。これは、私たちの生活に深く浸透し始めた「つながるクルマ（コネクテッドカー）」が抱える、構造的で根深い問題を象徴する出来事と言えるでしょう。

ゼロクリックで乗っ取られるリスクとは？

まず、この脆弱性の核心部分を簡単に解説します。今回発見された「CVE-2025-24132」は、専門的には「ゼロクリック・リモートコード実行（RCE）」と呼ばれる種類に分類されます。

「ゼロクリック」とは、その名の通り、ユーザーがリンクをクリックしたり、ファイルを開いたりといった操作を一切しなくても、攻撃が成立してしまうことを意味します。そして「リモートコード実行」とは、攻撃者が遠隔からあなたのデバイス上で自由にプログラムを実行できてしまう状態を指します。

今回のケースでは、多くの自動車が採用している簡易的なBluetooth接続方式「Just Works」や、CarPlayの通信プロトコル「iAP2」に存在する認証の甘さが悪用されます。技術的には「スタックベースのバッファオーバーフロー」と呼ばれる手法が使われ、攻撃者はこれを足がかりに車のWi-Fiに接続し、最終的にCarPlayシステムを完全に掌握する「root権限」を奪取することが可能です。

そうなれば、ドライバーの位置情報をリアルタイムで監視したり、車内の会話を盗聴したり、あるいは運転中に突然、画面に無関係な画像を表示させて注意を逸らすといった妨害行為も可能になります。現時点では、この脆弱性がアクセルやブレーキといった車両の走行性能に直接影響を及ぼすかは確認されていませんが、ドライバーを危険に晒すには十分な脅威と言えます。

問題の本質は「パッチが適用されない」自動車業界の構造

しかし、このニュースで私たちが本当に注目すべきは、脆弱性の技術的な詳細よりも、その後の対応の遅れです。

Appleは2025年3月31日には修正済みのソフトウェア開発キット（SDK）を公開しています。スマートフォンであれば、数日から数週間で多くのユーザーにアップデートが届くでしょう。ところが、この記事が報じられた9月時点で、この修正を適用した自動車メーカーは一社も存在しないというのです。

なぜ、このような事態が起こるのでしょうか。Oligo Securityの研究者が指摘するように、その原因は自動車業界特有の複雑なサプライチェーンと、旧来のアップデート体制にあります。

自動車は、スマートフォンとは比較にならないほど多くの部品とサプライヤーで構成されています。Appleが修正プログラムを提供しても、それを自動車メーカーが受け取り、次にカーナビやディスプレイを製造するサプライヤーが自社製品に組み込み、さらにそれをテストし、検証する…という長いプロセスを経なければなりません。各段階での調整は膨大な時間とコストを要します。

さらに、多くの車種では、ソフトウェアの更新にディーラーへの持ち込みが必要です。スマートフォンように自動でアップデートされる「OTA（Over-the-Air）」に対応した車種はまだ一部に限られており、これも迅速な対応を阻む大きな壁となっています。

未来のモビリティとどう向き合うべきか

この一件は、ソフトウェアが自動車の価値を定義する「Software-Defined Vehicle（SDV）」時代の課題を浮き彫りにしました。自動車のライフサイクルは10年以上と長く、その間、ソフトウェアのセキュリティを維持し続けることの難しさを示しています。

私たちユーザーは、「クルマもハッキングされる時代」に生きているという認識を新たに持つ必要があります。そして自動車業界には、業界の垣根を越えた連携と、OTAのような迅速なアップデート体制の標準化が、喫緊の課題として突きつけられています。テクノロジーの進化がもたらす利便性を安全に享受するためには、それを支える仕組み自体の変革が不可欠なのです。

【用語解説】

脆弱性（ぜいじゃくせい）
コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって生じる情報セキュリティ上の欠陥である。サイバー攻撃の足がかりとなる。

ゼロクリック攻撃
ユーザーがメールやメッセージのリンクをクリックしたり、ファイルを開いたりする操作を一切行わなくても、デバイスが攻撃者に乗っ取られてしまう攻撃手法だ。

リモートコード実行（RCE）
攻撃者がインターネットなどのネットワークを通じて、遠隔から他人のコンピュータ上で任意のプログラムやコマンドを実行できてしまう状態を指す。極めて深刻な脆弱性の一つである。

バッファオーバーフロー
プログラムが確保したメモリ領域（バッファ）に、想定を超える大きさのデータを書き込むことで、データがあふれ出てしまう状態。攻撃者はこれを利用して、不正なプログラムを実行させることが可能だ。

CVSS（共通脆弱性評価システム）
脆弱性の深刻度を評価するための世界共通の基準である。スコアは0.0から10.0で示され、数値が高いほど深刻度が高いことを意味する。今回の場合、6.5は「警告(Medium)」レベルに相当する。

iAP2（iPod Accessory Protocol 2）
Appleデバイス（iPhoneなど）とアクセサリ（カーナビなど）が通信するために使われるプロトコル（通信規約）の一つである。CarPlayの接続にも利用される。

SDK（ソフトウェア開発キット）
特定のソフトウェアを開発するために必要なプログラムや技術文書などを一式まとめたパッケージである。今回の場合、Appleが自動車メーカー向けに提供するAirPlay機能用のSDKを指す。

OTA（Over-the-Air）
無線通信を利用して、ソフトウェアのアップデートデータを配信し、更新する仕組みである。スマートフォンでは一般的だが、自動車への普及は途上である。

【参考リンク】

Oligo Security（外部）
今回の脆弱性を発見したイスラエルのサイバーセキュリティ企業。アプリケーションのランタイムセキュリティを専門とする。

Apple CarPlay（外部）
iPhoneの機能を車載ディスプレイで安全に操作できるようにするAppleの公式機能。対応車種は800モデルを超える。

Dark Reading（外部）
今回の元記事を報じた、サイバーセキュリティ専門のニュースメディア。業界の専門家や研究者向けに詳細な分析記事を提供。

【参考記事】

Remote CarPlay Hack Puts Drivers at Risk of Distraction and Surveillance（外部）
Oligo Securityが発見したCarPlayの脆弱性について詳述。攻撃者がroot権限を取得する手法を解説している。

Pwn My Ride: Exploring the CarPlay Attack Surface（外部）
脆弱性を発見したOligo Security自身による技術ブログ。攻撃経路から対応の遅れまでを詳細に解説している。

Apple CarPlay Vulnerability Leaves Vehicles Exposed Due to Slow Patch Adoption（外部）
CarPlayの脆弱性への対応が遅れている問題を、自動車業界のサプライチェーンの複雑さと絡めて分析した記事。

【編集部後記】

今回のニュースは、決して他人事ではありません。あなたの、あるいはご家族や友人のクルマが、ある日突然、見えない脅威にさらされる可能性を示唆しています。

「便利さ」の裏側には、常に新しい「リスク」が潜んでいます。私たちは、未来のテクノロジーとどう向き合っていくべきなのでしょうか。ご自身のカーライフを振り返り、この問題を少しだけ「自分ごと」として考えてみるきっかけになれば幸いです。皆さんのご意見もぜひお聞かせください。