オーストラリア政府は、国内の主要都市で運行する中国Yutong Bus製の電動バスが国家安全保障上のリスクをもたらす可能性について調査を開始した。
オーストラリアには現在、Vehicle Dealers International(VDI)が販売した電動市内バス133台が存在し、すべてが中国・鄭州のYutong Bus製である。
ノルウェー・オスロの公共交通当局Ruterが実施した調査では、YutongバスがOTA接続を維持しており理論的に製造元が遠隔停止できること、制御システムがWebと直接接続され認証・暗号化のないCANバスへのリモートアクセスが可能であること、電力管理とバッテリーがモバイルネットワーク経由でアクセス可能であることが判明した。
ただし、意図的な「キルスイッチ」や侵襲的なデータ収集システムは確認されなかった。
この調査報告を受け、デンマーク、英国に続きオーストラリアも調査に乗り出した。
Bugcrowd創設者Casey Ellisは、これらの懸念はコネクテッド車両とIoT全般に固有のリスクであり、中国の2017年サイバーセキュリティ法と国家情報法が企業を諜報活動に動員する法的根拠を与えていることを指摘している。
From: 
Risky Chinese Electric Buses Spark Aussie Gov’t Review
【編集部解説】
このニュースは、一見すると電動バスのセキュリティ問題に見えますが、実際には現代社会が直面するはるかに大きな課題を象徴しています。それは、デジタル化されたインフラと地政学的リスクの交差点に立つ私たちの立ち位置です。
Ruterの調査で明らかになった技術的な脆弱性は、実はYutongバスに特有のものではありません。Controller Area Network(CAN)バスは、1980年代にBOSCHが開発した車載ネットワーク規格で、認証や暗号化の機能を持たない設計となっています。当時はこれらの機能が必要とされなかったためですが、インターネット接続が当たり前となった現代では、この「レガシーな設計」が重大な脆弱性となっています。
問題の本質は技術的な脆弱性そのものではなく、誰がその脆弱性へのアクセス権を持つかという点にあります。OTA接続により製造元がリモートで車両にアクセスできる仕組みは、テスラをはじめとする多くの現代的な自動車メーカーが採用しています。迅速なソフトウェア更新やメンテナンスを可能にする便利な機能ですが、同時に潜在的な攻撃経路にもなり得ます。
中国の2017年サイバーセキュリティ法と国家情報法は、この文脈で特に重要です。これらの法律は、中国政府が国内企業に対して広範な協力を要求できる法的根拠を提供しています。つまり、Yutongが意図的に「バックドア」を設置していなくても、法的に協力を強制される可能性があるということです。
オーストラリアだけでなく、デンマーク、英国と連鎖的に調査が始まった背景には、こうした地政学的リスクへの認識の高まりがあります。特にオーストラリアは中国と地理的に近く、また経済的にも密接な関係にある一方で、安全保障面では米国との同盟関係を重視しています。この微妙なバランスが、今回の慎重な調査姿勢につながっています。
興味深いのは、Bugcrowd創設者のEllis氏が指摘するように、電動バスは氷山の一角に過ぎないという点です。オーストラリアの太陽光発電インフラ、通信機器、製造サプライチェーン、家電製品など、中国製技術は社会のあらゆる層に浸透しています。それぞれが「phone-home」機能、つまり本国へのデータ送信機能を持つ可能性があります。
しかし、すべての中国製品を一律に排除することは現実的ではありません。経済的コストが膨大であるだけでなく、グローバルなサプライチェーンが深く統合された現代において、完全な「デカップリング」は事実上不可能です。むしろ、リスクベースのアプローチ、つまり重要インフラにおける依存度を慎重に評価し、必要に応じて代替策を講じるという戦略が現実的でしょう。
この問題は、技術の中立性という概念に疑問を投げかけています。かつて技術は政治的に中立なものと考えられていましたが、デジタル化が進んだ現代では、技術そのものが地政学的な道具となり得ます。5G通信網における華為技術(Huawei)の排除、TikTokをめぐる議論、そして今回の電動バスの問題は、すべて同じ構造的課題の異なる表れです。
今後、各国政府はサイバーセキュリティ監査の強化、調達基準の見直し、そして場合によっては段階的な置き換えを進めていくでしょう。ただし、重大なセキュリティインシデントが発生しない限り、急進的な措置は取られない可能性が高いと考えられます。
この事例が示すのは、テクノロジーの進化が必ずしも一方向的な「進歩」ではなく、新たなリスクや複雑さを生み出すという現実です。コネクテッド技術がもたらす利便性と、それに伴うセキュリティリスクのバランスをどう取るか。この問いは、電動バスに限らず、私たちの社会全体が向き合わなければならない課題なのです。
【用語解説】
OTA(Over-The-Air)
無線通信を利用してソフトウェアやファームウェアを遠隔更新する技術。自動車業界では、車両のソフトウェアを工場に持ち込むことなく更新できる利便性がある一方で、セキュリティリスクも伴う。
CAN(Controller Area Network)バス
1980年代にドイツのBOSCHが開発した車載ネットワーク規格。車内の電子制御ユニット(ECU)間の通信に使用される。設計当初はセキュリティ機能(認証や暗号化)が組み込まれておらず、現代のサイバー攻撃に対して脆弱性を持つ。
ECU(Electronic Control Unit)
電子制御ユニット。車両内の特定システム(エンジン、ブレーキ、エアバッグなど)を制御する組み込みシステム。現代の自動車には20〜100個以上のECUが搭載されている。
テレマティクス
通信技術と情報技術を組み合わせた車両管理システム。GPS位置情報、車両診断データ、運転データなどをリアルタイムで送信する機能を指す。
【参考リンク】
Yutong Bus公式サイト(外部)
中国・鄭州に本社を置く世界最大級のバスメーカー。電動バスを中心に60カ国以上に輸出
Yutong Australia(外部)
オーストラリアにおけるYutongの販売代理店。2012年設立でシドニーに拠点を置く
Ruter(ルーテル)(外部)
ノルウェー・オスロとアーケシュフース県の公共交通を管理する機関。今回の調査を実施
Bugcrowd(外部)
クラウドソーシング型のサイバーセキュリティプラットフォーム。2012年設立
【参考記事】
Canberra’s electric Yutong buses under investigation for hidden ‘kill switch’(外部)
ACT政府が96台のYutongバスの調査を開始。VDI Australiaは手動更新を実施
Chinese Electric Buses Trigger Cybersecurity Alarm Across Europe(外部)
Ruterがノルウェーの廃坑で比較テスト。Yutong会長が党委員会書記を兼務と指摘
Global Cybersecurity Concerns Rise with Yutong Electric Buses(外部)
デンマークのMoviaが469台の中国製電動バスを運行中、うち262台がYutong製
China-Built Buses with a Kill Switch? Australia’s Scare Is Raising Alarms in Washington(外部)
英国のNational Cyber Security Centreもテスト実施。ワシントンでも懸念が高まる
Cybersecurity Law of the People’s Republic of China(外部)
2017年6月施行。ネットワーク事業者にデータの中国内保管を義務付け
National Intelligence Law of the People’s Republic of China(外部)
2017年6月施行。第7条で全ての組織と市民に情報活動への協力義務を規定
【編集部後記】
今回のYutongバス問題は、私たちが日々享受しているコネクテッド技術の利便性と引き換えに、どのようなリスクを受け入れているのかを考える機会を提供しています。電動バスだけでなく、スマートフォン、家電、さらにはインフラ全体がネットワークに接続される時代において、「誰がそのアクセス権を持つのか」という問いは、もはや技術の問題だけでなく、国家の主権に関わる課題となっています。皆さんの身の回りにあるコネクテッドデバイスについて、一度立ち止まって考えてみませんか。利便性の裏側にある構造を理解することが、より賢明な選択につながるはずです。
