PCA Cyber Securityの研究者が2024年5月17日にOpenSynergy社のBlue SDKにおけるCVE-2024-45431からCVE-2024-45434までの4つの脆弱性を発見し、これらを組み合わせた攻撃手法を「PerfektBlue」と命名した。
Blue SDKは3億5000万台の自動車に搭載されており、Mercedes-Benz、Volkswagen、Skoda、および名前が公表されていない第4の企業の車両が影響を受ける。
脆弱性のCVSS評価は3.5から8.0の範囲で、攻撃者はGPS追跡、車内音声録音、電話連絡先などの個人データ窃取を実行可能である。
OpenSynergyは2024年9月に顧客向けパッチを提供したが、2025年6月23日時点で一部のOEMがパッチを受け取っていない。Blue SDKは自動車以外にも消費者、モバイル、産業、医療業界を含む世界中の10億台以上の組み込みデバイスで使用されている。
From: 
350M Cars, 1B Devices Exposed to 1-Click Bluetooth RCE
【編集部解説】
今回のPerfektBlue脆弱性は、単なる技術的な問題を超えて、現代のコネクテッドカー時代における根本的なセキュリティ課題を浮き彫りにしています。
攻撃チェーンの技術的複雑性
PerfektBlueは、OpenSynergy社のBlue SDKというBluetoothプロトコルスタックに存在する4つの脆弱性を巧妙に連鎖させた攻撃手法です。重要なのは、これが単一の脆弱性ではなく、複数の弱点を戦略的に組み合わせた「攻撃チェーン」である点です。
CVSSスコアが3.5から8.0まで幅広く分布しているのは、個々の脆弱性の深刻度が異なるためですが、組み合わせることで致命的な影響を与える可能性があります。この手法は、現代のサイバー攻撃における「複合攻撃」の典型例といえるでしょう。
影響範囲の真の意味とサプライチェーンリスク
3億5000万台の自動車と10億台のデバイスという数字は、単なる統計以上の意味を持ちます。これは現代社会のデジタルインフラがいかに相互接続されているかを示しており、一つのソフトウェアコンポーネントの脆弱性が業界全体に波及する「サプライチェーンリスク」の典型例です。
特に注目すべきは、自動車業界だけでなく、医療機器、産業用機器、モバイルデバイスまで影響が及んでいることです。これは、Bluetoothという汎用技術が現代社会の基盤技術となっていることを物語っています。
攻撃条件をめぐる論争の意味
研究者とVolkswagen間の見解の相違は、この脆弱性の実際の脅威レベルを理解する上で極めて重要です。Volkswagenが主張する5つの条件(5-7メートル以内の距離、イグニッションオン、ペアリングモード、ユーザー承認、継続的な近接性)に対し、PCA Cyber Securityの研究者Mikhail Evdokimovは一部の条件が不正確であると反論しています。
特に重要なのは、Volkswagen ID.4やSkoda Superbでは攻撃者がリモートでペアリングプロセスを開始でき、ユーザーがインフォテインメントシステムをペアリングモードにする必要がないという点です。これは攻撃の難易度を大幅に下げる要因となります。
持続的アクセスの脅威
物理的な近接性(5-10メートル以内)が必要な初期攻撃段階を突破すれば、攻撃者はリモートアクセスマルウェアを植え付けて継続的なアクセスを確保できます。これにより、一度の物理的接触から長期間にわたる監視や制御が可能になるのです。
この「初期侵入から持続的アクセスへの移行」は、現代のサイバー攻撃における典型的なパターンであり、単発的な攻撃よりもはるかに深刻な脅威となります。
パッチ適用の複雑な現実と業界課題
OpenSynergyが2024年9月にパッチを提供したにも関わらず、2025年6月時点で一部のOEMがパッチを受け取っていないという事実は、自動車業界のサプライチェーンの複雑さを露呈しています。
自動車のソフトウェア更新は、スマートフォンのアップデートとは根本的に異なります。安全性への影響評価、ディーラーでの作業の必要性、製品サポート期間の問題、複数のサプライヤー間の調整など、多層的な課題が存在します。
専門家による冷静な評価
Swimlane社のNick Tausekが指摘するように、この種の攻撃は「平均的なユーザーにとって実際の脅威を表すというよりも、IoTパッチ適用の複雑な状況を示すことの方が多い」という見方があります。これは技術的な脅威と実際のリスクを区別して考える必要性を示唆しています。
長期的な業界変革への影響
この事案は、自動車業界におけるサイバーセキュリティガバナンスの重要性を再認識させるものです。ISO/SAE 21434のような自動車サイバーセキュリティ標準の重要性が高まり、OEMとサプライヤー間のセキュリティ責任分界点の明確化が急務となるでしょう。
また、車載システムのネットワーク分離(セグメンテーション)の重要性も浮き彫りになりました。インフォテインメントシステムから安全重要システムへの横展開を防ぐ設計思想が、今後の車両開発において必須要件となることが予想されます。
技術進歩との両立と未来への展望
一方で、この問題はBluetoothやコネクテッドカー技術そのものを否定するものではありません。むしろ、セキュリティ・バイ・デザインの重要性と、継続的なセキュリティ監視体制の必要性を示しています。
未来の自動車は、より高度な接続性と利便性を提供する一方で、堅牢なセキュリティアーキテクチャを基盤とする必要があります。PerfektBlueのような発見は、そうした安全で豊かな未来への重要なステップといえるでしょう。
【用語解説】
PerfektBlue
PCA Cyber Securityの研究者が命名したBluetoothの脆弱性を連鎖させた攻撃手法。Blue SDKの4つの脆弱性(CVE-2024-45431〜45434)を組み合わせることで、リモートコード実行を可能にする。
CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子。セキュリティ脆弱性に対して一意の識別番号を付与する国際的な標準システム。今回の脆弱性はCVE-2024-45431からCVE-2024-45434まで4つが割り当てられている。
CVSS(Common Vulnerability Scoring System)
共通脆弱性評価システム。脆弱性の深刻度を0.0から10.0の数値で評価する標準的な手法。今回の脆弱性は3.5から8.0の範囲で評価されている。
IVI(In-Vehicle Infotainment)
車載インフォテインメントシステム。自動車内でエンターテインメント、ナビゲーション、通信機能を提供するシステム。今回の攻撃の主要な標的となっている。
OEM(Original Equipment Manufacturer)
相手先ブランド製造業者。他社ブランドの製品を製造する企業を指す。自動車業界では完成車メーカーを指すことが多い。
RCE(Remote Code Execution)
リモートコード実行。攻撃者が遠隔地から対象システム上で任意のコードを実行できる脆弱性。最も深刻なセキュリティ脅威の一つ。
SBOM(Software Bill of Materials)
ソフトウェア部品表。ソフトウェア製品に含まれるコンポーネントの詳細な一覧。サプライチェーンセキュリティの重要な要素。
攻撃チェーン
複数の脆弱性や攻撃手法を連続的に組み合わせて実行する攻撃手法。単一の脆弱性よりも深刻な影響を与える可能性がある。
【参考リンク】
OpenSynergy(外部)
Blue SDKの開発元であるドイツのベルリンに本社を置く組み込みソフトウェア企業
Dark Reading(外部)
サイバーセキュリティ分野の専門メディア。月間約80万ページビューを誇る業界有力サイト
Swimlane(外部)
セキュリティオートメーション分野のソフトウェア企業。今回の事案についてコメントを提供
Mercedes-Benz(外部)
ドイツの高級自動車メーカー。Blue SDKを採用した車載システムを搭載する車両が影響を受けている
Volkswagen Group(外部)
ドイツの自動車メーカー。VWブランドとSkodaブランドの車両がPerfektBlue脆弱性の影響を受けている
【参考記事】
PerfektBlue Bluetooth Vulnerabilities Expose Millions of Vehicles to Remote Hacking(外部)
SecurityWeekによる報道。Mercedes-Benz、Skoda、Volkswagen車両への具体的な攻撃実証について詳述
Warning: Millions of Cars Exposed To Remote Hacking Via Critical Vulnerability(外部)
LinkedInでの詳細解説記事。PCA Cyber Securityの背景情報とPerfektBlue攻撃の技術的詳細について説明
PerfektBlue Bluetooth attack allows hacking infotainment systems of Mercedes, Volkswagen and Skoda(外部)
Security Affairsによる報道。OpenSynergy BlueSDKの業界での採用状況と攻撃による潜在的影響について詳細に解説
Blue SDK enters the new age of Bluetooth® 6.0 Core Specifications(外部)
OpenSynergy公式サイトの製品情報。Blue SDKの技術仕様、対応プラットフォーム、業界での採用実績について公式見解を提供
【編集部後記】
今回のPerfektBlue脆弱性は、私たちが日常的に使っているBluetoothという身近な技術に潜む課題を浮き彫りにしました。皆さんの愛車や身の回りのデバイスは、果たして本当に安全でしょうか?
この事案を通じて、私たちは改めて考えさせられます。便利さと安全性のバランスをどう取るべきなのか。コネクテッドカーの未来に向けて、消費者として、そして技術に関心を持つ一人として、どのような視点を持つべきなのか。
皆さんは車を購入する際、セキュリティ面をどの程度重視されていますか?また、IoTデバイスを選ぶ時、メーカーのセキュリティ対応についてどのような情報を求めたいと思われますか?
ぜひSNSで、皆さんの率直なご意見をお聞かせください。一緒に、より安全で豊かなテクノロジー社会の実現について考えていきましょう。
