英国政府は、中国製の輸入電動バスが遠隔でアクセスされ、無効化される可能性があるリスクを理解し「軽減」するため、国家サイバーセキュリティセンターと協力しています。
これは、バスメーカー宇通(Yutong)が製造した新型車両に対してサイバーセキュリティテストを実施し、車載システムに脆弱性を発見したと発表したノルウェーの公共交通事業者Ruterによる懸念表明に続くものです。
宇通(Yutong)は中国河南省鄭州市に拠点を置くメーカーです。同社が製造する車両は、英国を含む複数の欧州諸国のバス事業者によって使用されています。一方、英国およびアイルランド地域向けの宇通車両の輸入業者であるPelicanは、この主張に異議を唱え、車両はすべてのセキュリティ認証を満たしていると述べています。
ノルウェーの首都オスロおよび周辺のアーケシュフース郡の通勤者にサービスを提供する公共交通事業者Ruterは、「中国のサプライヤーは、ソフトウェアのアップデートや診断のために、各バスに直接デジタルアクセスでき、バッテリーや電源管理システムへのアクセスも含まれます。理論的には、メーカーによってバスを停止または動作不能にすることが可能です」と主張しました。
「現在、RuterはSIMカードを取り外すことでバスをインターネットから切断できます。すべてのネットワーク接続はこの一点を通じて行われるため、必要に応じてローカルで制御を維持できます」と付け加えました。
英国にはすでに約700台の宇通製バスが存在し、主にノッティンガム、南ウェールズ、グラスゴーで、StagecoachやFirst Busなどの企業によって運行されています。
英国運輸省のスポークスパーソンはThe Registerに対し、「特定の電動バスメーカーに関する最近の憶測を認識しています。当省はセキュリティ問題を極めて重大に受け止めており、インテリジェンスコミュニティと緊密に連携して潜在的なリスクの理解と軽減に努めています」と述べました。
NCSCはコメントを控えました。
英国の大手バス事業者First BusのITディレクター、ギャビン・デイビス氏は声明で「サイバーセキュリティリスクは新しい電動バスの調達プロセスの中核要素です。ノルウェーでのRuterの取り組みは業界全体の学びに役立ち、彼らがテストを実施し、セキュリティシステムをさらに改善する方法を探っていることは非常に励みになります」と述べました。
競合事業者Stagecoachはコメントを控えましたが、代わりに2014年から英国およびアイルランド向け宇通輸入業者に任命されているPelican Bus and Coachに案内しました。
Pelicanの宇通販売責任者イアン・ダウニー氏は、セキュリティリスクは一切ないと否定し、The Registerに対し、同社が取り扱うすべての車両は、エンジニアが実際に顧客の現場に赴いて手動でソフトウェアパッチを適用していると語りました。
Pelicanは声明で、宇通は車両が運行される地域の関連法規や業界標準を厳守していると付け加えました。
「欧州に輸出される宇通車両は、UN R155サイバーセキュリティおよびサイバーセキュリティマネジメントシステム、UN R156ソフトウェアアップデートおよびソフトウェアアップデートマネジメントシステム、ISO 27001情報セキュリティマネジメントシステム、ISO 27701プライバシー情報マネジメントシステムに準拠しています。これらの規制は、車両のサイバーセキュリティおよびサイバーセキュリティ管理システムの統一基準を確立しています」と同社は述べました。
Pelicanによると、宇通はEU車両の端末データをフランクフルトのAWSデータセンターに保管しており、データはメンテナンス、最適化、サービス向上のために使用され、署名済みの顧客承認なしにはアクセスできません。
Pelicanは、欧州の宇通車両は加速、操舵、ブレーキの遠隔操作をサポートしていないと述べました。しかし、これはRuterの具体的な主張、すなわち宇通が電源管理システムに遠隔アクセスし、バスを無効化できる可能性があるという点には対応していません。Pelicanは宇通が車両に遠隔アクセスできるかどうかについての質問には回答しませんでした。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/11/uk_probe_china_bus_claim/
