たった数バイトのデータで、世界中を走る何億台もの車のカーナビ・自動運転支援システムをまとめて停止させられる ── そんな脆弱性 2 件を、トヨタ・BMW・ベンツなど世界 43 社の自動車メーカーが共通で使う地図処理ソフトに発見しました。既に修正済みですが、悪用されていれば全世界規模の被害になり得た重大事案です。
トヨタ、BMW、VW、メルセデス・ベンツなど世界の主要自動車メーカー 43 社が採用する地図データ規格 NDS (Navigation Data Standard) の中核ライブラリ zserio に、深刻な脆弱性 2 件を発見しました。2026 年 4 月 24 日に CVE-2026-33524 と CVE-2026-33666 として公開されています(修正済)。
どのくらいの規模に影響するのか
NDS 規格を採用している主要自動車メーカーの 年間生産台数を合算するだけで、影響範囲は桁違いです:
| OEM | 年間生産台数の目安 |
|---|---|
| トヨタ(Woven by Toyota) | 約 1,000 万台 |
| Volkswagen Group(CARIAD) | 約 900 万台 |
| Hyundai(現代自動車) | 約 700 万台 |
| Stellantis(クライスラー・プジョー・フィアット・ジープ等 14 ブランド) | 約 600 万台 |
| Renault・日産アライアンス | 約 700 万台 |
| BMW Group | 約 250 万台 |
| Mercedes-Benz Group | 約 250 万台 |
| Volvo Cars / NIO 等 | 数百万台 |
| 合計(NDS 加盟主要 OEM) | 年間 約 4,500 万台超 |
NDS は 2010 年代から業界標準として動いてきました。10 年以上にわたって毎年これだけの規模で生産されてきた車のうち、ナビゲーション・ADAS・OTA 地図更新システムが NDS データを処理しているわけです。
つまり 「何百万台」どころか、すでに何億台規模の車が今この瞬間も路上で zserio によってデータを処理しています。日本国内の保有台数(約 8,200 万台)より遥かに大きい規模です。
どんな攻撃ができるのか
攻撃に必要なペイロードは わずか 4-5 バイト。電子メール 1 文字より小さいデータ量で、以下のような攻撃が成立してしまいます。
| 攻撃シナリオ | 起こりうる結果 |
|---|---|
| クラウド経由の地図更新に細工データを混入 | 広域で同時多発的にカーナビが停止 |
| 地図データのサプライチェーンに介入 | 1 箇所への侵入で、何百万台の車に影響 |
| 地図処理サーバーに不正データを送信 | 自動車メーカー・地図ベンダーの 基幹インフラがダウン |
| 32-bit 車載 ECU 上で誘発 | ADAS(運転支援機能)が停止 |
数字で言うと、たった 4 バイトのデータで 16 GB のメモリを確保させられる(増幅率 約 2 億倍)。5 バイトでサーバーごとシステムクラッシュします。
この事案で特に怖い点
通常のサイバー攻撃と比べたとき、この脆弱性には 3 つの「悪条件が揃った」特徴があります:
- 攻撃データが数バイトで済む:通常の DoS 攻撃のような大量トラフィックを必要とせず、4-5 バイトの細工データを 1 度流すだけで成立する。異常検知システムをすり抜けやすい
- 業界横断で影響が伝播する:43 社の自動車メーカーが共通の NDS 規格を採用しているため、地図データの配信経路 1 箇所への介入だけで メーカーをまたいで一斉に被害が出うる
- 路上の車に直接届く経路が存在する:クラウド地図更新(NDS.Live)が攻撃面になっており、サーバー側だけでなく 走行中の車載システムまで攻撃が届く
修正は責任ある開示プロセス(90 日 coordinated disclosure)を経て、CVE 公開前に完了しています。
報告から公開までの流れ
| 日付 | 出来事 |
|---|---|
| 2026-03-08 | Woven by Toyota PSIRT に報告 |
| 2026-03-10 | zserio メンテナに GitHub Security Advisory 経由で報告 |
| 2026-04-23 | 修正版 zserio v2.18.1 リリース |
| 2026-04-24 | CVE 公開 |
90 日の coordinated disclosure(責任ある開示)の枠内で、開発元と協力して修正してから公開する、という手順を踏みました。zserio 開発チームと Woven by Toyota PSIRT には迅速な対応をいただきました。
以降はもう少し詳しく知りたい方向けの補足情報です。
影響範囲:NDS Association 加盟企業(主要抜粋)
zserio が支える NDS 規格に参加している主要企業を、ジャンル別に並べてみます。
自動車メーカー(OEM):
– 🇯🇵 Woven by Toyota(トヨタ自動車)
– 🇯🇵 日産自動車(Nissan)
– 🇩🇪 BMW Group
– 🇩🇪 Mercedes-Benz Group(メルセデス・ベンツ)
– 🇩🇪 CARIAD(フォルクスワーゲン傘下のソフトウェア会社)
– 🇮🇹🇫🇷 Stellantis(クライスラー・プジョー・シトロエン・フィアット・ジープなど 14 ブランドを擁する世界 4 位 OEM)
– 🇰🇷 Hyundai(ヒョンデ)
– 🇸🇪 Volvo Cars
– 🇫🇷 Renault
– 🇨🇳 NIO
地図・ナビデータプロバイダー:
– 🇯🇵 ZENRIN(ゼンリン)
– 🇯🇵 Dynamic Map Platform
– 🇳🇱 HERE Technologies
– 🇳🇱 TomTom
– 🇨🇳 NavInfo / Autonavi
– 🇮🇳 Mappls MapmyIndia
自動車部品・Tier 1 サプライヤー:
– 🇯🇵 Denso(デンソー)
– 🇯🇵 Aisin(アイシン)
– 🇯🇵 Alps Alpine(アルプスアルパイン)
– 🇯🇵 Pioneer(パイオニア)
– 🇯🇵 Mitsubishi Electric(三菱電機)
– 🇯🇵 Astemo(日立 Astemo)
– 🇩🇪 Bosch(ボッシュ)
– 🇩🇪 ZF
– 🇩🇪 Elektrobit
カーオーディオ・インフォテインメント:
– 🇺🇸 Harman(サムスン傘下)
– 🇩🇪 Bertrandt
– 🇭🇺 NNG
– 🇨🇳 JoyNext
IT・クラウド・半導体:
– 🇨🇳 Tencent(テンセント)
– 🇨🇳 Huawei(ファーウェイ)
– 🇺🇸 NVIDIA
…など 計 43 社。日本企業だけでもトヨタ・日産・デンソー・アイシン・パイオニア・三菱電機・ゼンリン・アルプスアルパインなど名だたる企業が参加しており、これらの企業の地図・ナビ・運転支援システムの ほぼすべてが zserio を経由してデータを処理しています。
技術的な詳細は
技術者向けの解説(脆弱なコード、PoC、修正方針)は GitHub の Advisory ページ に詳しく書かれています。
- CVE-2026-33524 (GHSA-cwq5-8pvq-j65j)
- CVE-2026-33666 (GHSA-fjwv-6wcr-vqwj)
- zserio v2.18.1 Release Notes
参照・データの出典
本記事中の数字・主張の根拠:
- 「何百万台もの車で稼働中」:zserio プロジェクト README の記述
"Zserio serialized data is used in millions of deployments in cars on the road"より - NDS 加盟 43 社の企業リスト:NDS Association 公式メンバー一覧 より
- 各 OEM の年間生産台数:各社の年次決算・販売統計より概算
- 日本国内の自動車保有台数(約 8,200 万台):自動車検査登録情報協会の最新統計 より
- 修正版リリース:zserio v2.18.1 (2026-04-23) の Release Notes
コメントを残す