ノルウェーの首都オスロの公共交通運営会社ルーター（Ruter）は、中国のバス大手・宇通客車が製造した電動バスに、同社が遠隔からアクセスできる状態が確認されたと発表した。台湾の中央通信社や香港メディアがこれを報じ、欧州公共交通へのサイバーリスクが改めて注目されている。

ルーターは今年夏、宇通製とオランダVDL社製の電動バスを比較テストした。宇通製は制御システムへの遠隔アクセスが可能で、ソフトウエアの更新やシステム診断を外部ネットワーク経由で実行できた。一方、VDL車には無線更新機能が搭載されておらず、両者の設計思想の差が明確になった。

外部信号を遮断するため、バスを地下鉱山へ走らせる追加試験も行われたが、結果は同様だった。理論上は、走行中のバスを停止させたり、電源制御を妨害して運行不能にする事態も起こり得ると判断された。

さらに調査では、宇通製バスがモバイル通信網を通じてバッテリーおよび電源管理システムへのアクセス権限を持つことも明らかになり、リスクはより深刻なものとなった。この権限が悪意ある第三者に奪われれば、車両停止だけでなく重大事故につながる可能性も排除できない。

欧州では既に中国関連のサイバー行為への警戒が高まっており、
→ 中国の広域サイバー諜報活動に関する調査（関連情報）
→ 米インテル製品のセキュリティ審査に関する提言（関連情報）
→ 中国系ハッカーによる米国務省のメール窃取事件（関連情報）
など、国家的背景を持つ攻撃事例も多数確認されている。

今回の事案は「公共交通」という生活インフラそのものが潜在的標的になり得ることを提示している点で、欧州の安全保障議論に新たな論点を加えた。

ルーターは今後、調達過程そのものを見直す方針だ。
具体的には、

といった多段階の安全対策を挙げている。

これらは単なるソフトウエア更新ではなく、欧州が中国製公共インフラ機器に対して抱く根源的な安全保障懸念へ対応する措置と位置づけられる。

宇通客車：法令順守とデータ保護を強調

英紙ガーディアンによれば、宇通客車は「各国法令を順守している」と強調し、データはドイツ国内で暗号化されて保存されており、利用目的は「車両保守・最適化・アフターサービスに限定されている」と説明した。

ただし欧州側では、製造元がどこまでアクセス権限を保持するべきかという根本的論争が続いており、今回の事案はその議論の再燃につながっている。

今回の一連の検証は、公共交通の電動化とデジタル化が進む中、車両制御権限の所在が国家安全保障上の重大論点であることを浮き彫りにした。欧州では今後、車両調達の段階からセキュリティ基準の策定が求められ、公共インフラ分野における中国製システムへの依存度が議論の中心になる可能性が高い。

［出典］