Denial of Service（DoS）攻撃

Denial of Service (DoS) 攻撃とは、大量のトラフィックや不正リクエストを送りつけることで、システムのリソースを枯渇させ、正當なユーザーがサービスを利用できないようにする攻撃です。NIST SP 800-61 (Computer Security Incident Handling Guide) では、可用性（Availability）を侵害する攻撃として定義されています。本事例のように、OCPP 1.6のような暗號化されていないプロトコルを標的に、充電セッションを強制終了させる攻撃は、EV充電インフラの信頼性を根本から揺るがすものです。これはISO/SAE 21434で定義される「サイバーセキュリティ・リスク」そのものであり、攻撃の実現可能性（Attack Feasibility）と影響度（Impact）の両面から評価されるべき重要課題です。攻撃者が複數のデバイスを同時に操るDDoS攻撃は、単一の充電器だけでなく、充電管理システム（CSMS）全體を停止させる可能性があり、事業継続計畫（BCP）への直接的な脅威となります。

Denial of Service対策を企業リスク管理に組み込むには、以下の3ステップが不可欠です。第一ステップは「資産の特定と脅威の分類」です。EV充電器、OTAアップデートサーバー、V2X通信モジュールなど、攻撃対象となり得る資産をすべてリストアップします。第二ステップは「防禦コントロールの実裝」です。流量制限（Rate Limiting）、IDS/IPS（侵入検知・防止システム）、およびDDoS対策サービスの導入が含まれます。第三ステップは「インシデントレスポンスの確立」です。攻撃検知から復舊までの手順を文書化し、訓練を実施します。例えば、臺灣の充電インフラ企業がOCPP 1.6の脆弱性を利用したDoS攻撃対策を導入した結果、サービス稼働率が99.9%に向上し、顧客満足度が25%改善した事例があります。KPIとして、平均復舊時間（MTTR）や攻撃検知率を設定することが重要です。

臺灣企業在導入DoS対策時、主に3個挑戰：法規認知不足、技術人才稀缺、以及成本效益的認知落差。首先，臺灣《資通安全管理法》已將關鍵基礎設施納入監管範圍，汽車供應鏈企業必須確保其產品具備抗DoS能力以符合法規要求。其次，汽車資安人才具備IT與OT雙重背景者極為稀少，企業應與專業顧問公司合作，透過技術移轉快速建立能力。第三，許多企業將DoS視為低頻事件而延後投資，但隨著OTA技術普及，OTA通道成為新的攻擊面，一旦被DoS攻擊導致OTA失效，車輛安全風險將急遽上升。建議企業以90天為一個週期，完成從風險評估、控制措施導入到驗證的完整流程，確保符合ISO/SAE 21434與TISAX的雙重要求，以提升國際競爭力。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Denial of Service相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact