UNECEのWP29により、自動車に対するサイバー攻撃検知が完成車メーカーに求められることとなりました。本論考ではそうしたルール・法規の変化を受け、「ITに対する攻撃検知方法と自動車に対する攻撃検知方法の違い」や「実行パターン」を整理、紹介します。本論考で説明する内容の要点は以下の4点です。

  • WP29において、完成車メーカーはサイバーセキュリティ攻撃の可能性を検知することなどが求められることが決定されました
  • 自動車へのサイバー攻撃を検知するには、想定される攻撃をどのように自動車で記録するのか、そのログをどのように参照するのか、という設計が必要となります
  • 自動車へのサイバー攻撃においては「物理/近距離無線/携帯端末/プラットフォーム」など複数の攻撃ルートが存在し、それぞれ特徴や防御策が異なります
  • サイバー攻撃の検知を行なうためのVSOCを新たに立ち上げる際は、既存IT-SOCとの連携が重要です

WP29におけるサイバー攻撃検知に関する要求事項

自動車に対するハッキングは自動車業界のビジネス自体を脅かす可能性があるものだということを、前回のCASE時代の自動車におけるサイバーセキュリティの6つの要諦」でご説明しました。

2020年6月にUNECE(国連欧州経済委員会)のWP29(自動車基準調和世界フォーラム)にて、サイバーセキュリティとソフトウェアアップデートに関する新たな国際基準が成立に至りました。EUではこの国際基準が2022年7月から全ての新しい車種に、2024年7月からは全ての新車に適用が義務付け1られ、日本国内でも2022年から法規制が施行される見込みとなっています2。「あったほうがよい」という推奨や各社の自主基準ではなく、法規となったことはビジネス上大きな意味を持ちます。

一般に、サイバーセキュリティにおいて"検知"の機能は非常に重視されています。一例を挙げると、NIST(米国国立標準技術研究所)のCybersecurity Framework Version 1.13では核となる機能として識別、防御、検知、対応、復旧の5つが定義されており、セキュリティイベントの発生をタイムリーに検知して、サイバーセキュリティリスクに対処することの重要性が説明されています。適切な"対応"を行なうには、攻撃の発生を適切に検知する仕組みを備えることが不可欠です。ITに対するサイバー攻撃に対しては専門組織であるIT-SOC(Security Operation Center)を立ち上げ、監視対象の機器からの攻撃検知情報を継続的に収集/分析し、24時間体制で監視するケースが多く見られます。

WP29においても同様に、自動車に対する型式認証のための要求事項としてサイバーセキュリティ攻撃の可能性を検知すること、またその攻撃を検知したことを示すデータの記録や攻撃結果を分析出来るデータを記録することが求められています。

自動車に対するサイバー攻撃検知の必要性。WP29の要求事項の一つとして攻撃を検知する仕組みの用意を求められている。

物理接続からプラットフォーム経由まで、自動車向けサイバー攻撃とその検知方法

では自動車へのサイバー攻撃には、どのような方法がありうるのでしょうか。攻撃者の心理を想定しながらハイレベルに整理しつつ、可能な限りシンプルに表現します。まずは"頭の体操"としてお読みください。

自動車に対するサイバー攻撃(イメージ)。自動車への直接攻撃、近距離通信への攻撃、自動車が接続するシステムへの攻撃、そのシステムにデータを渡すバックエンドサーバ群への攻撃により自動車を意図せず操作したりサービス不能にしたり出来る可能性がある。
  • 物理的接続による攻撃

    まず、最もシンプルな攻撃手法は、自動車に搭載されている機器に対して物理的に接続して攻撃することです。(図中の①)

    一般的なコネクテッド・ヴィークルであれば数十のECU(電子制御ユニット:Electronic Control Unit)、及びECU間のネットワークが搭載されており、"タイヤに乗ったスマートフォン"と完成車メーカーが形容するほどソフトウェアによる制御が進んでいます。ECUへの具体的な攻撃方法としては、USBメモリをIVI(車載インフォテイメント機器)に挿してランサムウェアを送り込んだり、メモリへ物理的に接続して暗号化されていない個人情報を盗み出したりといった手法が挙げられます。当然、各社で十分なテストが実施済みと考えられますが、あらゆるソフトウェアにセキュリティ脆弱性が存在している可能性があります。

  • Bluetooth等の近距離無線通信に対する攻撃

    近距離無線通信の一つであるBluetoothWifiで運転手のスマートフォンと自動車のIVIを接続する機能が提供されている場合は、その通信の乗っ取り、盗聴、改ざんを行う攻撃が考えられます。(図中の②)

    例えば公表されてから数年経過した通信規格に潜む既知の脆弱性を悪用したり、使用されているパスワードが初期値のままで暗号を解読されてしまったり、というケースが想定されます。このケースは車両内に侵入することなく攻撃を実行できるため、攻撃者から見ると自動車への物理接続攻撃よりも魅力的に見えます。

    ただし近距離無線通信に対して攻撃を行なうには、通信を行なっているその場に攻撃者が物理的に赴く必要があります。

  • 利用者の携帯端末(スマートフォンやタブレット)に対する攻撃

    ②の手法で「攻撃するために現地に行くのは煩わしい」と攻撃者が考えた場合、次に狙うのは利用者の携帯端末(スマートフォンやタブレット)です。(図中の③)

    何らかの手法を用いて運転者の携帯端末をリモートで乗っ取ることが出来れば、現地に赴くことなく自動車を操作可能となることが想定されます。携帯端末で自動車を操作する前にパスワード入力や指紋認証などを求めるセキュリティ機能があれば攻撃者にとって難易度は上がりますが、ユーザーが使い勝手を優先して「2回目以降の認証を省略」等しているケースにおいては、攻撃者が自由に操作できてしまう可能性があります。

  • コネクテッド・ヴィークルを支えるシステム群への攻撃

    携帯端末を乗っ取って攻撃できるのは、その端末と接続されている自動車(ほとんどの場合は1台)のみです。そのため、攻撃者はより効率的に多数の自動車を攻撃したいと考えるかも知れません。その場合に狙うのはコネクテッド・ヴィークルを支えるシステム群です。(図中の④)

    テレマティクスサービスを処理するプラットフォーム、自動車製造時に鍵情報を書き込む工場のシステム、ディーラーを含む多くのメンテナンス関係者が使用する車両診断システム、及びそれらのシステムへファームウェアデータを提供するシステムなどのバックエンドシステムがその一例となります。

    例えば攻撃者がファームウェアに遠隔操作可能な攻撃コードを追加し、多くのチェックをすり抜けて自動車へFOTA(無線によるファームウェア更新機能)で展開されてしまった場合、FOTAが実施された分だけ攻撃者は現地に赴くことなく遠隔操作可能な車両を手に入れることができます。

  • 防御側の検知機能の3つのキーカテゴリー

    上記のように、自動車への攻撃経路は多岐にわたります。ここからは視点を変えて、守る側はそれらの攻撃をどのようにして検知するかを考察します。

    前述のNIST Cybersecurity Framework Version 1.13では検知機能の中で以下3点をキーとなるカテゴリーとしています。

  1. "異常とイベント"
    異常な処理を検知し、イベントがもたらす潜在的な影響を把握すること

  2. "セキュリティの継続的なモニタリング"
    サイバーセキュリティイベントを識別し保護対策の有効性を検証するために、情報システムと資産をモニタリングすること

  3. "検知プロセス"
    異常なイベントに気付くことが出来るように、検知プロセスと手順を維持しテストすること

  • 物理接続/近距離無線通信への攻撃検知

    上記のキーを自動車に置き換えますと、図中の①と②に分類される自動車への物理接続/近距離無線通信経由の攻撃を判別するには、「自動車で実行されたあらゆる処理を記録」、その記録であるログデータに「異常な処理を検知したデータが含まれていないかをモニタリング」、「検知に必要なプロセスの継続的な更新」が必要であると言えます。

    とはいえ、非コネクテッドカーの場合は自動車のログデータを直接自動車に接続して収集することが出来るのは車両診断ツールを物理的につなぐ場合など、方法が限られます。よって、タイムリーにサイバー攻撃を検知することは困難です。一方、コネクテッドカーであればプラットフォームに自動車のログデータを送付・格納して異常を検知することで、比較的リアルタイムに近い形で検知できる可能性があります。

自動車へのサイバー攻撃検知方法。攻撃がどのようにされたか、は自動車上でログデータに記録し、プラットフォームへ送付して解析する形が現実的。
  • コネクテッド・ヴィークルを支えるシステム群への攻撃検知

    図中の④に分類されるコネクテッド・ヴィークルを支えるシステム群への攻撃検知はITシステムへの攻撃検知と同様に、ログの収集と解析によって運用します。各サーバは自社の裁量で運用でき、特にクラウド上に設置されたサーバであれば潤沢な性能を生かして十分なログを収集出来ます。さらに、OSやミドルウェアなど汎用品から出力されるログに対しては、汎用的な攻撃検知ツールの調達も可能です。

    一方で自動車への攻撃検知は一般的なITシステムとは勝手が異なります。そもそも自動車が自社資産でない場合、利用者の協力がなければ詳細調査が出来ません。また、ログをプラットフォームへ送付するにもハードウェアや通信帯域の制約により、ログを十分に生成し送付出来ない場合もあります。さらにECUの仕様は診断仕様など標準化が進んでいる領域を除けば各社各様であるため、攻撃検知ルールは各完成車メーカーがそれぞれ作り込む必要があるなど、業界全体における今後の課題だと認識されています。この点を次章で掘り下げて解説します。

自動車とITのサイバー攻撃検知の違い。攻撃検知対象が自社資産ではない場合は直接詳細調査が難しいことがあること、ログが十分に収集できないことがあること、検知ルールの作り込みが必要になることの三点が大きな違いとなる。

自動車/プラットフォーム向け攻撃検知の実行モデル

前述の通り、自動車向け攻撃検知はIT向けと勝手が異なります。それに加え、イベントが検知されてもIT-Security部門の人材だけではインシデント対応が難しく、自動車内部に精通したR&D部門の人材の知見が必要です。このことから、IT-SOCに加えて自動車に関する攻撃を検知する組織「VSOC(Vehicle Security Operation Center)」を新設するケースがあります。

VSOCを設置し、自動車に対する攻撃の「網羅的な検知」を実現するにはVSOCとIT-SOCの協力が不可欠です。その役割分担に基づく実行モデルは大きく分けて、以下の3パターンが存在します。それぞれのメリットとデメリットを解説します。

  1. 自動車とテレマティクスに関連するバックエンドシステムをVSOCが担当、テレマティクスに関連しないバックエンドシステムをIT-SOCが担当
  2. 自動車への攻撃のみVSOCが担当、バックエンドシステムはIT-SOCが担当
  3. 自動車/バックエンドシステム共にIT-SOCが担当(VSOCの役割をIT-SOCが内包する)
自動車/プラットフォーム向けサイバー攻撃検知の実行モデル。自動車に関する攻撃を検知するVSOCとITに関する攻撃を検知するIT-SOCの役割分担に基づく実行モデルは、大きく3パターンが存在。
  • パターンA:テレマティクス一式をVSOCが担当

    パターンAは、テレマティクスサービスを構成するシステムを統合的にモニタリングできるのがメリットですが、"どこまでをテレマティクス関連システムとするのか"という線引きに苦労することになります。例えばファームウェア管理システムはFOTAでも診断システムでも連携するため、VSOC/IT-SOCのどちらでモニタリングを行なうのかという定義が困難です。

    また、IT-SOC管理下のシステムを踏み台にしてVSOC管理下のシステムへ攻撃された場合、それぞれのSOCが持つ攻撃検知情報を総合的に分析/調査することは困難です。両SOC間の連携方法を検討しておく必要があります。

  • パターンB:自動車への攻撃のみVSOCが担当

    パターンBは、自動車への攻撃のみをVSOCが管理するモデルで、役割分担の明確さがメリットです。自動車のログ品質次第では、自動車専用の組織・ツールを用意する価値がある可能性があります。

    ただし、バックエンドシステムを経由して自動車を攻撃するパターンについてはVSOCだけでは気付けない可能性があります。確実な検知を実現するために、両SOC間の連携方法を検討しなければなりません。また、自動車のためだけに監視体制と自動車専用攻撃検知システムを用意することになるため、分割する価値が十分にあるかどうか検討の余地があります。

  • パターンC:自動車もIT-SOCが担当

    パターンCは、勝手が違うものの自動車への攻撃検知もIT-SOCで実施するモデルです。自動車のログ品質次第では攻撃検知ルールの開発コストや監視体制のコストも抑えられるため、結果として最も安価に運用できる可能性があります。

    このパターンを採用する場合、IT-SOCが自動車のログを取り扱えるよう体制・プロセス・ツールにおいて様々なチャレンジがあります。各関係者の協力や自動化技術などを活用して、課題を一つずつ乗り越えていくことが重要です。

まとめ ――自動車のサイバー攻撃検知の環境構築のために

自動車向けサイバー攻撃検知は全く新しい領域であるが故に、難易度の高い活動となります。まずは自社テレマティクスシステムにおいてどのような攻撃検知が必要か、その証左となるログの品質や参照可否を整理の上、実行モデルの検討を行なうことが重要だといえるでしょう。

Source:

1. UNECE, 2020/6/25, "UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of ‎connected vehicles", 2020/12/18閲覧

2. 日本自動車会議所, 2020/7/10, "サイバーセキュリティー厳格管理へ 準備急ぐ自動車メーカー", 2020/10/27閲覧

3. National Institute of Standards and technology, 2018/4, 2020/10/27閲覧

ニュースレター
最新コラム・調査をニュースレターで 最新コラム・調査をニュースレターで