クルマのハッキング対策カンファレンス「escar Asia 2015」リポート：セキュリティ業界、1440度（16）（3/4 ページ）

CANプロトコル、OBD-IIインターフェースが抱えるリスク

　Digital BondのDale Peterson氏の講演「車載診断機能『OBD-II』を狙った攻撃と防御」では、CANプロトコルやOBD-II（On-Board Diagnostics II）インターフェースのセキュリティ上の問題点に関する発表が行われました。

　Peterson氏によれば、プラントなどの制御システム（ICS：Industrial Control Systems）では、プロトコル自体が脆弱であるために、システムの脆弱性を悪用される事例よりも「もともと存在する機能を悪用されてしまう」事例の方が多いそうです。Peterson氏は、「自動車について言えば、さまざまな制御用メッセージを暗号化無しでやりとりしているCANプロトコルがこれに該当する」と指摘しています。

　CANはプロトコルの仕様上、アクセス可能であれば任意のメッセージを自由に挿入することができてしまうため、OBD-IIのようなCANバスへ直接接続可能なインターフェースは、利用方法によってはリスクを伴うことがあります。その具体例としてPeterson氏は、保険会社が提供している「OBD-II経由で車両情報をクラウド上にアップするデバイス」を挙げています。このようなデバイスに対する調査を行ったところ、通信の暗号化やファームウエアの署名が行われていないことが分かったそうです。さらに、アップデートも考慮されておらず、こうした問題に対して全く対応することができない状況にあったとのことです。

　Peterson氏は、「こうしたデバイスは、OBD-IIインターフェースを持つ数多くの車両に接続されている。もし、車両情報が送られる先のサーバーサイドが攻撃を受けた場合、接続されている全ての車両に対して影響を及ぼす危険性がある」と指摘し、これらのデバイスやサービスに対しては、必要性に応じた最低限の機能だけを提供するなど、権限管理を正しく行うべきであるとしています。

図4 CANプロトコルの仕様上の問題点と、OBD-IIを利用したデバイス／サービスで考えられる脅威

　日本国内では、OBD-IIインターフェースを利用した保険会社のサービスは登場していませんが、運行管理などのテレマティクスサービスはすでに存在します。また、今後サービス展開を検討している企業もあります。こうしたインターフェースを活用する場合は、自動車メーカーがCANバスに対するセキュリティ対策を行うだけではなく、利用する側も、OBD-IIへの接続デバイスやサービスについて、セキュアな設計を心がける必要があるでしょう。

自動車業界の発展を目指すハッキングコンテスト

　AutoImmuneのRobert Dekelbaum氏の講演「自動車ハッキングコンテストの狙いとアジア開催の提案」では、米国で2012年から開催されている学生や現職エンジニア向けの自動車ハッキングコンテスト「CyberAuto Challenge」についての発表が行われました。

　Dekelbaum氏によれば、コンテストの開催当初は、自動車メーカーはオブザーバーとしての参加にとどまっていましたが、次第に車両提供や資金提供、現職エンジニアのインストラクターとしての派遣など、積極的な関与を行うようになり、コンテスト自体が自動車メーカーにとっても、情報の収集や共有、将来的なエンジニアの雇用につながる場として価値があるものになっていったとのことです。

　こうしたコンテストにおいて重要なのは、期間中に得られた情報の保全をどのように担保するかということです。CyberAuto Challengeでは、参加者は秘密保持誓約書へのサインを求められ、コンテスト中に記録したメモなどの記録は全て検閲の対象になります。さらに、カリキュラムにはセキュリティエンジニアに求められる道徳教育も含まれているそうです。こうした体制が功を奏してか、現在までに情報を漏えいさせた参加者は確認していないそうです。

　日本の自動車業界において、即戦力となり得るセキュリティエンジニアの数は非常に少ないのではないかと思います。運営資金の調達をはじめ、参加学生の適切な選抜など、さまざまな課題もありますが、自動車セキュリティの課題を見つけるだけでなく、新たな人材の発掘や将来的な雇用、ひいては自動車業界の発展にもつながるこうした試みが、日本においても進んでいくことを望みます。