連載
» 2017年10月17日 05時00分 公開

セキュリティ業界、1440度(20):20年以上前のネットワーク規格が自動車や人命をセキュリティリスクにさらす (1/2)

「クルマ×セキュリティ・マップ開発の先端」セミナーと、2017年で4回目の開催となる「escar Asia」において興味深かったセッションをピックアップして紹介します。

[株式会社FFRI,@IT]

 あらゆるモノがネットワークにつながりつつある今日、自動車も、充実するインフォテイメントシステムの恩恵を受ける形で、インターネット接続やV2X通信の実装が進んでいます。自動車向けセキュリティ対策は、Black HatやDEFCONなどの国際セキュリティカンファレンスにおいても議論の中心になりつつあり、喫緊の課題になっています。

 本稿では、2017年8月28日に開催された「クルマ×セキュリティ・マップ開発の先端」セミナーと、2017年9月5〜6日に開催された「escar Asia 2017」において、興味深かったセッションをピックアップして紹介します。

画像 2016年同様、目黒雅叙園でescar Asia 2017が開催された

自動車セキュリティへの取り組み事例と、情報セキュリティと安全性の融合

 「クルマ×セキュリティ・マップ開発の先端 〜コネクティッド・ADAS・自動運転で必要なこと〜」では、自動車セキュリティの動向、脅威、対策の各分野についての講演が幾つかありました。

 そうした中、国内における組み込みOSの第一人者である、名古屋大学の高田広章教授は、自動車セキュリティを取り巻く環境、安全とセキュリティの関わり、今後の動向と課題について講演しました。

画像 名古屋大学の高田広章教授「車載ネットワークで使うプロトコルのデファクトスタンダードといえるCAN(Controller Area Network)においても、認証や鍵交換に問題がある」

自動車セキュリティへの取り組み事例

 コンピュータ搭載の自動車が増えている昨今、自動車のインターネットへの接続は、一般的になりつつあります。JeepやTeslaの遠隔操作事例やイモビライザー(注1)の脆弱(ぜいじゃく)性など、サイバーセキュリティ上の問題が次々に露見しています。特に、イモビライザーの脆弱性は、既に被害が発生しているため、深刻な問題といえます。

注1:自動車盗難防止システムの1つ。電子的なキーの照合システムにより、専用のキー以外ではエンジンの始動ができない仕組み

 こうしたセキュリティ上の課題に対して、同講演では、以下のような取り組みを紹介しました。

  • 米国のエドワード・マーキー上院議員による、「SPY Car Act法案(Security and Privacy in Your Car Act of 2015)」の提出
  • NHTSA(米国運輸省道路交通局)やSAE(米国自動車技術会)による、自動車を対象としたサイバーセキュリティガイドラインの発表
  • Auto ISAC(Information Sharing and Analysis Center)による業界内での情報共有組織の設立
  • 米国DHS(Department of Homeland Security)が支援するUptaneプロジェクト

情報セキュリティと安全性の融合

 一般的に、「安全性」についての議論は、主に故障や事故などの物理的なインシデントをトピックにするため、「情報セキュリティ」と比較した場合、守るべき資産と対象が異なります。情報セキュリティは、故意の攻撃から情報を守る手段を主に取り扱う分野ですが、安全性の分野では、偶発的に発生する故障やヒューマンエラーから、自動車そのものなどの“目に見える財産”に加え、バッテリーに蓄積されている電気エネルギーなどの目に見えない財産、乗員の人命を守る手段を取り扱います。

 「組み込みシステムにおいて守らなくてはならない資産は、情報のみではない。従来は安全性の分野で議論されてきた資産にも情報セキュリティが関わってきている。一方で、偶発的に生じる故障などに対する安全対策は、セキュリティ強化に有効であるが、悪意を持った攻撃などに対するセキュリティ対策としては不十分」(高田氏)

製造する車両に対してどれほど脅威分析を行う必要があるのか

 こうした資産のセキュリティ対策には、SbD(Security by Design)や脅威分析、複数のセキュリティ対策による多層防御など、新たな考え方の導入が必要です。現在、自動車向け情報セキュリティにおいては、必要な対策の基準が明確ではありません。そのため、開発者にとっては、製造する車両に対してどれほど脅威分析を行う必要があるのか判断しづらい点が課題です。

 高田氏は講演の最後に、「今後、セキュリティ要求分析手法やセキュリティ対策技術の開発、自動車に関わるさまざまな業界で共通のセキュリティ基盤が必要である」と総括しました。

自動車向けサイバーセキュリティのコストは、誰が負担すべきか

 自動車向けサイバーセキュリティ製品を手掛けるTrilliumの執行役員であり、同社の事業開発部長も務める山本幸裕氏の講演では、車載機器セキュリティ製品のSaaSモデル確立に向けた取り組みが発表されました。

画像 Trillium 山本幸裕氏

 現在、企業や家庭で利用されているPCには、セキュリティ製品の導入が進んでいます。従来、パッケージ買い切りの形で提供されることが多かったセキュリティ製品ですが、インターネットの普及に伴い、現在は年間契約による提供(SaaSモデル)での提供が主流になっています。

 山本氏は、同様の仕組みを車載機器向けセキュリティ製品に適用するための取り組みを紹介しました。

 自動車は、品質向上に伴い年々、長寿命化しています。山本氏によれば、「継続的なセキュリティ対策を実施するには、クラウドやOTA(Over-The-Air)アップデートを活用したセキュリティ基盤を持つ、ソフトウェアベースのシステムが必要」とのことです。

 山本氏は、「自動車向けサイバーセキュリティのコストは、自動車メーカーやサプライヤー、消費者など、誰が負担すべきか」という点についても指摘しています。

 2016年に開催された国際的なセキュリティカンファレンスである「RSA Conference 2016」では、自動車向け査定や調査を行うKelly Blue Bookによる米国でのセキュリティ意識調査の結果が報告されています。同調査によれば、約半数の消費者が、「ハッキング対策およびハッキングに対する保険に月額10ドル程度のコストを負担する」と回答したそうです。

 サイバーセキュリティ対策は効果が見えづらく、国内では、消費者の意識はまだ高くありません。この問題については、今後さらなる議論が必要でしょう。

IoT機器としての自動車に対するセキュリティ対策と、攻撃実証実験

 「escar Asia 2017」では、自動車メーカーやサプライヤー、情報セキュリティ企業や大学研究者が多く参加し、最新の自動車セキュリティ対策製品の解説や既存システムの脆弱性報告、パネルディスカッションなどが行われました。

画像

 広島市立大学の井上博之准教授による講演は、現在、自動車が抱えるセキュリティ上の弱点を指摘した後、それらが実際に攻撃に利用できる点を、研究事例による具体例を通じて発表するものでした。

産業用IoT機器や自動車は寿命が長い

 身近な消費者向けのIoT(モノのインターネット)機器といえば、スマートウォッチや携帯ゲーム機、Webカメラなど、複数挙げられます。対して、産業向けのIoT機器は、工場の生産設備やATM、デジタルサイネージなど、ネットワークに接続していると意識していない機器も、実は多いのです。

 産業用IoT機器の特徴の1つは、利用期間が消費者向けよりも長い点です。井上氏は、この点について「セキュリティ上の問題が数多く存在する」と指摘しました。旧式の産業用IoT機器の場合、適切なペースでソフトウェアアップデートが行われていない例も多いためです。

 井上氏は、「信頼性向上に伴って長寿命化した自動車の場合も、継続的なソフトウェアアップデートが必要」と指摘しました。

CANが策定されたのは、20年以上前

 自動車は、インターネット以外にも、車車間通信や路車間通信、車内ネットワーク通信など多様な通信を行うため、攻撃を受ける経路も多いといえます。

 CANが策定されたのは、20年以上前のことです。当時、自動車と外部ネットワークとの接続は、想定されていませんでした。今日、自動車が外部ネットワークに接続する場面は増加し、接続の際にセキュリティ上の問題が生じる例も増えています。CANそのものは、車内ネットワークだけではなく、工場、工作機器などでも利用されている通信プロトコルです。そのためCANを使った制御ネットワークが、外部ネットワークから悪意を持った攻撃を受けた場合、重大な被害につながり得るのです。

 現在、車内ネットワークに接続されているIVI(In-Vehicle Infotainment)(注2)の多くは、各社が独自に開発したもので、セキュリティ基準や実装の程度もまちまちです。「IVIからのインターネット接続が増加する昨今、脆弱性が見つかった場合の修正方法や、攻撃への対策が課題になっている」(井上氏)

注2:車内環境で情報と娯楽の両方を提供するシステムの総称

ハイブリッドカーを対象に、攻撃実証実験

 井上氏は、国内で販売されているハイブリッドカーを対象に、攻撃実証実験を行いました。

 実験では、ODB-IIポートに接続する攻撃用車載機を開発し、攻撃対象のハイブリッドカーに実装されているCANメッセージを解析。攻撃用車載器からCAN接続された機器に対して、インターネット経由で攻撃が可能であることを実証しました。

 同実験で行われた攻撃では、ドアロックの解錠やハザードランプの点滅制御、インストルメントパネル(注3)表示情報の改ざん、パワーステアリングやブレーキへの干渉が可能であったとのことです。同実験が採用した攻撃方法は、CANプロトコルの仕様を突いたものであり、実験に使う車両に問題があったわけではありません。つまり、同実験で可能だった攻撃は、CANを使用し、インターネットに接続するあらゆる自動車に対して実行可能なのです。

注3:スピードメーター、タコメーター、燃料計、水温計、距離計など、自動車の走行に必要な情報を指す計器類を配置したパネル

 攻撃用車載機によるデモ実験では、特定のECU(Electronic Control Unit)(注4)を強制的にバスオフ状態(CANへの接続を切断した状態)にした後、なりすまし攻撃を実施。ECUの故障によるものか、悪意によるものか判断できないレベルの攻撃が可能であることを実証しました。

注4:自動車における各種機能の制御をつかさどるマイクロコントローラー

 CANの後継として、CAN-FDやFlexRay、BroadR-Reach(車載イーサネット)など、新たな車内通信用の規格も提案されています。しかし、それらは製造コストが高いため、今後もCANの使用は続くでしょう。ODB-IIポートやIVIをはじめとする、CANへの“入り口”でのセキュリティ対策は、非常に重要です。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。