組込みシステムのセキュリティ ~~自動車情報セキュリティ...
TRANSCRIPT
組込みシステムのセキュリティ ~~自動車情報セキュリティの視点から~~
2012年5月 独立行政法人情報処理推進機構(IPA)
セキュリティセンター 情報セキュリティ技術ラボラトリー
中野 学(博士(情報学))
背景
• 組込みシステムは、日本では重要な産業※1
– 組込みシステム関連企業従事者数は475万人(全産業比率8.1%、製造業比率47.9%)、国内総生産は約66.7兆円(国内生産比率13.1%)
• 日本での組込みシステムをとりまく現状※2
– 組込みシステムの普及率は年々上がっており、会社、家庭など様々な場所で使われるようになった
– 近年、組込みシステムの機能やサービスの向上が著しく、ネットワークに接続される製品が増えている
2 ※1経済産業省「2008年度組込みソフトウェア産業実態調査」 ※2総務省「平成22年度通信利用動向調査」
組込みシステムセキュリティの必要性
• なぜ今、組込みシステムセキュリティを考えるのか? – スタンドアロンであった組込みシステムがネットワークに接続された
ことにより、ネットワークを介した脅威にもさらされる様になった – PCの場合であればアンチウィルスソフトの導入やファイアウォール
の利用などで防がれていた脅威が、組込みシステムでは十分対策されないまま利用されている
3
・コスト優先の現状ではなかなか セキュリティにリソースをさけない ・開発者のセキュリティ教育を実施 するのも困難
開発者の声
クラウド
組込みシステム特有の課題(1/2)
• 製品回収が必要になる可能性 – 組込みシステムはソフトとハードを一体化して開発されている – ソフトとハードが密接に関係しており、ソフトによる修正パッチのみで
セキュリティ上の弱点が解決できるとは限らない(製品回収が必要になる可能性も)
4
コンピュータ ソフトウェア
メーカ
インターネット 修正 プログラム
自社のホームページ
組込み機器 メーカ
回収した機器を 修理
該当機器を回収
該当機器を返却
該当する組込み 機器をメーカに 出して修理
ユーザがそれぞれ ダウンロードして適用
交換に120億円のコストがかかった事例も
コンピュータソフトの 問題修正方法
(ネット配信の場合)
修正プログラムを 自社のホーム ページにアップ
組込みシステムの 問題修正方法
(機器回収の場合)
組込みシステム特有の課題(2/2)
5
• システムの利用環境、セキュリティ境界が不明確 – 物理的なセキュリティのない状態で攻撃者にアタックされる可能性 – 接続されるネットワーク環境も機器やユーザにより様々 – ネットワーク上のサーバと組み合わせて機能を実現するシステムも
ある クラウド
組込みシステムのセキュリティ対策
6
企画 開発 運用 廃棄 ライフサイクル
限られた資源 ↓
セキュリティ技術の軽量化
リバースエンジニアリング ↓
解析に強い耐タンパ技術
暗号化や認証の利用 ↑
第三者からの攻撃
セキュリティガイドライン ↑
タイトなスケジュール
赤字:脅威 青字:対策
ライフサイクル全体での対策が必要
マネジメント
安全な廃棄プロセスの明示 ↑
残存情報による情報漏えい
自動車の情報セキュリティ
7
ネットワーク接続の 多様化・複雑化
制御機能に対する 攻撃が脅威になる
複数無線の脆弱性 遠隔制御の乗っ取り
様々な通信経路を 利用した攻撃が発生
攻撃手法の研究や 実証実験が進む
車載Ether、IP化等 オープン化が進展
安全快適機能が 必須装備化
情報システムと 同様の攻撃が可能に
自動車情報セキュリティの必要性
近年の自動車においては,ソフトウェア制御やネットワークの利用が進む傾向にある。また,これまで自動車独自であった車内LAN等においても,コスト競争やサービス拡大の影響で,汎用アルゴリズム等が利用されつつある。
9
【CAN(Controller Area Network):主要な車載LAN方式の一つ】 ・2010年ワシントン大学Kohno氏論文「Experimental Security Analysis of a Modern Automobile」にて
CAN本体について;
(1)CAN通信は同一バス上に同報する方式で、盗聴、解析が容易
(2)認証フィールドとは発信元(ソースアドレス)がなく、なりすましが容易 など
CANを利用した車載LAN上機器の処理の不足や標準的な処理の不備などについて;
(3)走行中には無視しなければならないCANバス全体の通信停止メッセージが、実際には走行中も有効
(4)走行中のECUの書換えは禁止されているはずであるが、実際には書換えモードに入ることが可能
(5)OBD-IIに接続した実験用のPCから上記のテレマティクス端末のソフトウェアを認証手順なしで書換え
ECU単体の解析(左)、静止時の車台上でのECU間解析と試験(中)、走行中の動作試験(右)
現在は、攻撃を行うための機材とソフトウェアは市販製品では機能不足のため開発が必要で、攻撃の難易度は高い。
自動車の情報セキュリティに関連する事例(1/2)
2011年8月の発表で、遠隔からメディアプレイヤーの攻撃に成功事例も
10
受信機
ECUセンサ
(電池内蔵)
センサ
センサ
センサ !
表示機
アンテナ
RFケーブル受信機
ECUセンサ
(電池内蔵)
センサ
センサ
センサ !!
表示機
アンテナ
RFケーブル
【TPMS(Tire Pressure Monitoring System):タイヤの空気圧を常時監視するシステム】
・TPMSの脆弱性を指摘する論文(2010年8月コンピュータソフトウェア関連学会USENIX)にて
TPMSが使用する二つの無線周波数について、ソフトウェアで無線周波数をデジタル処理するソフトウェアラジオの手法を使い、TPMSの無線通信方式そのものを解析。 (1)TPMSでは通信メッセージは暗号化されていない
(2)タイヤのバルブに装着した空気圧測定装置は32bitの固有のIDを持つとともに、 自動車本体から40m離れても無線通信が可能であった。このことから路肩や高架橋 などで測定すれば、特定の自動車がいつ通過したかを記録することができる。
(3)TPMSの空気圧報告メッセージになりすますことができ、いつでも警告灯を点灯させる ことができた
遠隔からの攻撃
自動車の情報セキュリティに関連する事例(2/2)
Wireless
自動車に対する脅威とスマートフォン
• 自動車本体に対する攻撃を、以下の3パターンに分類 – ①「近接」での攻撃 – ②「中間(持込機器着脱等)」での攻撃 – ③「広域ネットワーク経由」での攻撃
駆動系 (パワートレイン)
(エンジン、トランス ミッション等)
車体系 (ボディ)
(メータ、エアコン、 ウィンドウ等)
インフォテイン メント系
(AV、カーナビ、 ETC、リアルタイム 交通情報等)
汎用ネットワーク Wi-Fi,
インターネット等
制御用車載ネットワーク CAN(A/B/C)/LIN、FlexRay、他
専用ネットワーク ビーコン(VICS), DSRC(ETC)等
安全制御系 (シャーシ)
(ブレーキ、 ステアリング、
衝突防止機能等)
マルチ メディア用 車載ネット ワーク
MOST等
車載型故障 診断装置 (ODB)
②持込機器の 中に脅威が潜在 (ウィルス等)
①近接して、直接攻撃 (ユーザ本人、
整備員なりすまし等) ③外部ネットワーク経由で
侵入、攻撃
(OBD)
スマートフォンの普及によって、より自動車と情報システムの連携が強化される。 より便利な自動車社会を構築するには、情報セキュリティへの考慮は必須。
11
駆動系
テレマ ティクス
シャーシ 系
診断・ 保守*1
ITS 機能
A. B.
F. G.
E. 安全 快適機能 ボディ系
C. D.
インフォ テイメント
持ち込み 機器
スマートフォン
パソコン タブレット プレーヤ
メモリ/HDD
エコメータ カスタムメータ
I.
H.
Bluetooth 無線LAN
USBポート SDスロット
OBD-II
設定不良、ユーザ情報漏えい、盗聴、
DoS攻撃
蓄積情報漏えい、不正設定、ウイルス感染、盗聴、不正アクセス等
ウイルス感染、蓄積情報漏えい、不正利用、不正設定、ウイルス感染、盗聴、不
正アクセス 等
設定不良、情報漏えい、不正アクセス 等
設定不良、蓄積情報漏えい、DoS攻撃 等
不正利用
(設定不良、蓄積情報漏え
い、不正利用、不正設定、ウイルス感染、盗聴)
不正利用、不正設定、盗聴 等
ウイルス感染、設定不良、操作ミス、不正利用、不正設定、ウイルス感染、盗聴、不正アクセス 等
不正利用、不正設定、盗聴 等
自動車セキュリティの分析 IPAでは自動車の情報セキュリティの分析において、自動車の機能を簡略化して考えると
ともに,それぞれに対する脅威の入り口について分析を行った。またそれぞれの機能が持つ役割等から,どのような攻撃が脅威となるのかについても検討した。
新しいシステム・サービスについても,セキュリティ上の脅威の検討が必要
13
今後の課題
14
「システム安全」の分析手法の活用と セーフティとセキュリティの協調
Systems of Systems : 複数のECUが動的に連携し、新しい機能・サービスを実現
自動車では安全性(セーフティ)を実現するために、個別の車載部品の品質を確保しつつ、さまざまな状況に応じてどのような危険があるか(ハザード)分析する手法が利用されてきた。 ハザード分析:特定の危険(ハザード)に対し、ハザードの深刻度を受け入れられるレベルに下げるよう、個別の部品やシステムごとに原因を階層的に分析する手法である。
従来
現在 自動車は情報化が飛躍的に進み、同じブレーキや駆動系に対して複数の制御装置からの指令が届くものがある。例えばブレーキについては、ブレーキペダル、アンチロックブレーキシステム(ABS)、横滑り防止システム(ECS)がある。 運転支援システムや自動運転システムは安全や快適を提供するために今後さらに増え、その際にこれら複数の制御システムは協調して動作しなければならないが、どの制御が優先され、どの制御を無視するかなどのルールや判定条件の数が制御システムの増加により組み合わせ的に増加することが問題になる。
複数のシステム間の相互作用の動的変化や競合も含めてシステム全体としての安全を実現するためのセキュリティ分析・対策の手法が必要。今後、ITS (Intelligent Transport Systems)を含め、多数のECUシステムが統合システム的に動的に連携してきている自動車の情報・制御セキュリティについて統合的に分析する手法の確立が必要である。
総合的&継続的なセキュリティ対策を
サービス提供社 自動車関連組織
利用者 Personal information Protection
Smart Phone Security
Safety and Security
樽の理論 何本もの樽材で組み合わせ、タガを締めた樽には、一番短い樽材の位置までしか水は入らない。それより長い樽材をどれほど高級なものにしたとしても、この結果は変わらない。
効果的なセキュリティ対策を実施するためには、自動車本体の関連組織のみならず、それに関わる組織・人の連携が必要
Secure Driving
The amount of water that a bucket can contain is determined by the height of the lowest board.In the same way, the security level of a system is only as strong as its weakest point.
Attackers target the weakest point in their attacks.
セキュリティレベル
利用
者
サービス
提
供社
自動
車関連組織
15
攻撃者はサービス・システム全体を分析した上で、一番弱点となっている所を狙う。 場合によってはそれを踏み台としてさらに内部に攻撃を
しかける事も。
企画 運用 廃棄 組込みシステムの ライフサイクル
組込みセキュリティに対するIPAの活動
2007年4月25日公開
組込みシステムを含んだソフトウェアの 脆弱性関連情報の受付・蓄積・公開
2007年9月26日公開
セキュア・プログラミング講座
2009年3月10日公開 自動車と情報家電の組込みシステムの
セキュリティに関する調査 2010年4月15日公開 国内外の自動車の情報セキュリティ動向と
意識向上策に関する調査 2011年4月26日公開 2010年度 自動車の情報セキュリティ動向に
関する調査
2006年5月19日公開
現場技術者向け「40のポイント集」 経営者向け「組込みセキュリティ資料」(2010年更新)
開発
2009年6月24日公開
組込みシステムのセキュリティへの取組みガイド 2009年11月25日公開
上下水道分野用のSCADAセキュリティ グッド・プラクティス
2010年11月25日公開
TCP/IPに係る既知の脆弱性検証ツール V5.0 2010年11月30日公開
SIPに係る既知の脆弱性検証ツール V2.0
2010年3月30日公開 制御システムセキュリティの信頼性と
推進施策に関する調査 2011年5月9日公開 2010年度 制御システムの情報セキュリティ動向
に関する調査
16
17
ご清聴ありがとうございました!
本成果はIPAのWebサイトでダウンロードする事ができます。 http://www.ipa.go.jp/security/index.html
Contact:
IPA(独立行政法人 情報処理推進機構)
技術本部 セキュリティセンター
情報セキュリティ技術ラボラトリー
TEL 03(5978)7527
FAX 03(5978)7518
電子メール [email protected]
(担当:小林・金野・萱島・中野・入澤)
安心・安全な「頼れるIT社会」 を目指して