自動車セキュリティにおける課題と取組み- 1 - jari research journal (2018. 1)...
TRANSCRIPT
- 1 -
JARI Research Journal (2018.11)
自動車セキュリティにおける課題と取組み
Issues and Research Activities of Automotive Security
大 庭 敦 *1
Atsushi OHBA
1. 背景
自動車のセキュリティについては,元々は自動
車の盗難という面が議論の中心となっていたが,
2010 年にコンピュータセキュリティを扱う国際
会議である Black Hatで,コンピュータと同様の
電子システムで構成される自動車においても,シ
ステムがハッキング出来るという報告 1)がなされ,
自動車におけるサイバーセキュリティが注目され
るようになった.
さらに,2015年の DefConで発表されたクライ
スラー Jeep の事例 2)は,携帯電話網を経由して
リモートで自動車の制御をハッキングした初めて
の例であり,大規模なリコールに発展した.
近年,スマートフォンを自動車の情報系に接続
する他自動車の OBD-IIポート(OBD:On-Board
Diagnostics,故障診断用接続ポート)に通信機器
を繋いでドライバの運転傾向から保険料を決める
サービスや,自動車メーカから提供される専用回
線を用いるコネクトサービスなど,車両が外部と
通信で繋がるようになってきた.
また,自動車に搭載される ECU (Electric
Control Unit)の数が増えるに従って,ソフトウェ
アの規模も大きくなっており,ソフトウェアのバ
グ修正などでも通信を用いることが検討されてい
る.自動車外部との通信の活用はますます広がっ
ていくことが見込まれており,それに従ってセキ
ュリティ対策が重要な課題となっている.
2. 自動車セキュリティの研究事業概要
日本自動車研究所では,平成27年度より内閣府
「戦略的イノベーション創造プログラム自動走
行: V2X等車外通信の活用にかかる自動車セキュ
リティの研究・開発」事業3),4)を受託し,平成29
年度からは経済産業省「高度な自動走行システム
の社会実装に向けた研究開発・実証事業:自動バ
レーパーキングの実証および高度な自動走行シス
テムの実現に必要な研究開発(セーフティ・セキ
ュリティ技術評価環境の構築(セキュリティ))」
事業5)として受託し,自動車セキュリティの研究
等に取組んでいる.
本稿では,その概要について紹介する.
2. 1 自動車セキュリティ対策の基本的考え方
自動車において,セキュリティ攻撃を受けるア
タックサーフェスとして,自動車外部との通信が
最も狙われやすい.こうしたアタックポイントと
なりえる外部との通信として,自動車の場合には
図1に示す様に4G/LTEやV2Xなどの無線通信や,
OBD-IIなどの有線通信がある.
また,セキュリティを,特に防御する側から考
える上では,IT業界での考え方と同様に,階層ご
とにセキュリティ対策を行う多層防御の実装が共
通の認識となっている.多層防御の階層の構成や
数については各社によって異なるが,4階層とす
るものが多い.本事業においては図2に示すよう
に4階層のモデルを用いた.第1階層はクラウドな
どを含むモビリティ社会全体,第2階層は車両全
体,第3階層は車載ゲートウェイから下の車内ネ
ットワーク,第4階層はECUなどのコンポーネン
トで構成されている.
JARI Research Journal 20181101
【研究活動紹介】
*1 一般財団法人日本自動車研究所 ITS研究部
- 2 -
JARI Research Journal (2018.11)
図1 自動車における外部通信の例
図2 セキュリティ防御の階層構造3)
2. 2 目的
自動車におけるセキュリティの確保にあたって
は,多くのユースケースを見据えた対策が必要で
あり,多方面の知見に基づく共通基盤技術として,
共通評価技術等の開発,およびそこから得られた
知見等の共有化を進めることが望ましい.しかし,
セキュリティ技術の効果・評価については数値化
することは非常に困難であることから,個々の自
動車に対するセキュリティ対策の妥当性を客観的
に証明することは難しい.一方で,共通の基本シ
ステムに対して対策すべきポイントや,そのポイ
ントに対する対策の評価方法・基準などについて
は,企業間の競争によるものではなく,自動車業
界の共通課題として,知見等を共有化できるよう
にすることが重要となる.
本研究では,客観的な評価の考え方とその実施,
および知見の共有化のための仕組みを構築するこ
とを目的としている.
- 3 -
JARI Research Journal (2018.11)
2. 3 研究内容
本研究においては,図2に示した第2階層以下,
すなわち,車両の内部におけるセキュリティを主
たる対象とした.ただし,第1階層において発生
したセキュリティ上の脅威は,外部通信(V2X,
Wi-Fi,スマートフォン等)を経由して,第2階層
以下への入力となることも想定して検討を行った.
具体的には,「自動運転の共通モデルの構築と,
それに基づく脅威分析,セキュリティ要件および
対策の検討」「車両への攻撃に対する評価手法・基
準の検討」「V2X通信における署名検証の簡略化の
研究」の3つのテーマを設定した.それぞれの実
施内容について以下に説明する.
3. 自動運転の共通モデルの構築と,それに基づく
脅威分析,セキュリティ要件および対策の検討
セキュリティ対策の重要な要素技術の一つが脅
威分析である.脅威分析とは,どのような脅威が
存在し,その脅威に対する対抗策(セキュリティ
要求)として何が適切であるかを考え,予想され
るリスクを十分低減しているかを明確にするため
に実施されるものである.
脅威分析は,以下の要素を基に実施するのが一
般的である.
・システムアーキテクチャ
・ユースケース(想定利用例)
・脅威分析手法
・リスクアセスメントのための基準
・対抗策(セキュリティ要求)の作成
ここでは,国内・海外のプロジェクトにおける
脅威分析の実施事例について調査を行うとともに,
本研究の中で用いる自動車の車内システムアーキ
テクチャとして,図3に示すモデルを設定した3).
図3 設定した車内システムアーキテクチャ3)
また,脅威分析を行うにあたり,まず,脅威分
析に必要な様々な手法および方法論を統合するこ
とが可能なツール環境として脅威分析共通プラッ
トフォームを構築した.ここでは脅威分析共通プ
ラットフォームについて,その概略を説明する.
3. 1 脅威分析共通プラットフォーム
本プラットフォームは,図2の第2階層以下,
ECUレベルまでを包括したシステムを対象とし
て脅威分析を実施することを想定して構築した
(図4).
- 4 -
JARI Research Journal (2018.11)
図4 脅威分析の対象システム5)
図5 脅威分析共通プラットフォームの構成5)
本プラットフォームはSparx Systems社のEA
(Enterprise Architect)上のアドインとして開発
しており,システムエンジニアリング用記述言語
である SysML (System Modeling Language)
の一部にセキュリティ上の拡張をして用いている.
また,アタックツリー図の作成等はガイオテク
ノロジー社のSecuLiaの上に,リスクアセスメン
トを機能拡張として組み込んだ.本プラットフォ
ームの構成を図5に示す.図中,上部が既存ツー
ルの拡張したものおよび,新規に開発したもので
ある.
3. 2 リスクアセスメント
システムレベルを含んだ脅威分析を実施するに
あたっては,新たな多段攻撃・多層防御における
リスクアセスメントモデルとして,漸減モデルと
内部潜伏モデルを考案し,本プラットフォーム上
に実装した.
漸減モデルは多層で防御されるので,セキュリ
ティ・ゾーンによる区分が多いほど総合的なリス
クは低くなるもの,内部潜伏モデルは,内部に一
旦潜入されるとリスクが高まるものを想定した.
これらのモデルを実装した脅威分析共通プラッ
トフォームを用いて,図3に示す車内システムア
ーキテクチャを題材とした脅威分析を,今後実施
していく.
- 5 -
JARI Research Journal (2018.11)
4. 車両への攻撃に対する評価手法・基準の検討
車両のセキュリティに関する評価技術・評価基
準の検討を目的として,本テーマの研究対象とし
て設定した階層である,「車両全体」,「車内システ
ム」,「コンポーネント」に対して,実機を用いた
攻撃手法・評価方法を検討した.
「車内システム」,「コンポーネント」に対する
評価に関しては1つまたは複数のECUからなる評
価システムを開発し,設定した脆弱性に対する攻
撃容易性の検証を行った.
また,車両全体の主要構成部品による模擬評価
環境として図3に示した車内システムアーキテク
チャに基づく「TCU ⇔ ゲートウェイ ⇔ ダミー
ECU」からなる車両模擬システムの構築を進めて
いる.
4. 1 コンポーネントレベル・車内システムレベ
ル評価
自動車業界のコンポーネント(ECU など)の
評価基準検討に向けては,コンポーネントに対す
る攻撃の発生可能性を定量化する必要がある.
ここでは,コンポーネントにおける重要な機能
であるソフトウェア更新機能(リプログラミング)
への攻撃に着目し,評価システムを開発してきた.
この評価システムは,リプログラミングを許可す
るためのセキュリティ認証で使われる乱数にセキ
ュリティレベルの異なる脆弱性を設け,定量的な
評価ができるようになっている.また,この評価
システムを用いて,CAN におけるメッセージ認
証について脆弱性があった場合の評価を行った.
図 6に,これらの評価に用いたシステムを示す.
ECUから出てきた信号を処理して,PCに取り込
み,PCで処理を行うものである.
図 6 コンポーネントの評価システム 4)
4. 1. 1 認証用の鍵への攻撃を想定した乱数のエ
ントロピーの検討
メッセージ認証用の鍵に対する攻撃シナリオの
代表例が,総当たり攻撃である.鍵の生成に使わ
れる乱数のエントロピーに対して,攻撃の成功時
間を見積もり,求められるエントロピーを考察し
た.
メッセージ認証用の鍵に対する攻撃シナリオは,
平文と暗号文に対するエントロピー空間内におけ
る総当たり攻撃として説明できる.総当たり攻撃
とは,暗号解読方法のひとつで,可能な組合せを
全て試すやり方である.攻撃成功確率を 50%とし
たときに,エントロピーの半分で攻撃が成功する
ことを意味する.すなわち,エントロピーが 2H
の場合において,2H-1 回の演算処理で鍵が見つけ
られる攻撃である.この場合の攻撃成功時間を,
必要最低限のエントロピー毎に計算により求めた
結果を表 1に示す.
表1 エントロピーと攻撃時間の関係5)
(総当たり攻撃)
エント
ロピー
攻撃時間(T)
1 us 1 ns
40 bit 約 6 日 約 9 分
48 bit 約 4 年 約 1 日
64 bit 約 105年 約 102年
100 bit 約 1016年 約 1013年
上記より,認証用の鍵への攻撃が車のライフサ
イクルを想定した期間(102 年)以内に成功しな
いようにするためには,エントロピー64 bit以上
が望ましいことが分かる.
評価システムを用いた評価では,乱数のエント
ロピー強度と乱数の初期化あり・なしを組合せて
セキュリティレベルを複数設定したうえで実験を
行い,脆弱性が存在する場合に攻撃評価を成功さ
せた.
4. 1. 2 メッセージ認証システムの評価に関する
検討
自動車業界で車内システムのセキュリティ対策
としてメッセージ認証が検討されている.メッセ
ージ認証への攻撃の例としては,暗号鍵の入手・
解読による不正メッセージの生成・注入がある.
- 6 -
JARI Research Journal (2018.11)
暗号鍵の入手・解読を現実的な時間で成功させる
には,暗号鍵の管理・運用が適切でないなどの問
題があって,鍵を特定できる情報がないと非常に
困難である.
そこで,評価のパラメータとして,開発者の設
計ミスによりメッセージ認証の設定に脆弱性を作
りこんでしまった事例を想定し,評価システム上
に脆弱性を実装した(図 7).
図 7 メッセージ認証評価システム 5)
ここでは,MAC(Message Authentication
Code)検証の設定ミスとして,MAC 検証を行わ
ない ID があることと,FV(Freshness Value)
を初期化するための同期メッセージの間隔が FV
カウンタの飽和する時間より長いという脆弱性を
作り込んで実験を行った.
これらの脆弱性を利用することにより,攻撃評
価では,不正メッセージの注入とメッセージ再送
攻撃のいずれも成功させることができた.
評価システムを用いた攻撃評価では,いずれの
事例においても攻撃に成功しているが,攻撃の準
備段階で設定した脆弱性を発見できたからであり,
セキュリティ対策を正しく実装することの重要性
を確認することができた.
4. 2 車両模擬システムの開発
車載システムのセキュリティには,脆弱性情報
の共有などのインテリジェンスの構築と,評価手
法の研究や人材育成などに取り組んでいくことが
重要である.しかし,評価を行うためには,単体
のECUレベルか,実際の自動車のシステムを使用
しなければ実施できないという制限がある.さら
に,自動車のシステムを使用する場合には,車種
によってアーキテクチャやインタフェースが異な
るなど,自動車によって評価結果が再現しないと
いった課題があった.課題解決のためには,多く
の機関やエンジニアが共通で使うことができる車
両レベルの評価環境を構築することが有効と考え
られた.
そこで,知見を共有することができ,評価結果
をどこでも再現できるよう,車内システムアーキ
テクチャ(図3)に基づく車両模擬システムを,
オープンプラットフォーム「セキュリティテスト
ベッド」(以下,「テストベッド」という)として
構築することとした.
4. 2. 1 テストベッドの全体構成と機能
テストベッドのブロック図を図 8に,全体の外
観を図 9に示す.テストベッドには,車両外部と
の通信としての TCU(Tele Communication
Unit),車外からの通信データを受ける車載ゲー
トウェイ(C-Gateway)と,「走る・曲がる・止
まる」の制御用各 ECU,および,各 ECUに対応
するプラントモデルを実装し,車内システムを模
擬・簡略化した構成とした.また,TCU以外の車
外との通信として,Wi-Fi 接続と,自己診断機能
OBD-II ポートに相当する有線通信機能を実装し
た.さらに,評価環境の内部で起こっていること
をモニタするための専用 CAN ポートを設け,不
正メッセージ検出結果を出力するようにした.
これらの機能を装備することで,「コネクテッド
コネクテッドカー」を対象としたセキュリティの
基本的な評価・研究を行うことが可能な環境を実
現した.
保護データ(平文)ID’ FV値 MAC(認証子)
ID 保護データ(平文) FV値 MAC(認証子)
マスタECU
スレーブECUA スレーブECUB
共通鍵 共通鍵
CAN
0x064(16進)
受信成功時:0x264(16進)受信失敗時:0x464(16進)
MAC付きメッセージを送信
FV同期信号を送信
受信内容をエコーバック
受信したメッセージのMAC検証
- 7 -
JARI Research Journal (2018.11)
図8 テストベッドのブロック図5)
図9 テストベッドの外観5)
4. 2. 2 セキュリティ機能
テストベッドに実装したセキュリティ機能の代
表的なものについて以下に説明する.
(1) CANの暗号化
CAN の脆弱性については以前より認識されて
おり,対策が急務となっている.
本研究で実装した対策は車載ソフトウェアとし
て実績のある AUTOSAR 規格に準拠しているた
め,今後,市場に出荷される車両とほぼ同程度の
セキュリティ機能が実現可能であり,より製品に
近い評価が可能な構成となっている.
(2) Ethernetの暗号化
TCUとC-Gatewayを接続するEthernetでは,
IPベースの通信を採用しているが,大きく分けて
下記 2つの用途を前提としている.
・セキュアな車外環境の構築:Web サービス,
OTA(Over The Air),等
・セキュアな車内通信の構築:制御信号,OTA
のデータ,等
なお,車外との通信環境を想定する疑似サーバ
と TCUとの通信には TLS1.2を採用している.
(3) セキュアブート機能
車載ECUには,オープンな規格(TCG: Trusted
Computer Group)が存在するTPM(Trusted
Platform Module)を用いたセキュアブートを採
用した.
テストベッドに実装したセキュリティ機能を階
層別に表 2に示す.
- 8 -
JARI Research Journal (2018.11)
表 2 実装したセキュリティ機能 5)
階層 名称 セキュリティ対策
1 車外通信
システム
・サーバ認証
・コンテンツ暗号化
・パケットフィルタリング
2 車両全体 ・車載器(ECU)認証
・ネットワーク分離
・ドメイン分離
3 車内シス
テム
・メッセージ認証
・通信路(CAN,Ether)暗号化
・パケットフィルタリング
4 コンポー
ネント
・ECU認証
・プログラム認証
・コンテンツ暗号化
4. 2. 3 テストベッドの活用
テストベッドはオープンプラットフォームとし
て開発し,ここで使われる通信プロトコルや暗号
等は,公開されている標準規格を採用した.これ
らの仕様は,テストベッドを用いた研究の活用を
広げていくため,あるいは,人材育成に用いるた
めに,研究活動等への参加者に開示していくこと
が前提となっている.
今後は,研究活動における成果を参加者で共有
できるような仕組みを検討する予定である.
5. V2X 通信における署名検証の簡略化の研究
図10にV2X車載器の概念図を示す.自動車外部
との通信,例えば,携帯網を使った通信や,Wi-Fi,
Bluetooth等は,それぞれの通信仕様の中でセキ
ュリティが用意されている.しかし,V2X通信で
は,自動車業界で独自にセキュリティの仕組みを
規定する必要があり,検討,開発が行われてきた.
欧米において実用化が進められているV2X通信で
は,なりすまし等を防ぐためにすべてのメッセー
ジに署名が付けられている.署名検証の基本ステ
ップでは,メッセージ処理を行うと,受信したす
べてのメッセージが検証される.しかし,メッセ
ージの検証処理には,例えば署名検証処理など,
比較的長い時間を要するものを含むため,多くの
メッセージを受信する状況では,V2X車載器が,
すべてのメッセージを処理できないという問題が
生じる6) .
図10 V2X車載器の概念図5)
5. 1 簡略化方式の提案
上述の問題に対し,米国ではVerify-on-Demand
方式(以下,VD方式と称する)という簡略化方式
が提案されている.VD方式では,メッセージ検証
の前にメッセージ検証の要否を判定する処理を行
う.要否判定処理において,検証不要と判断され
たメッセージは破棄され,要検証と判断されたメ
ッセージは受信順に検証される.VD方式には要検
証となるメッセージを大量に送りつけるDoS攻撃
には弱いという弱点が想定される.そこで,本研
究では,DoS攻撃に対してVD方式よりも高度な対
応が可能な優先度付きメッセージ検証方式を提案
した(図11).
- 9 -
JARI Research Journal (2018.11)
図11 優先度付きメッセージ検証方式フロー5)
優先度付きメッセージ検証方式では,優先度判
定処理とキュー制御によって,より優先度の高い
メッセージを受信順序に関係なく検証できる.ま
た,キュー制御の仕組みによって,車両状態や負
荷に応じたメッセージ検証の動的な順序変更や検
証取消も可能である.
5. 2 評価結果
ここでは,V2Xが普及した場合に通信が多くな
るユースケースを複数想定し,評価用の模擬シス
テムを用いて,簡略化方式(VD方式,優先度付き
メッセージ検証方式)の効果についてリアルタイ
ム性とセキュリティに注目した評価を行った.そ
の結果,リアルタイム性に関して,優先度付きメ
ッセージ検証方式の有効性を示すことができた.
セキュリティに関しては,簡略化方式はリプレイ
攻撃検査により,単純なDoS攻撃や高度なリプレ
イ攻撃に対して耐性があること示すことができた.
今後は,高度なDoS攻撃への対策について更なる
検討が必要である.
6. まとめ
脅威分析,セキュリティ評価技術,V2X通信に
おける署名検証簡略化の3つのテーマについて研
究を行っている.
脅威分析では,分析の対象となる車内システム
アーキテクチャを設定し,また,脅威分析を効率
的に行うためのツールとして,脅威分析共通プラ
ットフォームを開発した.
セキュリティ評価技術では,コンポーネントレ
ベル・車内システムレベルの評価システムを作成
し,脆弱性がある場合の攻撃容易性について検証
するとともに,セキュリティ評価に用いる模擬車
両システムをオープンな規格を使い構築した.今
後は,人材育成,セキュリティ機器開発,評価等
への活用を検討する.
署名検証簡略化では,新たに優先度付きメッセ
ージ検証方式を提案し,リアルタイム性とセキュ
リティに注目した評価により,有効性を示した.
参考文献
1) Koscher, K., et al. : Experimental security analysis
of a modern automobile. In Security and Privacy
(SP), 2010 IEEE Symposium on (pp. 447-462). IEEE
(2010)
2) Charlie Miller and Chris Valasek : Remote
Exploitation of Unaltered Passenger Vehicle :
Presentation at Black Hat (2015):
https://www.blackhat.com/us-15/briefings.html#rem
ote-exploitation-of-an-unaltered-passenger-vehicle
(2015.8)
3) 平成27年度 戦略的イノベーション創造プログラム:
V2X等車外情報の活用にかかるセキュリティ技術の研
究・開発プロジェクト_報告書:
http://www.meti.go.jp/meti_lib/report/2016fy/000459
.pdf (2018.8.14)
4) 平成28年度 戦略的イノベーション創造プログラム:
V2X等車外情報の活用に係るセキュリティ技術の研究
・開発プロジェクト_報告書:
http://www.meti.go.jp/meti_lib/report/H28FY/00054
3.pdf (2017.8.14)
5) 平成29年度 経済産業省:高度な自動走行システムの社
会実装に向けた研究開発・実証事業:自動バレーパー
キングの実証及び高度な自動走行システムの実現に必
要な研究開発 成果報告書:
http://www.meti.go.jp/meti_lib/report/H29FY/00036
2.pdf (2016.7.5)
6) 平成26年度 戦略的イノベーション創造プログラム:
V2X(Vehicle to X)システムに係るセキュリティ技術
の海外動向等の調査:
http://www.meti.go.jp/meti_lib/report/2015fy/000326
.pdf (2015.6.1)