特開2022-176312車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022176312
(43)【公開日】2022-11-25
(54)【発明の名称】車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
(51)【国際特許分類】
G06F 21/55 20130101AFI20221117BHJP
【FI】
G06F21/55 320
【審査請求】有
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022160651
(22)【出願日】2022-10-05
(62)【分割の表示】P 2021505592の分割
【原出願日】2020-02-05
(31)【優先権主張番号】P 2019047283
(32)【優先日】2019-03-14
(33)【優先権主張国・地域又は機関】JP
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103090
【弁理士】
【氏名又は名称】岩壁 冬樹
(74)【代理人】
【識別番号】100124501
【弁理士】
【氏名又は名称】塩川 誠人
(72)【発明者】
【氏名】坂田 正行
(57)【要約】
【課題】サイバー攻撃における実際の攻撃の段階よりも前にサイバー攻撃の予兆を検知できる可能性を高める。
【解決手段】車載セキュリティ対策装置10は、通信ログを収集するログ収集手段11と、収集された通信ログを解析するログ解析手段12と、ログ解析手段12が通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する制御手段13とを備え、車載ネットワークと車両外の装置との通信に使用されるネットワークとに接続可能な車載中継装置に搭載される。
【選択図】図7
【解決手段】車載セキュリティ対策装置10は、通信ログを収集するログ収集手段11と、収集された通信ログを解析するログ解析手段12と、ログ解析手段12が通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する制御手段13とを備え、車載ネットワークと車両外の装置との通信に使用されるネットワークとに接続可能な車載中継装置に搭載される。
【選択図】図7
【特許請求の範囲】
【請求項1】
通信ログを収集するログ収集手段と、
収集された通信ログを解析するログ解析手段と、
前記ログ解析手段が通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する制御手段と
を備え、
車載ネットワークと車両外の装置との通信に使用されるネットワークとに接続可能な車載中継装置に搭載される
ことを特徴とする車載セキュリティ対策装置。
収集された通信ログを解析するログ解析手段と、
前記ログ解析手段が通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する制御手段と
を備え、
車載ネットワークと車両外の装置との通信に使用されるネットワークとに接続可能な車載中継装置に搭載される
ことを特徴とする車載セキュリティ対策装置。
【請求項2】
前記制御手段は、前記ログ解析手段が通信ログを解析した結果、エラーの発生頻度が所定のしきい値を越えている状態が継続している場合に、エラーが発生している通信パスを遮断する
請求項1記載の車載セキュリティ対策装置。
請求項1記載の車載セキュリティ対策装置。
【請求項3】
車載ネットワークと車両外の装置との通信に使用されるネットワークとに接続可能な車載中継装置に搭載される車載セキュリティ対策装置で実行される車載セキュリティ対策方法であって、
通信ログを収集し、
収集された通信ログを解析し、
通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する
ことを特徴とする車載セキュリティ対策方法。
通信ログを収集し、
収集された通信ログを解析し、
通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する
ことを特徴とする車載セキュリティ対策方法。
【請求項4】
通信ログを解析した結果、エラーの発生頻度が所定のしきい値を越えている状態が継続している場合に、エラーが発生している通信パスを遮断する
請求項3記載の車載セキュリティ対策方法。
請求項3記載の車載セキュリティ対策方法。
【請求項5】
クラウドサーバと、通信ネットワークを介して前記クラウドサーバと通信可能な車載システムとを含み、
前記車載システムは、
通信ログを収集するログ収集手段と、
収集された通信ログを解析するログ解析手段と、
前記ログ解析手段が通信ログを解析して得られたエラーの発生頻度に基づいて、前記通信ネットワークを介して前記クラウドサーバに所定のデータを送信する制御手段とを含み、
前記クラウドサーバは、前記所定のデータを受信したときに、前記車載システムに対して、エラーが発生している通信パスを遮断させることを示すデータを送信する指示手段を含み、
前記車載システムは、車載ネットワークと前記通信ネットワークとに接続可能な車載中継装置に搭載される
ことを特徴とするセキュリティ対策システム。
前記車載システムは、
通信ログを収集するログ収集手段と、
収集された通信ログを解析するログ解析手段と、
前記ログ解析手段が通信ログを解析して得られたエラーの発生頻度に基づいて、前記通信ネットワークを介して前記クラウドサーバに所定のデータを送信する制御手段とを含み、
前記クラウドサーバは、前記所定のデータを受信したときに、前記車載システムに対して、エラーが発生している通信パスを遮断させることを示すデータを送信する指示手段を含み、
前記車載システムは、車載ネットワークと前記通信ネットワークとに接続可能な車載中継装置に搭載される
ことを特徴とするセキュリティ対策システム。
【請求項6】
前記制御手段は、前記ログ解析手段が通信ログを解析した結果、エラーの発生頻度が所定のしきい値を越えている状態が継続している場合に、前記所定のデータを送信する
請求項5記載のセキュリティ対策システム。
請求項5記載のセキュリティ対策システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両へのサイバー攻撃に対するセキュリティ対策に関する。
【背景技術】
【0002】
コネクテッドカーは、IoT(Internet of Things)技術を使用し、端末としての機能を有する自動車(車両)である。コネクテッドカーは、自車の状態に関するデータを取得したり、周囲の道路状況などの様々なデータをセンサから取得する。コネクテッドカーにおいて、データが集積され分析されることによって、新たな価値を生み出すことが期待されている。具体的には、事故時に自動的に緊急通報を行うシステムや、盗難時に車両の位置を追跡するシステム等が実用化されつつある。
【0003】
コネクテッドカーは、無線通信ネットワークを介して、他の車両やクラウドサーバと連携する。したがって、コネクテッドカーにおける車載装置のうちには、車両の外部の機器や他車両と通信を行う装置がある。よって、コネクテッドカーに、サイバー攻撃を受ける可能性が生ずる。
【0004】
サイバー攻撃は、いくつかの種類に分類される。サイバー攻撃のうちの一つに標的型攻撃がある。標的型攻撃を行う攻撃者の攻撃手順がモデル化されたフローとして、サイバーキルチェーンが知られている(例えば、非特許文献1参照)。
【0005】
図10に示すように、サイバーキルチェーンは、7つの段階(偵察(Reconnaissance)、武器化(Weaponization)、配送(Delivery)、攻撃(Exploitation)、インストール(Installation)、遠隔制御(Command and Control)、目的実行(Actions on Objectives)からなる。
【0006】
一般に、サイバーキルチェーンにおける「攻撃」の段階以降においてサイバー攻撃を検知する技術が知られている。しかし、コネクテッドカーに対するサイバー攻撃は、車両内におけるサービスの低下や停止を生じさせかねない。例えば、車両が不正に制御されるといった事態を生じさせかねない。
【0007】
したがって、例えばサイバーキルチェーンにおける「偵察」の段階で、サイバー攻撃が検知されることが望ましい。
【0008】
特許文献1には、サイバー攻撃の予兆を検知する技術が開示されている。その技術では、車両内の車載ネットワークを通過するフレームが監視され、異常フレームが検出されると、攻撃を受けている可能性があると判定される。
【0009】
未知の攻撃を受けた場合でも、攻撃を受けた事実を迅速に検知し、攻撃による影響範囲を自動的に隔離する自己学習型システム異常検知技術(ASI:Automated Security Intelligence )がある(例えば、非特許文献2参照)。ASIでは、収集した動作ログが収集され、収集された動作ログに対してAI(Artificial Intelligence )によって学習処理が行われることによって、監視対象のシステムにおける平常状態(監視対象のシステムの動作が安定している状態)が特定される。その後、監視対象のシステムの状態がリアルタイムで監視され、状態が平常状態から外れた場合に、異常が生じたと判定される。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2018-190465号公報
【非特許文献】
【0011】
【非特許文献1】"THE CYBER KILL CHAIN"、[online]、Lockheed Martin Corp.、[平成31年2月22日検索]、インターネット<URL:https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html>
【非特許文献2】多賀戸 裕樹 他、「未知のサイバー攻撃を自動検知する自己学習型システム異常検知技術(ASI)」、NEC技報、Vol. 69 、2016年9月、47-50頁
【発明の概要】
【発明が解決しようとする課題】
【0012】
しかし、車載ネットワークに異常フレームが流れているときには、車両の外部からのサイバー攻撃が既に「攻撃」の段階に入っている可能性がある。よって、特許文献1に記載された技術を用いる場合、対策が後手に回る可能性がある。また、非特許文献2に記載されたASIによれば、効果的にサイバー攻撃を検知できるが、サイバー攻撃の「偵察」の段階を検知するには、何らかの追加的な工夫が求められる。
【0013】
本発明は、サイバー攻撃における実際の攻撃の段階よりも前にサイバー攻撃の予兆を検知できる可能性を高める車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システムを提供することを目的とする。
【課題を解決するための手段】
【0014】
本発明による車載セキュリティ対策装置は、通信ログを収集するログ収集手段と、収集された通信ログを解析するログ解析手段と、ログ解析手段が通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する制御手段とを含み、車載ネットワークと車両外の装置との通信に使用されるネットワークとに接続可能な車載中継装置に搭載される。
【0015】
本発明による車載セキュリティ対策方法は、車載ネットワークと車両外の装置との通信に使用されるネットワークとに接続可能な車載中継装置に搭載される車載セキュリティ対策装置で実行される車載セキュリティ対策方法であって、通信ログを収集し、収集された通信ログを解析し、通信ログを解析して得られたエラーの発生頻度に基づいて、エラーが発生している通信パスを遮断する。
【0016】
本発明による車載セキュリティ対策システムは、クラウドサーバと、通信ネットワークを介してクラウドサーバと通信可能な車載システムとを含み、車載システムが、通信ログを収集するログ収集手段と、収集された通信ログを解析するログ解析手段と、ログ解析手段が通信ログを解析して得られたエラーの発生頻度に基づいて、通信ネットワークを介してクラウドサーバに所定のデータを送信する制御手段とを含み、クラウドサーバが、所定のデータを受信したときに、車載システムに対して、エラーが発生している通信パスを遮断させることを示すデータを送信する指示手段を含み、車載システムは、車載ネットワークと通信ネットワークとに接続可能な車載中継装置に搭載される。
【発明の効果】
【0017】
本発明によれば、サイバー攻撃の予兆を検知できる可能性を高めることができる。
【図面の簡単な説明】
【0018】
【図1】車載ネットワークを含む車載システムの一例を示すブロック図である。
【図2】CGWの機能構成例を示すブロック図である。
【図3】クラウドセンタの機能構成例を示すブロック図である。
【図4】CGWの動作を示すフローチャートである。
【図5】IVIシステムの機能構成例を示すブロック図である。
【図6】IVIシステムの動作を示すフローチャートである。
【図7】車載セキュリティ対策装置の概要を示すブロック図である。
【図8】セキュリティ対策システムの概要を示すブロック図である。
【図9】CPUを有するコンピュータの一例を示すブロック図である。
【図10】サイバーキルチェーンを示す説明図である。
【発明を実施するための形態】
【0019】
実施形態1.
以下、本発明の第1の実施形態を図面を参照して説明する。図1は、車載ネットワークを含む車載システムの一例を示すブロック図である。図1には、車外の機器等も記載されている。なお、本実施形態では、車載ネットワークは、ノードを含まないデータ通信路の部分を意味する。
以下、本発明の第1の実施形態を図面を参照して説明する。図1は、車載ネットワークを含む車載システムの一例を示すブロック図である。図1には、車外の機器等も記載されている。なお、本実施形態では、車載ネットワークは、ノードを含まないデータ通信路の部分を意味する。
【0020】
図1に示す車載システムにおいて、車載ネットワークとしてCAN(Controller Area Network )が例示されている。しかし、他の種類の車載ネットワークが使用されてもよい。
【0021】
図1に示す例では、車両100に搭載されている車載システムは、セントラルゲートウェイ(CGW:Central Gateway )110、ファイアウォール(FW:Firewall)121,122、テレマティクス通信ユニット(TCU:Telematics Communication Unit )130、車載インフォテインメントシステム(IVIシステム:In-Vehicle Infotainment System)140、FW150、電子制御ユニット(ECU:Electronic Control Unit )161,162,163,164、およびCAN170を含む。なお、CGWは、異なる種類のネットワークを接続可能な中継装置の一例である。
【0022】
なお、図1には、FW121,122およびFW150が明示的に示されているが、すなわち、独立したハードウェアとして示されているが、FW121,122が実現するファイアウォール機能は、CGW11に組み込まれてもよい。また、FW150が実現するファイアウォール機能は、IVIシステム140に組み込まれていてもよい。
【0023】
CGW110は、ゲートウェイ機能を有し、CAN170における複数のバスに接続される。FW121,122は、不正パケットなどの不正データを遮断する。
【0024】
TCU130は、3G(3rd Generation)、LTE(Long Term Evolution )、WiFi(登録商標)等の通信規格に従って無線通信を行う機能(無線通信機能)を有し、クラウドセンタ200と双方向通信可能である。CGW110は、FW121、TCU130を介してクラウドセンタ200とデータ送受信可能である。
【0025】
IVIシステム140は、音声および映像でユーザに娯楽または必要な情報を提供する装置である。したがって、IVIシステム140は、少なくとも、表示器とスピーカとを含む。IVI140の一例として、カーナビゲーション機能を有する装置がある。図1に示す例では、IVI140と無線通信可能なスマートフォン400およびBT(Bluetooth :登録商標)イヤホン410が例示されている。一般に、スマートフォン400およびBTイヤホン410は、車両100の内部に存在するユーザ、または、車両100の近傍に存在するユーザによって使用される。以下、スマートフォン400およびBTイヤホン410を外部機器という。
【0026】
IVIシステム140は、FW122、CGW110、FW121およびTCU130を介して、クラウドセンタ200とデータ送受信可能である。FW150は、不正パケットなどの不正データを遮断する。IVIシステム140は、FW150を介して外部機器と通信可能である。
【0027】
クラウドセンタ200は、例えば、クラウドサーバである。具体例として、ITS(Intelligent Transport Systems :高度道路交通システム)におけるセンターサーバがある。
【0028】
なお、図1には、説明の容易等のために、CGW110が、FW121を介して直接(TCU130を介さずに)クラウドセンタ200と通信するように表現されているが(図1における破線の矢印参照)、実際には、CGW110は、TCU130を介してクラウドセンタ200と通信する。また、図1には、IVIシステム140が、直接(TCU130を介さずに)クラウドセンタ200と通信するように表現されているが(図1における破線の矢印参照)、実際には、IVIシステム140は、CGW110およびTCU130を介してクラウドセンタ200と通信する。
【0029】
また、図1には、4つのECU161,162,163,164が例示されているが、一般に、車両100には、数10個以上のECUが搭載されている。ECUの具体例として、例えば、エンジンECU、ステアリングECU、サスペンションECU、電源ECUがある。本実施形態において、電源ECUは、電源制御手段の一例である。また、エンジンECUは、エンジン制御手段の一例である。なお、図1には、CANにおいて2つのバスが存在することが例示されているが、バスの数は、3つ以上であることが多い。
【0030】
図2は、CGW110の機能構成例を示すブロック図である。なお、図2には、CGW110が、FW121,122の機能を内蔵している構成が示されている。CGW110がFW121,122の機能を内蔵していることは必須のことではなく、図1に示されたように、CGW110の外部に独立したFW121,122が設置されていてもよい。
【0031】
図2に示すCGW11は、トランシーバ111,112、FW部121a,122a、通信制御部115、ログ収集部116、記憶部117、ログ解析部118、および警告制御部119を含む。
【0032】
トランシーバ111は、CAN170の一方のバス170aに接続され、通信制御部115からのデータをバス170aに送信する。また、トランシーバ111は、バス170aからのデータを受信し通信制御部115に入力する。トランシーバ112は、CAN170の他方のバス170bに接続され、通信制御部115からのデータをバス170bに送信する。また、トランシーバ112は、バス170bからのデータを受信し通信制御部115に入力する。
【0033】
【0034】
通信制御部115は、例えば、バス170a,170bから受信したデータID(Identification)に基づいて、データをバス170aまたはバス170bに転送する。また、通信制御部115は、クラウドセンタ200から受信されたデータをIVIシステム140に転送したり、IVIシステム140から受信されたデータをクラウドセンタ200に転送する。このとき、通信制御部115は、必要であれば、プロトコル変換を行う。
【0035】
ログ収集部116は、TCU130を介して受信されたデータに関するログ(通信ログ)を収集して、記憶部117にログデータとして保存する。ログ解析部118は、記憶部117に保存されているログデータを解析する。
【0036】
警告制御部119は、ログ解析部118がサイバー攻撃(特に、「偵察」の段階の攻撃)を受けている可能性があると判断した場合に、警告表示のための処理を実行する。
【0037】
なお、本実施形態では、車載セキュリティ対策方法を実施する車載セキュリティ対策装置は、CGW110に組み込まれている。車載セキュリティ対策装置は、例えば、通信制御部115、ログ収集部116、記憶部117、ログ解析部118および警告制御部119で実現される。
【0038】
図3は、クラウドセンタ200の機能構成例を示すブロック図である。
【0039】
図3に示す例では、クラウドセンタ200は、通信インタフェース部210、車両制御部220、情報管理部230、および記憶部240を含む。
【0040】
通信インタフェース部210は、車両100との通信のインタフェース機能を有する。情報管理部230は、通信インタフェース部210を介して車両100に交通情報のデータ等を送信する。交通情報のデータ等は、記憶部240に記憶されている。
【0041】
車両制御部220は、車両100からの要求に応じて、車両100に対して所定の指示を行う。
【0042】
【0043】
図4に示す処理は、以下のような考え方に基づく。すなわち、「偵察」の段階において、装置の脆弱性を確認するために、最初ブルートフォースアタック(総当たり攻撃)が実行されることがある。総当たり攻撃が実行されると、装置内に、同じようなエラーログが大量に蓄積される。一例として、攻撃者は、空いているポートを確認するときに、0x0000~0xffffを順番にチェックする。また、4桁の数字のパスワードということがわかっている場合、0000~9999を順番に調査する。装置には、そのような調査に応じたログが残る。
【0044】
CGW110において、ログ収集部116は、受信したデータに関するログを順次記憶部117に格納する(ステップS101)。解析周期としてあらかじめ決められている期間が経過すると(ステップS102)、ログ解析部118は、記憶部117に記憶されているログを解析する(ステップS103)。解析周期は、一例として、数時間、1日、または数日である。なお、ログ解析部118は、記憶部117に記憶されているログの件数があらかじめ決められている件数に達したら、ステップS103の処理を実行するようにしてもよい。
【0045】
ログ解析部118が、ログを解析した結果、エラーログが多発したと判定した場合には(ステップS104)、ステップS105の処理が実行される。ログ解析部118は、例えば、解析周期において収集されたログのうちに所定数以上(しきい値を越える数)のエラーログが含まれていた場合に、エラーログが多発したと判断する。所定数は、例えば、通常状態(サイバー攻撃を受けていないと思われる状態)において観測されるエラーログの数の数100倍~数1000倍の値に設定される。具体例として、通常状態において観測されるエラーログの数が10,000件/日であれば、所定数は、100,000,000件/日に設定される。なお、本実施形態では、エラーログの多発が、サイバー攻撃における「偵察」が生じている可能性の具体例である。
【0046】
ステップS104の処理で、エラーログが多発していないと判定された場合には、ステップS101に戻る。
【0047】
なお、本実施形態では、ログ解析部118が、解析周期において収集されたログのうちに所定数以上のエラーログが含まれていた場合に、エラーログが多発したと判断するが、解析周期における全ログデータ数に対するエラーログ数の割合が所定のしきい値を越えている場合に、エラーログが多発したと判断してもよい。
【0048】
ステップS105において、警告制御部119は、警告表示(第1の警告表示)のための処理を実行する。具体的には、警告制御部119は、通信制御部115に、警告表示を依頼する。通信制御部115は、依頼に応じて、例えば、FW部122aを介してIVIシステム140に、警告表示を指示するためのデータを送信する。IVIシステム140は、当該データを受信したら、表示器に警告表示を行う。なお、車両100内にIVIシステム140以外の表示手段(警告手段の一例)が存在する場合には、通信制御部115は、その表示手段に対して、警告表示を指示するためのデータを送信してもよい。また、警告制御部119は、警告表示の依頼を出力するのではなく、警告音を出力するように通信制御部115に依頼してもよい。その場合には、警告手段は、例えばスピーカで実現される。
【0049】
警告制御部119は、最初にステップS101の処理が実行されてから第1の所定時間が経過したか否か確認する(ステップS106)。第1の所定時間は、解析周期よりも長い任意の時間であるが、例えば、解析周期の2~3倍の時間に設定される。第1の所定時間が経過していない場合には、ステップS101に戻る。
【0050】
第1の所定時間が経過した場合には、警告制御部119は、CGW110がクラウドセンタ200に接続されているか否か確認する(ステップS107)。クラウドセンタ200に接続されている状態は、例えば、クラウドセンタ200とデータ交換可能な状態である。クラウドセンタ200とデータ交換可能な状態であるか否かは、通信制御部115が、送信元がクラウドセンタ200をあることを特定可能なデータを受信できるか否かによって容易に把握可能である。
【0051】
CGW110がクラウドセンタ200に接続されていない場合には、ステップS111に移行する。
【0052】
CGW110がクラウドセンタ200に接続されている場合には、警告制御部119は、エラーログが多発したことを示すデータを通信制御部115に出力する(ステップS108)。通信制御部115は、FW部121aを介してTCU130に当該データを出力する。TCU130は、当該データをクラウドセンタ200に送信する。なお、エラーログが多発したことを示すデータは、クラウドセンタ200に対する問合せのためのデータを兼ねている。
【0053】
クラウドセンタ200における車両制御部220は、通信インタフェース部210を介してエラーログが多発したことを示すデータを受信すると、当該データに対応してあらかじめ決められている処理を実行する。あらかじめ決められている処理として、例えば、車両100の電源を恒久的にオフするための処理がある。なお、「恒久的にオフする」は、電源がオフした後、ユーザ操作では電源再投入することができないことを意味する。電源再投入できないので、エンジンを再起動させることはできない。なお、車両の電源をオフされると、エラーが発生している通信パスは遮断される上に、攻撃者からの他の通信パスを介する攻撃も受けなくなる。また、あらかじめ決められている処理は、電源はオン状態であるが、エンジンを再起動させないようにするための処理であってもよい。
【0054】
電源が恒久的にオフされた後、例えば、自動車ディーラー等に存在する権限がある者によって、車両100は、エンジンを再起動できる状態または電源再投入することができる状態に戻される。換言すれば、人手を介さないと、エンジンを再起動できる状態または電源が投入可能な状態に復旧しない。上記の権限として、例えば、再起動指令用データとしての暗号鍵に関する権限がある。その例では、具体的には、通信制御部115が、権限がある者から暗号化されたデータを受信し、警告制御部119が、受信されたデータを暗号鍵(復号鍵)で復号する。正しく復号できた場合には、エンジンを再起動できる状態に戻すことをエンジン制御手段に依頼する。なお、その例では、車両の電源はオン状態である。
【0055】
車両制御部220は、通信インタフェース部210を介して、あらかじめ決められている処理を示すデータをCGW110に対して送信する。当該データは、TCU130を介してCGW110で受信される。CGW110は、当該データが示す処理を実行する(ステップS109)。一例として、当該データが電源を恒久的にオフするための処理を示す場合には、警告制御部119は、車両100の電源を恒久的にオフするための処理を実行する。例えば、警告制御部119は、通信制御部115、および、トランシーバ111またはトランシーバ112を介して、電源制御を行うECUに、電源オフの指示を送信する。ECUは、車両100に電源が供給されない状態に設定する。なお、ECUは、電源が供給されない状態が恒久的に継続されるように制御する。
【0056】
車両制御部220は、あらかじめ決められている処理を示すデータとして、CGW110が現在成立させている通信パスを切断することを示すデータ(例えば、セッションを切断することを示すデータ)を送信してもよい。そのようなデータを使用する場合には、通信制御部115が、当該データを受信したときに、エラーが発生している通信パスを切断することができる。
【0057】
いずれにせよ、車両100において、警告制御部119または通信制御部115は、あらかじめ決められている処理を実行することによって、サイバー攻撃者との間の通信を遮断することができる。すなわち、車両100における車載システムは、サイバー攻撃が継続されない状況を作り出すことができる。
【0058】
ステップS111において、警告制御部119は、警告表示(第2の警告表示)のための処理を実行する。具体的には、警告制御部119は、通信制御部115に、「車両100をクラウドセンタ200に接続される環境にする」ことを要求する警告表示を依頼する。通信制御部115は、依頼に応じて、例えば、FW部122aを介してIVIシステム140に、警告表示を指示するためのデータを送信する。IVIシステム140は、当該データを受信したら、表示器に警告表示を行う。
【0059】
なお、「車両100をクラウドセンタ200に接続される環境にする」ことを要求する警告表示は、第2の警告表示の一例である。第1の警告表示よりも厳しい内容の警告表示であれば、他の内容が表示されてもよい。
【0060】
警告制御部119は、警告表示の依頼を出力するのではなく、警告音を出力するように通信制御部115に依頼してもよいが、警告音は、ステップS105の処理で警告表示に代えて出力された警告音に比べて、大音量の警告音や高周波数の警告音であることが好ましい。
【0061】
その後、ログ収集部116は、受信したデータに関するログを順次記憶部117に格納する(ステップS112)。解析周期としてあらかじめ決められている期間が経過すると(ステップS113)、ログ解析部118は、記憶部117に記憶されているログを解析する(ステップS114)。
【0062】
ログ解析部118が、ログを解析した結果、エラーログが多発していないと判定した場合には(ステップS115)、ステップS118に移行する。
【0063】
ログ解析部118が、エラーログが多発したと判定した場合には、警告制御部119は、最初にステップS101の処理が実行されてから第2の所定時間が経過したか否か確認する(ステップS116)。第2の所定時間は、解析周期よりも長く、かつ、第1の所定時間よりも長い任意の時間であるが、例えば、解析周期の3~4倍の時間に設定される。第2の所定時間が経過していない場合には、ステップS112に戻る。
【0064】
第2の所定時間が経過している場合には、警告制御部119は、車両100の電源を恒久的にオフするための処理を実行する(ステップS117)。車両100の電源を恒久的にオフするための処理は、上述した処理と同じである。
【0065】
ステップS118では、警告制御部119は、サイバー攻撃が終了したとみなして、警告表示を解除するための処理を実行する。具体的には、警告制御部119は、通信制御部115に、警告表示の解除を依頼する。通信制御部115は、依頼に応じて、例えば、FW部122aを介してIVIシステム140に、警告表示の解除を指示するためのデータを送信する。IVIシステム140は、当該データを受信したら、表示器における警告表示を消去する。なお、警告音が発せられている場合には、警告音を停止する。その後、ステップS101に戻る。また、警告制御部119は、通信制御部115およびTCU130を介して、クラウドセンタ200に、サイバー攻撃が終了したことを報告してもよい。
【0066】
実施形態2.
第1の実施形態では、車載セキュリティ対策方法を実施する車載セキュリティ対策装置は、CGW110に組み込まれている。第2の実施形態では、車載セキュリティ対策装置は、IVIシステム140に組み込まれる。
第1の実施形態では、車載セキュリティ対策方法を実施する車載セキュリティ対策装置は、CGW110に組み込まれている。第2の実施形態では、車載セキュリティ対策装置は、IVIシステム140に組み込まれる。
【0067】
図5は、IVIシステム140の機能構成例を示すブロック図である。図5に示すIVIシステム140は。FW部150a、第1の通信制御部141、第2の通信制御部142、IVI機能部143、表示器144、ログ収集部146、記憶部147、ログ解析部148、および警告制御部149を含む。
【0068】
第1の通信制御部141は、外部機器から受信されたデータをIVI機能部143に転送したり、IVI機能部143からのデータを外部機器に転送する制御を行う。第2の通信制御部142は、CGW110から受信されたデータをIVI機能部143に転送したり、警告制御部149からのデータをCGW110に転送する制御を行う。
【0069】
FW部150aは、図1に示されたFW150と同様の機能を有する。なお、図5には、IVIシステム140が、FW150の機能を内蔵している構成が示されている。IVIシステム140がFW150の機能を内蔵していることは必須のことではなく、図1に示されたように、IVIシステム140の外部に独立したFW150が設置されていてもよい。
【0070】
IVI機能部143は、IVIの本体の機能を果たすブロックである。IVIがカーナビゲーションである場合には、IVIの本体の機能は、カーナビゲーションである。表示器144は、IVI機能部143から出力される表示データに基づく表示を行う。表示器144は、警告制御部149からのデータに基づく表示も行う。
【0071】
ログ収集部146は、第1の通信制御部141で受信されたデータを収集して、記憶部147にログデータとして保存する。ログ解析部148は、記憶部147に保存されているログデータを解析する。
【0072】
警告制御部149は、ログ解析部148がサイバー攻撃(特に、「偵察」の段階の攻撃)を受けている可能性があると判断した場合に、警告表示のための処理を実行する。
【0073】
なお、本実施形態では、車載セキュリティ対策方法を実施する車載セキュリティ対策装置は、IVIシステム140に組み込まれているが、車載セキュリティ対策装置は、例えば、第1の通信制御部141、ログ収集部146、記憶部147、ログ解析部148および警告制御部149で実現される。
【0074】
【0075】
【0076】
しかし、本実施形態では、IVIシステム140は、第1の通信制御部141で受信されたデータに関するログ(通信ログ)を順次記憶部147に格納する(ステップS101A,S112A)。
【0077】
また、ステップS105Aにおいて、警告制御部149は、直接に、表示器144に、警告表示(第1の警告表示)のためのデータを与えて警告表示させる。ステップS108Aにおいて、警告制御部149は、エラーログが多発したことを示すデータを第2の通信制御部142に出力する。第2の通信制御部142は、当該データをCGW110に送信する。CGW110は、TCU130を介してクラウドセンタ200に当該データを送信する。ステップS109Aにおいて、警告制御部149は、エラーログが多発したことを示すデータに対応してあらかじめ決められている処理を実行することを示すデータを、CGW110を介して入手する。なお、当該データは、クラウドセンタ200から送信されたデータである。
【0078】
また、ステップS111Aにおいて、警告制御部149は、直接、表示器144に、警告表示させる。
【0079】
ステップS117Aにおいて、警告制御部149は、第2の所定時間が経過している場合に車両100の電源を恒久的にオフするための処理を実行するが、本実施形態では、警告制御部149は、恒久的な電源オフを、第2の通信制御部142を介して、CGW110に依頼する。CGW110における通信制御部115は、トランシーバ111またはトランシーバ112を介して、電源制御を行うECUに、電源オフの指示を送信する。ECUは、車両100に電源が供給されない状態に設定する。
【0080】
ステップS118Aにおいて、警告制御部149は、直接、表示器144に、警告表示を解除させる。
【0081】
その他の処理は、図4に示された処理と同じである。
【0082】
実施形態3.
上記の各実施形態では、車載セキュリティ対策装置は、CGW110またはIVIシステム140に組み込まれているが、車載システムにおける他のブロックに、上述した車載セキュリティ対策方法(図4および図6参照)を実行する車載セキュリティ対策装置が組み込まれてもよい。
上記の各実施形態では、車載セキュリティ対策装置は、CGW110またはIVIシステム140に組み込まれているが、車載システムにおける他のブロックに、上述した車載セキュリティ対策方法(図4および図6参照)を実行する車載セキュリティ対策装置が組み込まれてもよい。
【0083】
例えば、上述した車載セキュリティ対策方法が、TCU130で実行されるようにしてもよい。また、上述した車載セキュリティ対策方法が、ECU161,162,163,164で実行されるようにしてもよい。
【実施例0084】
次に、具体的な実施例を説明する。以下、車載セキュリティ対策装置がCGW110に組み込まれた場合を例にする。
【0085】
サイバー攻撃者が車両100を購入し、その車両に対して、例えばセキュリティホールを探索するために、TCU130を介して「偵察」の段階のサイバー攻撃を行ったとする。
【0086】
サイバー攻撃者が所定の期間(第1の実施形態では、解析期間)を越えてサイバー攻撃を継続した場合(図4におけるステップS102参照)、その期間においてエラーログが多発するはずなので、第1の警告表示がなされる(ステップS105参照)。第1の警告表示によって、サイバー攻撃者がサイバー攻撃を止めることが期待される。
【0087】
しかし、第1の警告表示がなされたにも関わらず、サイバー攻撃者がサイバー攻撃を止めない場合には、クラウドセンタ200の指示に応じて、例えば、車両100の電源が恒久的にオフされる(ステップS109参照)。よって、サイバー攻撃者は、サイバー攻撃を継続できない。
【0088】
車両100がクラウドセンタ200に接続されていない場合には、第1の警告表示よりも厳しい内容の第2の警告表示がなされる(ステップS111参照)。第2の警告表示によって、サイバー攻撃者がサイバー攻撃を止めることが期待される。
【0089】
しかし、第2の警告表示がなされたにも関わらず、サイバー攻撃者がサイバー攻撃を止めない場合には、所定の期間(第1の実施形態では、第2の所定時間)を越えてサイバー攻撃を継続したときに(ステップS116参照)、車両100の電源が恒久的にオフされる(ステップS109参照)。よって、サイバー攻撃者は、サイバー攻撃を継続できない。
【0090】
以上に説明したように、車載セキュリティ対策装置は、所定期間におけるエラーログの発生頻度(エラーログ数、または、全ログにおけるエラーログが占める割合)が所定のしきい値を越えたことを契機にして、サイバー攻撃が実行されていることが発覚していることを表す警告がなされる。サイバー攻撃者が警告を無視してサイバー攻撃を続行する場合には、例えば車両100の電源が恒久的にオフされたり(図4におけるステップS109参照)、あらためて警告がなされたりする(ステップS111参照)。サイバー攻撃者があらためての警告も無視するような場合には、電源が恒久的にオフされて、サイバー攻撃者がサイバー攻撃を実施できない状況が構築される。
【0091】
したがって、サイバー攻撃者の偵察行為が効果的に防止されることを期待できる。
【0092】
なお、警告を行うことなく直ちに電源が恒久的にオフされるようにしてもよい。しかし、サイバー攻撃がなされていないときに何らかの原因でエラーログの頻度が高くなるような可能性も考慮すると、警告を行ってから電源が恒久的にオフされることが好ましい。
【0093】
本実施例では、サイバー攻撃者が購入した車両100を対象として、セキュリティホールの発見等を目的としたサイバー攻撃が実行されることを想定したが、サイバー攻撃の実行環境として様々なものが考えられる。例えば、長期間不使用の車庫内に存在する車両100が対象とされることが考えられる。また、サイバー攻撃者が、車庫内に存在する車両100から車載システムの全部または一部を取り外し、取り外された車載システムを対象とすることが考えられる。
【0094】
また、上記の各実施形態では、エラーログの発生頻度に基づいて警告等が開始されたが、エラーログ以外の指標を用いて、警告等が開始されるようにしてもよい。エラーログ以外の指標として、例えば、特定のID(一例として、クラウドサーバ200のIDやユーザが所有するスマートフォン400のID)を含むパケット以外のパケットの受信頻度を用いることができる。
【0095】
さらに、サイバー攻撃者が車載システムの一部(例えば、CGW110)を取り外し、取り外された車載システムの一部を対象として「偵察」の行為を行うような場合には、車載セキュリティ対策装置は、CAN170を通過するはずのデータを用いて車載セキュリティ対策方法を実行することもできる。例えば、CAN170を通過するはずの速度情報のデータが所定期間に亘って受信できないような状況が生じたら、警告制御部119(図2参照)は、図4に示されたステップS105、ステップS108,S109、ステップ111、ステップS117の処理(警告処理や電源オフの処理)を実行するようにしてもよい。
【0096】
また、上記の各実施形態では、コネクテッドカーにおける車載システムで実行される車載セキュリティ対策方法を例にしたが、上記のセキュリティ対策方法は、コネクテッドカー以外のIoT技術に基づく装置に適用可能である。
【0097】
また、上述したように、ASIは効果的にサイバー攻撃を検知できる技術であり、上記の各実施形態の車載セキュリティ対策方法とASIとを共働させることは有意義である。
【0098】
図7は、車載セキュリティ対策装置の概要を示すブロック図である。車載セキュリティ対策装置10は、通信ログを収集するログ収集手段11(実施形態では、ログ収集部116,146で実現される。)と、収集された通信ログを解析するログ解析手段12(実施形態では、ログ解析部118,148で実現される。)と、ログ解析手段12が通信ログを解析した結果、エラーの発生頻度が所定のしきい値を越えたと判断したときに、警告手段(一例として、表示器144)に警告を発生させ、警告手段に警告を発生させた後、エラーの発生頻度が所定のしきい値を越えている状態が継続している場合には、エラーが発生している通信パスを遮断する制御手段13(実施形態では、警告制御部119および通信制御部115、または、警告制御部149および第2の通信制御部142などで実現される。)とを備える。
【0099】
図8は、セキュリティ対策システムの概要を示すブロック図である。セキュリティ対策システムは、クラウドサーバ20(実施形態では、クラウドセンタ200で実現される。)と、通信ネットワーク30を介してクラウドサーバ20と通信可能な車載システム40とを含み、車載システム40が、通信ログを収集するログ収集手段11と、収集された通信ログを解析するログ解析手段12と、ログ解析手段12が通信ログを解析した結果、エラーの発生頻度が所定のしきい値を越えたと判断したときに、警告手段に警告を発生させ、警告手段に警告を発生させた後、エラーの発生頻度が所定のしきい値を越えている状態が継続している場合には、通信ネットワーク30を介してクラウドサーバ20にエラーの発生頻度が所定のしきい値を越えたことを示すデータを送信する制御手段13とを含み、クラウドサーバ20が、データを受信したときに、車載システム40に対して、エラーが発生している通信パスを遮断させることを示すデータを送信する指示手段21を含む。
【0100】
図9は、CPU(Central Processing Unit )を有するコンピュータの一例を示すブロック図である。コンピュータは、車載セキュリティ対策装置(具体的には、CGW110やIVIシステム140など)に実装される。CPU1000は、記憶装置1001に格納されたセキュリティ対策プログラムに従って処理を実行することによって、上記の実施形態における各機能を実現する。
【0101】
すなわち、コンピュータが図2に示されたCGW110に実装された場合には、CPU1000は、CGW110における通信制御部115、ログ収集部116、ログ解析部118、および警告制御部119の機能を実現する。コンピュータが図5に示されたIVIシステム140に実装された場合には、CPU1000は、IVIシステム140における各機能を実現する。すなわち、CPU1000は、第1の通信制御部141、第2の通信制御部142、ログ収集部146、ログ解析部148、および警告制御部149の機能を実現する。コンピュータが図7に示された車載セキュリティ対策装置10に実装された場合には、CPU1000は、ログ収集手段11、ログ解析手段12、および制御手段13の機能を実現する。
【0102】
記憶装置1001は、例えば、非一時的なコンピュータ可読媒体(non-transitory computer readable medium )である。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium )を含む。非一時的なコンピュータ可読媒体の具体例として、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM )、フラッシュROM)がある。
【0103】
メモリ1002は、例えばRAM(Random Access Memory)で実現され、CPU1000が処理を実行するときに一時的にデータを格納する記憶手段である。図2に示された記憶部117および図5に示された記憶部147は、メモリ1002で実現される。
【0104】
以上、実施形態を参照して本願発明を説明したが、本願発明は上記の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0105】
この出願は、2019年3月14日に出願された日本特許出願2019-047283を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【符号の説明】
【0106】
10 車載セキュリティ対策装置
11 ログ収集手段
12 ログ解析手段
13 制御手段
20 クラウドサーバ
21 指示手段
30 通信ネットワーク
40 車載システム
100 車両
111,112 トランシーバ
115 通信制御部
116 ログ収集部
117 記憶部
118 ログ解析部
119 警告制御部
121,122 FW(ファイアウォール)
121a,122a FW部
130 TCU(テレマティクス制御ユニット)
140 IVIシステム(車載インフォテインメントシステム)
141 第1の通信制御部
142 第2の通信制御部
143 IVI機能部
144 表示器
146 ログ収集部
147 記憶部
148 ログ解析部
149 警告制御部
150 FW(ファイアウォール)
150a FW部
161~164 ECU(電子制御ユニット)
170 CAN
170a,170b バス
200 クラウドセンタ
210 通信インタフェース部
220 車両制御部
230 情報管理部
240 記憶部
1000 CPU
1001 記憶装置
1002 メモリ
11 ログ収集手段
12 ログ解析手段
13 制御手段
20 クラウドサーバ
21 指示手段
30 通信ネットワーク
40 車載システム
100 車両
111,112 トランシーバ
115 通信制御部
116 ログ収集部
117 記憶部
118 ログ解析部
119 警告制御部
121,122 FW(ファイアウォール)
121a,122a FW部
130 TCU(テレマティクス制御ユニット)
140 IVIシステム(車載インフォテインメントシステム)
141 第1の通信制御部
142 第2の通信制御部
143 IVI機能部
144 表示器
146 ログ収集部
147 記憶部
148 ログ解析部
149 警告制御部
150 FW(ファイアウォール)
150a FW部
161~164 ECU(電子制御ユニット)
170 CAN
170a,170b バス
200 クラウドセンタ
210 通信インタフェース部
220 車両制御部
230 情報管理部
240 記憶部
1000 CPU
1001 記憶装置
1002 メモリ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】