知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023147061
(43)【公開日】2023-10-12
(54)【発明の名称】攻撃経路生成方法および攻撃経路生成装置
(51)【国際特許分類】
H04L 41/14 20220101AFI20231004BHJP
【FI】
H04L41/14
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022054604
(22)【出願日】2022-03-29
(71)【出願人】
【識別番号】314012076
【氏名又は名称】パナソニックIPマネジメント株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】藤井 崇之
(72)【発明者】
【氏名】横田 薫
(72)【発明者】
【氏名】関屋 翔一朗
(57)【要約】
【課題】複数の装置が同時に攻撃を受けた場合であっても攻撃経路を特定することができる。
【解決手段】本開示にかかる攻撃経路生成方法は、分岐および合流の少なくともいずれかを含むネットワークに接続され、それぞれが攻撃検知機能を有する複数の装置におけるログを取得して実行される攻撃経路生成方法であって、取得したログに基づいて分岐および合流のない一次的な攻撃経路を生成し、ログに基づいて一次的な攻撃経路から分岐し、または一次的な攻撃経路に合流する二次的な攻撃経路を生成し、生成した一次的な攻撃経路および二次的な攻撃経路を、攻撃判定を行う装置に出力し、二次的な攻撃経路は、一次的な攻撃経路に含まれる装置であってネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた攻撃経路である。
【選択図】図2
【解決手段】本開示にかかる攻撃経路生成方法は、分岐および合流の少なくともいずれかを含むネットワークに接続され、それぞれが攻撃検知機能を有する複数の装置におけるログを取得して実行される攻撃経路生成方法であって、取得したログに基づいて分岐および合流のない一次的な攻撃経路を生成し、ログに基づいて一次的な攻撃経路から分岐し、または一次的な攻撃経路に合流する二次的な攻撃経路を生成し、生成した一次的な攻撃経路および二次的な攻撃経路を、攻撃判定を行う装置に出力し、二次的な攻撃経路は、一次的な攻撃経路に含まれる装置であってネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた攻撃経路である。
【選択図】図2
【特許請求の範囲】
【請求項1】
分岐および合流の少なくともいずれかを含むネットワークに接続され、それぞれが攻撃検知機能を有する複数の装置におけるログを取得することで、前記複数の装置における攻撃経路を生成する情報処理装置にて実行される攻撃経路生成方法であって、
取得した前記ログに基づいて分岐および合流のない一次的な攻撃経路を生成し、
前記ログに基づいて前記一次的な攻撃経路から分岐し、または前記一次的な攻撃経路に合流する二次的な攻撃経路を生成し、
生成した前記一次的な攻撃経路および前記二次的な攻撃経路を、攻撃判定を行う装置に出力し、
前記二次的な攻撃経路は、
前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた攻撃経路である、
攻撃経路生成方法。
取得した前記ログに基づいて分岐および合流のない一次的な攻撃経路を生成し、
前記ログに基づいて前記一次的な攻撃経路から分岐し、または前記一次的な攻撃経路に合流する二次的な攻撃経路を生成し、
生成した前記一次的な攻撃経路および前記二次的な攻撃経路を、攻撃判定を行う装置に出力し、
前記二次的な攻撃経路は、
前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた攻撃経路である、
攻撃経路生成方法。
【請求項2】
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記一次的な攻撃経路に含まれる装置であって前記ネットワークの分岐点に接続される第1の装置に対する前記事象と、前記ネットワークの分岐先に接続される2つ以上の装置の中で前記一次的な攻撃経路に含まれない第2の装置に対する前記事象とが第1の期間内に起きている場合には、前記一次的な攻撃経路から前記第2の装置へと分岐する経路を生成する、
請求項1に記載の攻撃経路生成方法。
前記複数の装置のうち、前記一次的な攻撃経路に含まれる装置であって前記ネットワークの分岐点に接続される第1の装置に対する前記事象と、前記ネットワークの分岐先に接続される2つ以上の装置の中で前記一次的な攻撃経路に含まれない第2の装置に対する前記事象とが第1の期間内に起きている場合には、前記一次的な攻撃経路から前記第2の装置へと分岐する経路を生成する、
請求項1に記載の攻撃経路生成方法。
【請求項3】
前記一次的な攻撃経路として第1の攻撃経路と第2の攻撃経路とを生成し、
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記第1の攻撃経路に含まれる装置であって前記ネットワークの分岐点に接続される第3の装置に対する前記事象と、前記ネットワークの分岐先に接続される2つ以上の装置の中で前記第1の攻撃経路に含まれない第4の装置に対する前記事象とが前記第1の期間内に起きている場合には、前記第1の攻撃経路から前記第4の装置へと分岐する経路を生成する、
請求項2に記載の攻撃経路生成方法。
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記第1の攻撃経路に含まれる装置であって前記ネットワークの分岐点に接続される第3の装置に対する前記事象と、前記ネットワークの分岐先に接続される2つ以上の装置の中で前記第1の攻撃経路に含まれない第4の装置に対する前記事象とが前記第1の期間内に起きている場合には、前記第1の攻撃経路から前記第4の装置へと分岐する経路を生成する、
請求項2に記載の攻撃経路生成方法。
【請求項4】
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点に接続される第5の装置に対する前記事象と、前記第5の装置の上流側で前記合流点と接続している2つ以上の装置の中で前記一次的な攻撃経路に含まれない第6の装置に対する前記事象とが第2の期間内に起きている場合には、前記第6の装置から前記一次的な攻撃経路に合流する経路を生成する、
請求項1または請求項2に記載の攻撃経路生成方法。
前記複数の装置のうち、前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点に接続される第5の装置に対する前記事象と、前記第5の装置の上流側で前記合流点と接続している2つ以上の装置の中で前記一次的な攻撃経路に含まれない第6の装置に対する前記事象とが第2の期間内に起きている場合には、前記第6の装置から前記一次的な攻撃経路に合流する経路を生成する、
請求項1または請求項2に記載の攻撃経路生成方法。
【請求項5】
前記一次的な攻撃経路として第1の攻撃経路と第2の攻撃経路とを生成し、
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記第1の攻撃経路に含まれる装置であって前記ネットワークの合流点に接続される第7の装置に対する前記事象と、前記第7の装置の上流側で前記合流点と接続している2つ以上の装置の中で前記第1の攻撃経路に含まれない第8の装置に対する前記事象とが前記第2の期間内に起きている場合には、前記第8の装置から前記第2の攻撃経路に合流する経路を生成する、
請求項4に記載の攻撃経路生成方法。
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記第1の攻撃経路に含まれる装置であって前記ネットワークの合流点に接続される第7の装置に対する前記事象と、前記第7の装置の上流側で前記合流点と接続している2つ以上の装置の中で前記第1の攻撃経路に含まれない第8の装置に対する前記事象とが前記第2の期間内に起きている場合には、前記第8の装置から前記第2の攻撃経路に合流する経路を生成する、
請求項4に記載の攻撃経路生成方法。
【請求項6】
第3の期間内に前記事象が発生した数を攻撃発生数としてカウントし、前記二次的な攻撃経路が分岐している場合に、複数の分岐先のうち前記攻撃発生数が他の分岐先より多かった分岐先の装置の下流側に接続される1つ以上の装置へと向かう攻撃経路を生成する、
請求項1から請求項5のいずれか1項に記載の攻撃経路生成方法。
請求項1から請求項5のいずれか1項に記載の攻撃経路生成方法。
【請求項7】
前記複数の装置のうち2つ以上の装置を含む前記一次的な攻撃経路のグループを生成し、
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記グループに付随する分岐路上にある第9の装置に対する攻撃と、前記グループに下流側で接続される第10の装置に対する攻撃とが第4の期間内に起きている場合には、前記グループから前記第9の装置へと分岐する経路を生成する、
請求項1乃至請求項4のいずれか1項に記載の攻撃経路生成方法。
前記二次的な攻撃経路を生成する場合、
前記複数の装置のうち、前記グループに付随する分岐路上にある第9の装置に対する攻撃と、前記グループに下流側で接続される第10の装置に対する攻撃とが第4の期間内に起きている場合には、前記グループから前記第9の装置へと分岐する経路を生成する、
請求項1乃至請求項4のいずれか1項に記載の攻撃経路生成方法。
【請求項8】
既知の攻撃シナリオに基づいて前記事象における攻撃シナリオを推定する、
請求項1から請求項7のいずれか1項に記載の攻撃経路生成方法。
請求項1から請求項7のいずれか1項に記載の攻撃経路生成方法。
【請求項9】
分岐および合流の少なくともいずれかを含むネットワークに接続され、それぞれが攻撃検知機能を有する車載電子制御ユニットとして構成される複数の装置におけるログを取得することで、前記複数の装置における攻撃経路を生成する車載用の攻撃経路生成装置であって、
取得した前記ログに基づいて分岐および合流のない一次的な攻撃経路を生成する一次生成部と、
前記ログに基づいて前記一次的な攻撃経路から分岐し、または前記一次的な攻撃経路に合流する二次的な攻撃経路を生成する二次生成部と、
生成した前記一次的な攻撃経路および前記二次的な攻撃経路を、攻撃判定を行う外部装置に出力する出力部と、を備え、
前記二次生成部は、
前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた二次的な攻撃経路を生成する、
攻撃経路生成装置。
取得した前記ログに基づいて分岐および合流のない一次的な攻撃経路を生成する一次生成部と、
前記ログに基づいて前記一次的な攻撃経路から分岐し、または前記一次的な攻撃経路に合流する二次的な攻撃経路を生成する二次生成部と、
生成した前記一次的な攻撃経路および前記二次的な攻撃経路を、攻撃判定を行う外部装置に出力する出力部と、を備え、
前記二次生成部は、
前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた二次的な攻撃経路を生成する、
攻撃経路生成装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、攻撃経路生成方法および攻撃経路生成装置に関する。
【背景技術】
【0002】
サイバー攻撃への対策として、将来発生が予想される攻撃パターンを攻撃シナリオとして事前に定義しておき、ログと整合する攻撃シナリオを1つに特定する技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第6831763号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、システム内に攻撃経路が複数同時に存在する場合には、攻撃シナリオを1つに特定する上記技術では対応が困難である。
【0005】
本開示は、複数の装置が同時に攻撃を受けた場合であっても攻撃経路を特定することが可能な攻撃経路生成方法および攻撃経路生成装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
本開示にかかる攻撃経路生成方法は、分岐および合流の少なくともいずれかを含むネットワークに接続され、それぞれが攻撃検知機能を有する複数の装置におけるログを取得することで、前記複数の装置における攻撃経路を生成する情報処理装置にて実行される攻撃経路生成方法であって、取得した前記ログに基づいて分岐および合流のない一次的な攻撃経路を生成し、前記ログに基づいて前記一次的な攻撃経路から分岐し、または前記一次的な攻撃経路に合流する二次的な攻撃経路を生成し、生成した前記一次的な攻撃経路および前記二次的な攻撃経路を、攻撃判定を行う装置に出力し、前記二次的な攻撃経路は、前記一次的な攻撃経路に含まれる装置であって前記ネットワークの合流点または分岐点に接続される装置に対する攻撃と想定される事象から一定時間内に攻撃と想定される事象が起きている上流側または下流側の装置を含めた攻撃経路である。
【発明の効果】
【0007】
本開示にかかる攻撃経路生成方法および攻撃経路生成装置によれば、複数の装置が同時に攻撃を受けた場合であっても攻撃経路を特定することができる。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
以下、図面を参照しながら、本開示にかかる攻撃経路生成方法および攻撃経路生成装置の実施形態について説明する。
【0010】
(攻撃分析システムの構成例)
図1は、実施形態にかかる攻撃分析システムの構成の一例を示す図である。実施形態の攻撃分析システムには、車両VHに搭載された統合ログ監視装置(以下、IDM(Integrated Detection log Manager)装置)10が含まれており、IDM装置10が監視する車載装置群100へのサイバー攻撃についての分析および対策等のサポートを行う。
図1は、実施形態にかかる攻撃分析システムの構成の一例を示す図である。実施形態の攻撃分析システムには、車両VHに搭載された統合ログ監視装置(以下、IDM(Integrated Detection log Manager)装置)10が含まれており、IDM装置10が監視する車載装置群100へのサイバー攻撃についての分析および対策等のサポートを行う。
【0011】
車載装置群100は、例えばCAN(Controller Area Network)、車載Ethernet、車載電子制御ユニット(ECU:Electronic Control Unit)、ゲートウェイ、テレマティクス制御ユニット(TCU:Telematics Control Unit)、先進運転支援システム(ADADS:Advanced Driver-Assistance Systems)、オン・ボード・ダイアグノーシス(OBD:On-Board Diagnostics)等の種々の車載装置を含む。
【0012】
車載装置群100に含まれるそれぞれの車載装置は、互いにネットワーク接続されている。車載装置が相互接続されるネットワークは、分岐および合流の少なくともいずれかを含みうる。また、これらの車載装置は、以下に述べる侵入検知システム(IDS:Intrusion Detection System)センサが搭載されることにより、攻撃検知機能を備える。
【0013】
車載装置に搭載されるIDSセンサは、ネットワーク型IDS(NIDS:Network-based IDS)、ホスト型IDS(HIDS:Host-based IDS)、ファイアウォール等であり、IDSセンサ群100aを構成している。
【0014】
攻撃経路生成装置としてのIDM装置10は、車両VHに搭載されており、車載装置群100における各種事象の検知結果を含むログを、IDSセンサ群100aから取得する。ログが記録する各種事象には、所定の車載装置に対する攻撃と想定される事象が含まれる。IDM装置10は、これらのログに基づいて車載装置群100を監視する。
【0015】
また、IDM装置10は、IDSセンサ群100aからのログを含む車載装置群100の監視結果をインターネット等の無線による外部ネットワークNTeを介してデータセンタ20へと送信する。
【0016】
データセンタ20は、外部ネットワークNTeでIDM装置10と接続されており、セキュリティ情報イベント管理(SIEM:Security Information and Event Management)装置21、及びデータベース22を備える。データベース22には、IDM装置10からの車載装置群100の監視結果およびIDSセンサ群100aのログが蓄積される。SIEM装置21は、データベース22に蓄積されたこれらの情報を一元管理し、相関分析等によってセキュリティインシデントを特定する。
【0017】
監視センタ30は、車載装置群100に対するサイバー攻撃の監視を行い、その対策を講じることなどを専門とするSOC(Security Operation Center)に属する専門組織である。データセンタ20のSIEM装置21が異常を検知すると、監視センタ30のオペレータ31に通知される。オペレータ31から報告を受けたマネージャ32は、分析センタ40にアラート情報を上げる。
【0018】
分析センタ40は、車載装置群100に対するサイバー攻撃の分析を行い、その対策を講じることなどを専門とするSOCに属する専門組織である。分析センタ40の分析官41は、監視センタ30からアラート情報を受けると、SIEM装置21が検知した異常の分析を行う。分析センタ40のマネージャ42は、分析官41が分析したアラート情報をSIRT(Security Incident Response Team)50に上げる。
【0019】
SIRT50は、コンピュータ及びネットワークにおいて生じるセキュリティインシデントに対応するために設置された専門チームである。分析センタ40が分析したアラート情報は、SIRT50に連携され、さらに本格的な対応が進められる。
【0020】
以上のように、車載装置群100は、IDM装置10を含む階層的なシステムによって、サイバー攻撃に対する監視、分析、及び対策等のサポートを受けている。このような階層的な攻撃分析システムにおいて、車両VHに搭載されるIDM装置10から、どのような形態のデータをデータセンタ20に送信するかは重要である。
【0021】
ところで、1つのネットワーク上において、最終的な攻撃目標に到達するため、ネットワークを辿って複数の攻撃対象を同時に偵察するようなサイバー攻撃が仕掛けられる場合がある。このような場合、1つのネットワーク上に複数の攻撃経路が同時多発的に発生することがある。
【0022】
IDM装置10は、以下に説明するように、IDSセンサ群100aから収集したログに基づいて、車載装置群100に含まれる複数の車載装置への攻撃経路を生成し、攻撃経路の生成結果を含むデータをデータセンタ20のデータベース22にアップロードする。
【0023】
【0024】
図2は、実施形態にかかるIDM装置10のハードウェア構成の一例を示すブロック図である。図2に示すように、IDM装置10は、例えばCPU(Central Processing Unit)11、ROM(Read Only Memory)12、及びRAM(Random Access Memory)13を備えたコンピュータ等の情報処理装置として構成されている。
【0025】
より詳細には、IDM装置10は、CPU11、ROM12、RAM13、通信インターフェース(I/F:Interface)14、入出力I/F15、及び記憶装置16を備える。これらのCPU11、ROM12、RAM13、通信I/F14、入出力I/F15、及び記憶装置16は、互いに内部バスで接続されている。また、入出力I/F15にはIDSセンサ群100aが車載CAN等のネットワークを介して接続されている。
【0026】
CPU11は、IDM装置10の全体を制御する。ROM12は、IDM装置10における保存領域として機能する。ROM12に記憶された情報は、IDM装置10の電源が切られても保持される。RAM13は、一次記憶装置として機能し、CPU11の作業領域となる。
【0027】
CPU11が、ROM12等に格納された攻撃経路生成プログラムをRAM13に展開して実行することで、IDM装置10の機能が実現される。
【0028】
通信I/F14は、例えばインターネット等の無線による外部ネットワークNTeに接続可能に構成される。通信I/F14により、上述のデータセンタ20のデータベース22に、IDM装置10からの各種情報をアップロードすることができる。
【0029】
入出力I/F15は、例えば車載CAN等のネットワークでIDSセンサ群100a等の外部機器と接続される。入出力I/F15により、IDSセンサ群100a等の外部機器からログを含めた各種情報が収集される。
【0030】
記憶装置16は、HDD(Hard Disk Drive)、SDD(Solid State Drive)等であり、CPU11の補助記憶装置として機能する。
【0031】
IDSセンサ群100aは、上述の通り、NIDS、HIDS、ファイアウォール等の複数のIDSセンサを含む。これら複数のIDSセンサは、車載装置群100のうち対応する車載装置にそれぞれ搭載され、これらの車載装置を監視してログを生成する。
【0032】
図3は、実施形態にかかるIDM装置10及びSIEM装置21の機能構成の一例を示すブロック図である。
【0033】
図3に示すように、IDM装置10は、例えば取得部101、集計部102、一次生成部103、二次生成部104、推定部105、出力部106、及び記憶部107を備えている。
【0034】
取得部101は、車載CAN等のネットワークNTcを介して、IDSセンサ群100a等の外部機器からログを含む各種情報を受信する。取得部101は、例えば攻撃経路生成プログラムを実行中のCPU11の制御下で動作する入出力I/F15により実現される。
【0035】
集計部102は、IDSセンサ群100aから収集したログを集計する。また、集計部102は、記憶部107に格納されるネットワーク構成データベース107aを参照して、集計したログをネットワーク上の車載装置群100に当てはめるフィッティングを行う。集計部102は、例えば攻撃経路生成プログラムを実行中のCPU11により実現される。
【0036】
一次生成部103は、フィッティング処理を施されたログから、合流および分岐のない一次的な攻撃経路を生成する。一次生成部103は、例えば攻撃経路生成プログラムを実行中のCPU11により実現される。
【0037】
二次生成部104は、一次生成部103により生成された一次的な攻撃経路から分岐し、または一次的な攻撃経路に合流する二次的な攻撃経路を生成する。二次生成部104は、例えば攻撃経路生成プログラムを実行中のCPU11により実現される。
【0038】
推定部105は、記憶部107に格納される既知攻撃データベース107bを参照して、一次生成部103及び二次生成部104により生成された攻撃経路と一致または類似する攻撃パターンから、集計部102が抽出した車載装置群100に対する攻撃と想定される事象における攻撃シナリオを推定する。推定部105は、例えば攻撃経路生成プログラムを実行中のCPU11により実現される。
【0039】
出力部106は、インターネット等の外部ネットワークNTeを介して、一次生成部103及び二次生成部104により生成された攻撃経路、及び推定部105により推定された攻撃シナリオ等の情報をデータセンタ20のデータベース22へと出力する。出力部106は、例えば攻撃経路生成プログラムを実行中のCPU11の制御下で動作する通信I/F14により実現される。
【0040】
記憶部107には、IDM装置10で行われる処理に必要な各種パラメータ、及びIDM装置10で実行される攻撃経路生成プログラム等が格納されている。また、記憶部107には、ネットワーク構成データベース107a及び既知攻撃データベース107bが格納されている。記憶部107は、例えば情報提供プログラムを実行中のCPU11の制御下で動作するROM12、RAM13、及び記憶装置16等により実現される。
【0041】
ネットワーク構成データベース107aは、相互接続される車載装置群100のネットワーク構成の情報を保持する。既知攻撃データベース107bは、将来発生が予想される既知の攻撃パターンの情報を保持する。
【0042】
SIEM装置21は、例えば攻撃判定部201及び攻撃対処部202を備えている。攻撃判定部201は、IDM装置10から受信した一次的または二次的な攻撃経路および推定される攻撃シナリオに基づいて、IDSセンサ群100aが検知した車載装置群100に対する攻撃と想定される事象について攻撃判定を行う。攻撃対処部202は、攻撃判定部201が攻撃判定をすると、車載装置群100に対する攻撃の対策を策定する。
【0043】
(ログの集計例)
次に、図4~図6を用いて、IDM装置10の集計部102がログに対して行う集計について説明する。図4は、実施形態にかかるIDM装置10がIDSセンサ群100aから取得するログLGの一例を示す図である。
次に、図4~図6を用いて、IDM装置10の集計部102がログに対して行う集計について説明する。図4は、実施形態にかかるIDM装置10がIDSセンサ群100aから取得するログLGの一例を示す図である。
【0044】
図4に示すように、IDM装置10がIDSセンサ群100aから取得するログには、例えば車載装置群100において異常が発生した日時、車載装置種別、IDSセンサ種別、及び異常種別等の情報が、各データA,B,C・・・ごとに含まれている。ここで、異常種別は、車載装置群100に対する攻撃と想定される事象である。
【0045】
より詳細には、データAは、所定の日時に、TCUに搭載されたファイアウォールにおいて認証エラーが検知されたことを示している。また、データEは、所定の日時に、ゲートウェイに搭載されたHIDSにおいてリプログラミングエラーが検知されたことを示している。また、データHは、所定の日時に、車載Ethernetに搭載されたNIDSにおいてアドレスエラーが検知されたことを示している。また、データLは、ADASに搭載されたファイアウォールにおいてメッセージ認証コード(MAC:Message Authentication Code)エラーが検知されたことを示している。
【0046】
IDM装置10の集計部102は、これらのログを車載装置種別、IDSセンサ種別、及び異常種別ごとにグルーピングして時系列順に配列する。図5に、集計部102によるグルーピング後のデータの一例を示す。
【0047】
図5は、実施形態にかかるIDM装置10がIDSセンサ群100aから取得したログLGにグルーピング処理を施した後のデータLGgの一例を示す図である。
【0048】
図5に示すように、集計部102による処理後のデータLGgは、各データA,B,C・・・ごとのログLGが、車載装置種別、IDSセンサ種別、及び異常種別ごとに、各ステップ1,2,3・・・に分けてグルーピングされている。後述する攻撃経路の生成処理においては、これらのステップ1,2,3・・・のそれぞれは、想定される攻撃における1つの攻撃ステップとして取り扱われる。
【0049】
集計部102は、グルーピング処理をしたデータLGgに対して、車載装置群100のネットワーク構成にフィッティングする。つまり、集計部102は、記憶部107に格納されるネットワーク構成データベース107aを参照して、データLGgを車載装置群100が備えるネットワーク構成に当てはめる。フィッティング処理後のデータを図6に示す。
【0050】
図6は、実施形態にかかるIDM装置10がIDSセンサ群100aから取得したログLGにフィッティング処理を施したデータの一例を示す図である。なお、図6以降、図11までの図面においては、説明の便宜上、各々の車載装置を特定することなく、車載装置110,111,112・・・等として示す。図6の例では、車両VHに搭載される車載装置群100には、車載装置110~119が含まれている。
【0051】
図6に示すように、フィッティング処理後のデータでは、既知のネットワーク構成に基づいて、相互にネットワーク接続された車載装置110~119が示されている。これらの車載装置110~119のうち、車載装置110側がネットワークの上流側であり、車載装置117側が下流側である。
【0052】
図6の例では、また、車載装置110~119のネットワーク構成には分岐および合流が含まれるものとする。
【0053】
つまり、例えば車載装置114はネットワークの合流点に接続されており、車載装置114には上流側の複数の車載装置111,112が接続されている。また例えば、車載装置116はネットワークの分岐点に接続されており、車載装置116にはネットワークの分岐先となる下流側の複数の車載装置118,119が接続されている。
【0054】
集計部102は、複数の車載装置110~119に発生した複数の事象EVのうち一定時間内に発生した事象EVを、連続的に発生した事象EVとしみなし、図6に示すデータを生成する。車載装置110~119のいずれかに発生した事象EVが、他の事象EVが発生したタイミングから大きく外れている場合には、同一の攻撃者による一連の攻撃の一部であるとは考えにくいためである。
【0055】
図6の例では、これらの車載装置110~119のうち、車載装置111~116,118,119において、同一の攻撃者による一連の攻撃と想定される事象EVが発生しているものとする。
【0056】
なお、上記のネットワーク構成において、ネットワーク最上流の車載装置110~112が当該ネットワークにアクセスする際の入り口、つまりエントリーポイントとなる。つまり、車載装置110~112は、サイバー攻撃による最初のターゲットとなり得る。
【0057】
【0058】
上述の通り、一次生成部103は、図6のフィッティング処理後のデータに基づいて一次的な攻撃経路を生成する。一次的な攻撃経路は、分岐および合流のない直線的な攻撃経路である。
【0059】
このとき、一次生成部103は、事象EVが起きた車載装置111~116,118,119のうち、ネットワーク上において分岐および合流がないポイント、もしくは分岐および合流が極力少ないポイントに接続された車載装置を含む攻撃経路を選択する。図7に、一次生成部103が生成した一次的な攻撃経路の例を示す。
【0060】
図7は、実施形態にかかるIDM装置10が生成した一次的な攻撃経路の一例を示す図である。一次生成部103は、上述の図6のデータに基づいて、生成しうる限りの数の一次的な攻撃経路を生成する。図7の例では、一次生成部103は2つの攻撃経路を生成している。
【0061】
これらのうち一方の攻撃経路は、車載装置111から発し、車載装置113,115を経由して車載装置118に至っている。
【0062】
ここで、車載装置111はネットワークの分岐点に接続されており、車載装置111に接続される下流側の車載装置113,114の両方共で事象EVが発生している。このため、車載装置111で発生した事象EVが、ネットワークを辿って車載装置113に至った可能性と、車載装置114に至った可能性との両方が考えられる。
【0063】
しかし、最初に事象EVが発生したと思われる車載装置111,112のうち、車載装置113は一方の車載装置111にのみ接続されている。一方で、最初に事象EVが発生した車載装置111,112のうち、車載装置114は両方の車載装置111,112に接続されている。したがって、車載装置113,114のうち、車載装置113の方が車載装置114に比べて分岐および合流がより少ないポイントに接続されているといえる。
【0064】
この場合、一次生成部103は、一次的な攻撃経路として、分岐および合流がより少ないポイントに接続される車載装置113へと向かう経路を生成する。
【0065】
2つの攻撃経路のうち他方の攻撃経路は、車載装置112から車載装置114,116を経由して車載装置119に至っている。
【0066】
ここで、車載装置116はネットワークの分岐点に接続されており、車載装置116に接続される下流側の車載装置118,119の両方共で事象EVが発生している。このため、車載装置116で発生した事象EVが、ネットワークを辿って車載装置118に至った可能性と、車載装置119に至った可能性との両方が考えられる。
【0067】
しかし、これらの車載装置118,119の上流側において事象EVが発生した車載装置115,116のうち、車載装置119は一方の車載装置116にのみ接続されている。一方で、上流側の車載装置115,116のうち、車載装置118は両方の車載装置115,116に接続されている。したがって、車載装置118,119のうち、車載装置119の方が車載装置118に比べて分岐および合流がより少ないポイントに接続されているといえる。
【0068】
この場合、一次生成部103は、一次的な攻撃経路として、分岐および合流がより少ないポイントに接続される車載装置119へと向かう経路を生成する。
【0069】
【0070】
二次生成部104は、図7の一次的な攻撃経路生成後のデータに対して二次的な攻撃経路を生成する。二次的な攻撃経路は、一次生成部103が生成した一次的な攻撃経路から分岐する攻撃経路、または一次的な攻撃経路に合流する攻撃経路である。
【0071】
このとき、二次生成部104は、事象EVが起きた車載装置111~116,118,119のうち、一次生成部103が生成した一次的な攻撃経路に含まれない車載装置から優先的に処理を進めていく。
【0072】
またこのとき、二次生成部104もまた、ネットワーク上において分岐および合流がないポイント、もしくは分岐および合流が極力少ないポイントに接続された車載装置を含む攻撃経路を選択する。
【0073】
【0074】
2つの候補のうち一方は、車載装置112から車載装置114を経由する一次的な攻撃経路への、車載装置111からの攻撃経路の合流の可能性である。
【0075】
2つの候補のうちもう一方は、車載装置116から車載装置119へと至る一次的な攻撃経路から、車載装置118へと分岐する攻撃経路の可能性である。
【0076】
このように、上述の一次生成部103による一次的な攻撃経路の生成時に、辿り得る攻撃経路が1つに定まらないポイント、つまり、攻撃経路の合流点足り得る車載装置114、及び攻撃経路の分岐点足り得る車載装置116等が、二次的な攻撃経路を生成する場合の候補となりうる。二次的な攻撃経路の生成においてはこのような、攻撃経路が1つに定まらないポイントに着目して検討がなされる。
【0077】
具体的には、二次生成部104は、車載装置111,114間における事象EVの発生タイミング、及び車載装置116,118間における事象EVの発生タイミングに基づいて、これらの合流および分岐の可能性について検討する。
【0078】
図9は、実施形態にかかるIDM装置10において検討される車載装置111,114間における事象EVの発生タイミングを示す図である。なお、図9には、参考として車載装置112における事象EVの発生タイミングも示す。
【0079】
図9に示すように、車載装置111,112,114における事象EVは、この順に発生している。車載装置111から車載装置114への攻撃経路の合流があったか否かは、車載装置111で事象EVが発生してから第2の期間としての一定時間PRa内に、車載装置114で事象EVが発生しているか否かに基づいて判定される。
【0080】
図9の例では、車載装置111での事象EV発生から一定時間PRa内に、車載装置114での事象EVが未発生である。このため、二次生成部104は、車載装置111から車載装置114への攻撃経路の合流はなかったものと判定する。
【0081】
なお、図9の例では、車載装置112での事象EV発生から一定時間PRb内に、車載装置114での事象EVが発生している。この点からも、一次生成部103が生成したとおり、車載装置112から車載装置114へと向かう攻撃経路が存在することが推定される。
【0082】
図10は、実施形態にかかるIDM装置10において検討される車載装置116,118間における事象EVの発生タイミングを示す図である。なお、図10には、参考として車載装置119における事象EVの発生タイミングも示す。
【0083】
図10に示すように、車載装置116,118,119における事象EVは、この順に発生している。車載装置116から車載装置118への攻撃経路の分岐があったか否かは、車載装置116で事象EVが発生してから第1の期間としての一定時間PRc内に、車載装置118で事象EVが発生しているか否かに基づいて判定される。
【0084】
図10の例では、車載装置116での事象EV発生から一定時間PRc内に、車載装置118での事象EVが発生している。このため、二次生成部104は、車載装置116から車載装置118への攻撃経路の分岐があったものと判定する。
【0085】
なお、図10の例では、車載装置116での事象EV発生から一定時間PRc内に、車載装置119での事象EVも発生している。この点からも、一次生成部103が生成したとおり、車載装置116から車載装置119へと向かう攻撃経路が存在することが推定される。
【0086】
二次生成部104は、以上の判定結果に基づいて、一次生成部103が生成した一次的な攻撃経路に分岐または合流があるときは、それらの攻撃経路を付与する。図11に、二次生成部104によって二次的な攻撃経路が付与されたデータの例を示す。
【0087】
図11は、実施形態にかかるIDM装置10が生成した攻撃経路の一例を示す図である。図11の例では、一次生成部103が生成した一次的な攻撃経路に、二次生成部104が生成した二次的な攻撃経路が付与されている。
【0088】
上述の図9の例では、車載装置111から車載装置114への攻撃経路の合流はないものと判定されている。このため、車載装置111から車載装置114に向かう二次的な攻撃経路は付与されていない。
【0089】
上述の図10の例では、車載装置116から車載装置118へと至る攻撃経路の分岐があったものと判定されている。このため、上述の車載装置112から車載装置114,116を経由して車載装置119に至る一次的な攻撃経路に対して、車載装置116から車載装置118へと分岐する二次的な攻撃経路が付与されている。
【0090】
以上のように、一次生成部103及び二次生成部104による攻撃経路が生成される。一次生成部103及び二次生成部104による処理後の攻撃経路は、例えば上述の図11の例のように、分岐および合流の少なくともいずれかを含む二次的な攻撃経路でありうる。あるいは、一次生成部103及び二次生成部104による処理後の攻撃経路は、分岐および合流のいずれも含まない一次的な攻撃経路でありうる。
【0091】
なお、一次生成部103及び二次生成部104による攻撃経路の生成処理は、ネットワークのエントリーポイントより内部の車載装置に事象EVが発生した場合に実施される。
【0092】
すなわち、エントリーポイントである1つまたは複数の車載装置110~112に事象EVが発生したのみでは攻撃経路の生成処理は行われない。1つまたは複数の車載装置110~112に加え、少なくとも、それらよりネットワーク内部の1つまたは複数の車載装置113,114に事象EVが発生した場合に攻撃経路の生成処理を行う。
【0093】
事象EV発生がエントリーポイントのみである場合、そもそも攻撃経路を想定するまでもなく、IDM装置10の処理負荷に見合わないからである。また、サイバー攻撃においては、多くの攻撃試行がなされる場合が主であり、エントリーポイントのみへの攻撃は想定しにくいためでもある。
【0094】
また、一次生成部103及び二次生成部104による攻撃経路の生成処理は、IDSセンサ群100aからのログの取得タイミングに依存する。このため、攻撃経路の生成処理は、リアルタイムで一連の事象EVが発生中、または一連の事象EVの発生が終了した後のいずれかでありうる。
【0095】
また、リアルタイムで攻撃経路の生成処理が行われる場合、生成済みの攻撃経路に繋がる下流側の車載装置で事象EVが発生した場合は、生成済みの攻撃経路が更に延長したものとして取り扱われる。
【0096】
また、一連の事象EVの発生が終了した後に攻撃経路の生成処理を行ってなお、事象EVの発生が見られた車載装置のうち、生成した攻撃経路のいずれにも属さない車載装置が残存している場合には、その車載装置に関して誤検知が含まれているものとして取り扱う。
【0097】
(攻撃シナリオの推定例)
次に、図12を用いて、IDM装置10の推定部105が行う攻撃シナリオの推定について説明する。図12は、実施形態にかかるIDM装置10が攻撃シナリオの推定に用いる既知攻撃データベース107bの一例を示す図である。
次に、図12を用いて、IDM装置10の推定部105が行う攻撃シナリオの推定について説明する。図12は、実施形態にかかるIDM装置10が攻撃シナリオの推定に用いる既知攻撃データベース107bの一例を示す図である。
【0098】
図12に示すように、既知攻撃データベース107bは、既知の攻撃パターンを表す複数の攻撃シナリオの情報を保持している。攻撃パターンは、車載装置群100において、攻撃が仕掛けられる順番、また、攻撃対象の車載装置に起きうる事象EV等が定義されている。上述のように、既知攻撃データベース107bは、例えばIDM装置10の記憶部107に格納されている。
【0099】
推定部105は、記憶部107から既知攻撃データベース107bを読み出す。また、推定部105は、読み出した既知攻撃データベース107bが保持する複数の攻撃パターンの中から、一次生成部103及び二次生成部104によって生成された攻撃経路に類似する攻撃パターンを抽出する。また、推定部105は、抽出した攻撃パターンに基づいて、IDSセンサ群100aから取得したログに含まれる事象EVの攻撃シナリオを推定する。
【0100】
図12の例では、推定部105は、複数の攻撃シナリオから、シナリオID3の攻撃シナリオが、上述の一連の事象EVにおける攻撃シナリオであると推定している。
【0101】
(IDM装置の攻撃経路生成方法)
次に、図13及び図14を用いて、実施形態のIDM装置10による攻撃経路生成方法の例について説明する。図13は、実施形態にかかるIDM装置10による攻撃経路生成処理の手順の一例を示すフロー図である。
次に、図13及び図14を用いて、実施形態のIDM装置10による攻撃経路生成方法の例について説明する。図13は、実施形態にかかるIDM装置10による攻撃経路生成処理の手順の一例を示すフロー図である。
【0102】
図13に示すように、IDM装置10の一次生成部103は、IDSセンサ群100aから取得したログに基づいて、攻撃と想定される事象EVがネットワーク上を侵入していった経路である攻撃経路であって、一次的な攻撃経路を生成する(ステップS101)。
【0103】
より具体的には、一次生成部103が用いるデータは、集計部102が集計し、フィッティング処理を施した後のデータである。
【0104】
一次生成部103は、1つの一次的な攻撃経路を生成した後、その攻撃経路以外に他の攻撃経路が無く、その1つの一次的な攻撃経路で攻撃経路の生成が完結したか否かを判定する(ステップS102)。攻撃経路の生成が完結するとは、攻撃と想定される事象EVが起きた全ての車載装置が、生成された攻撃経路に含まれており、残存している車載装置がないことである。1つの一次的な攻撃経路で完結している場合には(ステップS102:Yes)、IDM装置10は処理を終了する。
【0105】
1つの一次的な攻撃経路で完結していない場合(ステップS102:No)、一次生成部103は、一次的な攻撃経路を更に生成可能であるか否かを判定する(ステップS103)。別の一次的な経路を生成できない場合は(ステップS103:No)、ステップS106の処理に進む。
【0106】
別の一次的な経路を生成可能であれば(ステップS103:Yes)、一次生成部103は、一次的な攻撃経路を更に生成する(ステップS104)。また、一次生成部103は、これら複数の一次的な攻撃経路で攻撃経路の生成が完結しうるか否かを判定する(ステップS105)。これらの一次的な攻撃経路で完結している場合には(ステップS105:Yes)、IDM装置10は処理を終了する。
【0107】
複数の一次的な攻撃経路で完結していない場合(ステップS105:No)、二次生成部104は、これらの一次的な攻撃経路に含まれる車載装置の少なくともいずれかのネットワーク上の接続点に、分岐または合流があるか否かを判定する(ステップS106)。
【0108】
いずれの車載装置の接続点にも分岐または合流が無い場合には(ステップS106:No)、IDM装置10は処理を終了する。この場合、生成された攻撃経路に含まれない車載装置が残存した状態で攻撃経路の生成が終了する。残存した車載装置は誤検知を含むものとして取り扱われる。
【0109】
いずれかの車載装置の接続点に分岐または合流がある場合には(ステップS106:Yes)、二次生成部104は、車載装置群100が有する既知のネットワーク構成に応じて、分岐および合流の少なくともいずれかを含む二次的な攻撃経路を生成する(ステップS107)。
【0110】
以上により、実施形態のIDM装置10による攻撃経路生成処理が終了する。
【0111】
【0112】
図14に示すように、二次生成部104は、上述の一次生成部103の処理で生成された一次的な攻撃経路のうち、二次的な経路が未生成の経路であって、分岐および合流がなく、あるいは少ない経路を選択する(ステップS111)。
【0113】
二次生成部104は、選択した経路上に、二次的な攻撃経路を生成しうる分岐または合流が存在するかを判定する(ステップS112)。分岐または合流が存在しない場合には(ステップS112:No)、二次生成部104は、ステップS113~S117の処理をスキップしてステップS118の処理へと進む。
【0114】
選択した経路上に二次的な攻撃経路を生成しうる分岐が存在する場合には(ステップS112:Yes(分岐))、分岐点およびその下流側に接続される車載装置間での攻撃と想定される事象EVが、一定時間内に発生しているか否かを判定する(ステップS113)。
【0115】
事象EVが一定時間内に発生している場合は(ステップS113:Yes)、二次生成部104は、それらの車載装置間に分岐経路を設定する(ステップS114)。事象EVが一定時間内に発生していなかった場合には(ステップS113:No)、二次生成部104は、ステップS114,S117の処理をスキップしてステップS118の処理へと進む。
【0116】
選択した経路上に二次的な攻撃経路を生成しうる合流が存在する場合には(ステップS112:Yes(合流))、合流点およびその上流側に接続される車載装置間での攻撃と想定される事象EVが、一定時間内に発生しているか否かを判定する(ステップS115)。
【0117】
事象EVが一定時間内に発生している場合は(ステップS115:Yes)、二次生成部104は、それらの車載装置間に合流経路を設定する(ステップS116)。事象EVが一定時間内に発生していなかった場合には(ステップS115:No)、二次生成部104は、ステップS116,S117の処理をスキップしてステップS118の処理へと進む。
【0118】
二次生成部104は、分岐点およびその下流側に接続される車載装置間に設定した分岐経路があるときは、その分岐を含む二次的な攻撃経路を生成し、合流点およびその上流側に接続される車載装置間に設定した合流経路があるときは、その合流を含む二次的な攻撃経路を生成する(ステップS117)。
【0119】
また、二次生成部104は、ステップS111~S117までの処理により、攻撃経路の生成が完結したか否かを判定する(ステップS118)。これまでに生成した攻撃経路で完結していない場合(ステップS118:No)、二次生成部104は、別の攻撃経路が生成可能か否かを判定する(ステップS119)。
【0120】
別の一次的な経路を生成できない場合(ステップS119:No)、IDM装置10は処理を終了する。この場合、生成された攻撃経路に含まれない車載装置が残存した状態で攻撃経路の生成が終了する。残存した車載装置は誤検知を含むものとして取り扱われる。
【0121】
別の一次的な経路を生成可能であれば(ステップS119:Yes)、攻撃経路の生成が完結するまで、ループL1(S)~L1(E)内のステップS111~S119までの処理を繰り返す。攻撃経路の生成が完結した場合(ステップS118:Yes)、ループL1(S)~L1(E)の処理を終了する。
【0122】
以上により、実施形態のIDM装置10による二次的な攻撃経路の生成処理が終了する。
【0123】
その後、出力部106は、推定部105による攻撃シナリオの推定結果とともに、一次生成部103及び二次生成部104により生成された攻撃経路の生成結果をSIEM装置21に出力する。
【0124】
SIEM装置21の攻撃判定部201及び攻撃対処部202は攻撃経路の生成結果および、攻撃シナリオの推定結果に基づいて、IDSセンサ群100aが検知した事象EVの攻撃判定および対策策定を行う。事象EVに対する対策としては、例えば特定の車載装置における通信またはネットワークの遮断、ソフトウェアの更新、車載装置群100を含むシステムの停止等がある。
【0125】
(比較例)
サイバー攻撃の高度化により、サイバー攻撃を完全に防御するのは困難となりつつあり、サイバー攻撃発生後の対策が重要となっている。また、車載装置群等の制御システムにおいては、セキュリティ対策が万全でない場合もあり、攻撃の発生から非常に短時間で、機器の誤作動または破壊に至ってしまう可能性がある。
サイバー攻撃の高度化により、サイバー攻撃を完全に防御するのは困難となりつつあり、サイバー攻撃発生後の対策が重要となっている。また、車載装置群等の制御システムにおいては、セキュリティ対策が万全でない場合もあり、攻撃の発生から非常に短時間で、機器の誤作動または破壊に至ってしまう可能性がある。
【0126】
例えば上述の特許文献1には、複数の攻撃シナリオがログと合致した場合に、攻撃経路と対処回数を対応付けたテーブルを参照し、複数の推定攻撃が見つかった場合でも対処回数による優先度に基づいて1つの攻撃経路に特定する技術が開示されている。
【0127】
しかしながら、サイバー攻撃における偵察行動のように、複数のノードが同時に攻撃され、複数の攻撃経路が生成されたような場合、1つの攻撃で1つの攻撃経路を前提とする上記技術では、充分な対応をとることは困難である。
【0128】
一方、複数の攻撃経路が生成された場合であっても、それが分岐も合流も有さない一次的な攻撃経路であれば、上記技術を反復して実施すれば、複数の攻撃経路の特定が可能となるようにも思われる。しかしながら、複数の攻撃経路が生成され、その中に分岐または合流を有する攻撃経路が含まれる場合には、やはり、上記技術では不充分な対応となってしまう。
【0129】
実施形態のIDM装置10によれば、攻撃検知機能を有する車載装置群100におけるログに基づいて、分岐および合流のない一次的な攻撃経路を生成し、一次的な攻撃経路から分岐し、または一次的な攻撃経路に合流する二次的な攻撃経路を生成する。これにより、複数の装置が同時に攻撃を受けた場合であっても攻撃経路を特定することができる。
【0130】
実施形態のIDM装置10によれば、二次的な攻撃経路は、一次的な攻撃経路に含まれる車載装置であって、ネットワークの合流点または分岐点に接続される車載装置に対する攻撃と想定される事象EVから一定時間内に、攻撃と想定される事象EVが起きている上流側または下流側の車載装置を含むこととする。これにより、一次的な攻撃経路に付随する二次的な攻撃経路の有無を判定することができ、二次的な攻撃経路を含む攻撃経路を適切に生成することができる。
【0131】
実施形態のIDM装置10によれば、車載装置群100のうち、一次的な攻撃経路に含まれる車載装置であって、ネットワークの分岐点に接続される車載装置116に対する事象EVと、ネットワークの分岐先に接続される2つ以上の車載装置118,119の中で、車載装置116が属する一次的な攻撃経路に含まれない車載装置118に対する事象EVとが一定時間内に起きている場合には、一次的な攻撃経路からその車載装置118へと分岐する経路を生成する。これにより、一次的な攻撃経路から分岐する攻撃経路の有無を判定することができ、分岐を含む攻撃経路を適切に生成することができる。
【0132】
実施形態のIDM装置10によれば、車載装置群100のうち、一次的な攻撃経路に含まれる車載装置であって、ネットワークの合流点に接続される車載装置114に対する事象EVと、その車載装置114の上流側で合流点と接続している2つ以上の車載装置111,112の中で、車載装置114が属する一次的な攻撃経路に含まれない車載装置112に対する事象EVとが一定時間内に起きている場合には、上流側の車載装置111から一次的な攻撃経路に合流する経路を生成する。これにより、一次的な攻撃経路に合流する攻撃経路の有無を判定することができ、合流を含む攻撃経路を適切に生成することができる。
【0133】
実施形態のIDM装置10によれば、既知の攻撃シナリオに基づいて、攻撃と想定される事象EVにおける攻撃シナリオを推定する。これにより、SIEM装置21に出力される情報の付加価値をよりいっそう高めることができる。
【0134】
なお、上述の実施形態では、IDM装置10は推定部105を備え、その推定部105が、攻撃と想定される事象EVにおける攻撃シナリオを推定することとした。しかし、攻撃シナリオの推定は、例えばSIEM装置21において実施されてもよい。
【0135】
(変形例1)
次に、図15~図19を用いて、実施形態の変形例1のIDM装置210について説明する。変形例のIDM装置210は、二次的な攻撃経路を生成する際に、生成した攻撃経路に含まれる複数の車載装置をグループとして扱う点が上述の実施形態とは異なる。
次に、図15~図19を用いて、実施形態の変形例1のIDM装置210について説明する。変形例のIDM装置210は、二次的な攻撃経路を生成する際に、生成した攻撃経路に含まれる複数の車載装置をグループとして扱う点が上述の実施形態とは異なる。
【0136】
図15は、実施形態の変形例1にかかるIDM装置210及びSIEM装置21の機能構成の一例を示すブロック図である。なお、図15においては、上述の実施形態と同様の構成に同様の符号を付し、その説明を省略する。
【0137】
図15に示すように、変形例1のIDM装置210は、上述の実施形態のIDM装置10の構成に加え、グループ生成部218を備える。グループ生成部218は、生成された攻撃経路に含まれる幾つかの車載装置をグループ化する。グループ生成部218は、例えば攻撃経路生成プログラムを実行中のIDM装置210のCPUにより実現される。
【0138】
図16は、実施形態の変形例1にかかるIDM装置210がIDSセンサ群から取得したログにフィッティング処理を施したデータの一例を示す図である。
【0139】
図16の例では、車両に搭載される車載装置群100には、車載装置120~129が含まれている。これらの車載装置120~129におけるネットワーク構成は、上述の実施形態の車載装置110~119におけるネットワーク構成とは異なっているものとする。
【0140】
また、図16の例では、これらの車載装置120~129のうち、車載装置120,123~126,128,129において、これらの車載装置に対する攻撃と想定される事象EVが発生しているものとする。
【0141】
一次生成部103は、まず、車載装置120から車載装置123へ向かう一次的な攻撃経路を生成する。グループ生成部218は、これらの車載装置120,123をグループ化したグループGPを生成する。
【0142】
二次生成部104が、車載装置120,123が属する一次的な攻撃経路における分岐または合流の有無を検討する場合、車載装置120,123が属する一次的な攻撃経路はグループ単位で扱われる。図16の例では、例えばグループGPにはグループGPの下流側で車載装置125が接続されていると見ることができる。また例えば、グループGPからは車載装置124が分岐していると見ることができる。
【0143】
二次生成部104は、グループGPの下流側でグループGPから車載装置124への攻撃経路の分岐の可能性について検討する。このとき、二次生成部104は、グループGPから分岐する車載装置124と、グループGPに下流側で接続される車載装置125と、における事象EVの発生タイミングに基づいて、グループGPから車載装置124への分岐の有無を判定する。
【0144】
図17は、実施形態の変形例1にかかるIDM装置210において検討される車載装置124,125間における事象EVの発生タイミングを示す図である。
【0145】
図17に示すように、車載装置124,125における事象EVは、この順に発生している。グループGPから車載装置124への攻撃経路の分岐があったか否かは、車載装置124での事象EVと車載装置125での事象EVとがいずれも、第4の期間としての一定時間PRd内に発生しているか否かに基づいて判定される。
【0146】
図17の例では、車載装置124での事象EVと車載装置125での事象EVとがいずれも、一定時間PRd内に発生している。このため、二次生成部104は、グループGPから車載装置124への攻撃経路の分岐があったものと判定する。
【0147】
二次生成部104が、一次生成部103により生成された一次的な攻撃経路への合流について検討する場合にも、上記と同様に、一次的な攻撃経路に含まれる複数の車載装置をグループ単位で扱う。
【0148】
図18に、変形例1のIDM装置210によって生成された攻撃経路の一例を示す。図18は、実施形態の変形例1にかかるIDM装置210が生成した攻撃経路の一例を示す図である。図18の例では、一次生成部103が生成した一次的な攻撃経路から分岐する攻撃経路が、二次生成部104によって付与されている。
【0149】
すなわち、図18の例においては、一次生成部103によって、車載装置120から車載装置123を経由して車載装置125に至る一次的な攻撃経路が生成されている。また、二次生成部104によって、車載装置120から車載装置124へと分岐する二次的な攻撃経路が生成されている。
【0150】
この二次的な攻撃経路において、さらに、車載装置124から車載装置126を経由して車載装置128,129のいずれかへと至る一次的な攻撃経路が、一次生成部103によって生成されている。車載装置128,129のいずれかもう一方へと分岐する二次的な攻撃経路は、二次生成部104によって更に付与されたものである。
【0151】
次に、図19を用いて、変形例1のIDM装置210による二次的な攻撃経路の生成方法の例について説明する。図19は、実施形態の変形例1にかかるIDM装置210による二次的な攻撃経路の生成処理の手順の一例を示すフロー図である。
【0152】
上述の実施形態の二次的な攻撃経路の生成処理では、個々の車載装置単体間における分岐または合流について検討していたのに対し、変形例1の二次的な攻撃経路の生成処理では、グループ化された複数の車載装置に対する所定の車載装置の分岐または合流について検討する。換言すれば、図19に示すステップS122~S126の処理は、上述の実施形態の図13に示すステップS112~S116の処理に対応している。
【0153】
図19に示すように、二次生成部104は、攻撃と想定される事象EVが発生した所定の車載装置に隣接する生成済みの攻撃経路があるか否かを判定する(ステップS121)。隣接する攻撃経路がない場合には(ステップS121:No)、二次生成部104は、ステップS122~S127の処理をスキップしてステップS128の処理へと進む。
【0154】
隣接する攻撃経路がある場合には(ステップS121:Yes)、二次生成部104は、その攻撃経路をグループ単位で扱って、その攻撃経路と、それに隣接する上述の車載装置との間に、二次的な攻撃経路を生成しうる分岐または合流が存在するかを判定する(ステップS122)。
【0155】
分岐または合流が存在しない場合には(ステップS122:No)、二次生成部104は、ステップS123~S127の処理をスキップしてステップS128の処理へと進む。
【0156】
攻撃経路と、それに隣接する上述の車載装置との間に、二次的な攻撃経路を生成しうる分岐が存在する場合には(ステップS122:Yes(分岐))、二次生成部104は、その攻撃経路に下流側で接続される車載装置と、攻撃経路に隣接する上述の車載装置とにおける攻撃と想定される事象EVが、一定時間内に発生しているか否かを判定する(ステップS123)。
【0157】
事象EVが一定時間内に発生している場合は(ステップS123:Yes)、二次生成部104は、その攻撃経路と車載装置との間に分岐経路を設定する(ステップS124)。事象EVが一定時間内に発生していなかった場合には(ステップS123:No)、二次生成部104は、ステップS124,S127の処理をスキップしてステップS128の処理へと進む。
【0158】
攻撃経路と、それに隣接する上述の車載装置との間に、二次的な攻撃経路を生成しうる合流が存在する場合には(ステップS122:Yes(合流))、二次生成部104は、その攻撃経路に上流側で接続される車載装置と、攻撃経路に隣接する上述の車載装置とにおける攻撃と想定される事象EVが、一定時間内に発生しているか否かを判定する(ステップS125)。
【0159】
事象EVが一定時間内に発生している場合は(ステップS125:Yes)、二次生成部104は、その攻撃経路と車載装置との間に合流経路を設定する(ステップS126)。事象EVが一定時間内に発生していなかった場合には(ステップS125:No)、二次生成部104は、ステップS126,S127の処理をスキップしてステップS128の処理へと進む。
【0160】
二次生成部104は、攻撃経路と、それに隣接する上述の車載装置との間に設定した分岐経路があるときは、その分岐を含む二次的な攻撃経路を生成し、攻撃経路と、それに隣接する上述の車載装置との間に設定した合流経路があるときは、その合流を含む二次的な攻撃経路を生成する(ステップS127)。
【0161】
また、二次生成部104は、ステップS121~S127までの処理により、攻撃経路の生成が完結したか否かを判定する(ステップS128)。これまでに生成した攻撃経路で完結していない場合(ステップS128:No)、二次生成部104は、別の攻撃経路が生成可能か否かを判定する(ステップS129)。
【0162】
別の一次的な経路を生成できない場合(ステップS129:No)、IDM装置210は処理を終了する。この場合、生成された攻撃経路に含まれない車載装置が残存した状態で攻撃経路の生成が終了する。残存した車載装置は誤検知を含むものとして取り扱われる。
【0163】
別の一次的な経路を生成可能であれば(ステップS129:Yes)、攻撃経路の生成が完結するまで、ループL2(S)~L2(E)内のステップS121~S129までの処理を繰り返す。攻撃経路の生成が完結した場合(ステップS128:Yes)、ループL2(S)~L2(E)の処理を終了する。
【0164】
以上により、変形例1のIDM装置210による二次的な攻撃経路の生成処理が終了する。
【0165】
変形例1のIDM装置210によれば、車載装置群100のうち、グループGPに付随する分岐路上にある車載装置124に対する攻撃と、グループGPに下流側で接続される車載装置125に対する攻撃とが一定時間内に起きている場合には、グループGPから車載装置124へと分岐する経路を生成する。これにより、攻撃対象の可能性をより広く検討することができる。
【0166】
【0167】
図20は、実施形態の変形例2にかかるIDM装置310及びSIEM装置21の機能構成の一例を示すブロック図である。なお、図20においては、上述の実施形態と同様の構成に同様の符号を付し、その説明を省略する。
【0168】
図20に示すように、変形例2のIDM装置310は、上述の実施形態のIDM装置10の構成に加え、目標推測部318を備える。
【0169】
目標推測部318は、IDSセンサ群から取得したログにフィッティング処理を施したデータにおいて、一定時間内に事象EVが発生した数をカウントする。また、目標推測部318は、攻撃経路における複数の分岐先のうち、事象EVの発生数が最も多かった分岐先の車載装置の下流側に接続される1つ以上の車載装置が攻撃目標であると推測する。目標推測部318は、例えば攻撃経路生成プログラムを実行中のIDM装置310のCPUにより実現される。
【0170】
図21は、実施形態の変形例2にかかるIDM装置310が生成した攻撃経路の一例を示す図である。
【0171】
図21の例では、車両に搭載される車載装置群100には、車載装置130~139が含まれている。これらの車載装置130~139におけるネットワーク構成は、上述の実施形態の車載装置110~119におけるネットワーク構成とは異なっているものとする。
【0172】
また、図21の例では、これらの車載装置130~139のうち、車載装置130~133,135~139において、これらの車載装置に対する攻撃と想定される事象EVが発生しているものとする。
【0173】
一次生成部103は、上記フィッティング後のデータに基づいて攻撃経路を生成する。これにより、車載装置130から、車載装置131を経由して車載装置133に至る一次的な攻撃経路が生成されている。また、車載装置130から、車載装置132,135を経由して車載装置137に至る一次的な攻撃経路が生成されている。
【0174】
また、二次生成部104により、車載装置135から車載装置138へと分岐する二次的な攻撃経路が生成されている。また、車載装置132から、車載装置136へと分岐して車載装置139に至る二次的な攻撃経路が生成されている。
【0175】
一方、目標推測部318は、車載装置130~139について、第3の期間としての一定時間内に事象EVが発生した数を攻撃発生数としてカウントする。
【0176】
図21の例では、車載装置131,132における事象EVが一定時間内に発生したものとする。この場合、目標推測部318は、例えば車載装置131における攻撃発生数を2回中の1回目、つまり、1/2とカウントする。また、目標推測部318は、例えば車載装置132における攻撃発生数を2回中の2回目、つまり、2/2とカウントする。
【0177】
図21の例では、また、車載装置133における事象EVが発生してから一定時間内に、事象EVが発生した他の車載装置はなかったものとする。この場合、目標推測部318は、例えば車載装置133における攻撃発生数を1回とカウントする。
【0178】
図21の例では、また、車載装置135,136における事象EVが一定時間内に発生したものとする。この場合、目標推測部318は、例えば車載装置135における攻撃発生数を2回中の1回目、つまり、1/2とカウントする。また、目標推測部318は、例えば車載装置136における攻撃発生数を2回中の2回目、つまり、2/2とカウントする。
【0179】
図21の例では、また、車載装置137,138における事象EVが一定時間内に発生したものとする。この場合、目標推測部318は、例えば車載装置137における攻撃発生数を2回中の1回目、つまり、1/2とカウントする。また、目標推測部318は、例えば車載装置138における攻撃発生数を2回中の2回目、つまり、2/2とカウントする。
【0180】
図21の例では、また、車載装置139における事象EVが発生してから一定時間内に、事象EVが発生した他の車載装置はなかったものとする。この場合、目標推測部318は、例えば車載装置139における攻撃発生数を1回とカウントする。
【0181】
各車載装置130~139について攻撃発生数をカウントした後、目標推測部318は、攻撃発生数のカウントに基づいて攻撃目標の車載装置を特定する。
【0182】
具体的には、車載装置130を起点とする攻撃経路には、車載装置131,133へと向かう経路と、車載装置132,135,136へと向かう経路との分岐が見られる。この場合、目標推測部318は、車載装置130からの複数の分岐先のうち、車載装置131,133を含む分岐先と、車載装置132,135,136を含む分岐先との攻撃発生数を比較する。
【0183】
図21の例では、車載装置131,133を含む分岐先において、車載装置133での攻撃発生数は1回である。また、車載装置132,135,136を含む分岐先において、車載装置135,136での攻撃発生数は2回である。したがって、目標推測部318は、車載装置132,135,136を含む分岐先の下流側に接続される車載装置137~139の少なくともいずれかが攻撃目標であると推測する。
【0184】
また、車載装置132を起点とする攻撃経路には、車載装置135,137,138へと向かう経路と、車載装置136,139へと向かう経路との分岐が見られる。この場合、目標推測部318は、車載装置132からの複数の分岐先のうち、車載装置135,137,138を含む分岐先と、車載装置136,139を含む分岐先との攻撃発生数を比較する。
【0185】
図21の例では、車載装置135,137,138を含む分岐先において、車載装置137,138での攻撃発生数は2回である。また、車載装置136,139を含む分岐先において、車載装置139での攻撃発生数は1回である。したがって、目標推測部318は、車載装置135,137,138を含む分岐先の最下流のポイントに接続される車載装置137,138の少なくともいずれかが攻撃目標であると推測する。
【0186】
車載装置群100のネットワーク構成において、最下流のポイントに接続される車載装置137~139まで攻撃目標の推測が行われると、目標推測部318は、最下流のポイントに接続される車載装置137~139であって、攻撃目標であると推測された車載装置137,138へと向かう攻撃経路を生成する。目標推測部318が生成した攻撃経路の一例を図22に示す。
【0187】
図22は、実施形態の変形例2にかかるIDM装置310が、攻撃目標数のカウントに基づいて生成した攻撃経路の一例を示す図である。図22に示すように、目標推測部318によって、車載装置130から車載装置132,135を経由して、車載装置137に至る攻撃経路と、車載装置138に至る攻撃経路とが生成されている。
【0188】
このように、一次生成部103及び二次生成部104が生成した攻撃経路が、ネットワークの下流側で多方向に分岐している場合であっても、目標推測部318によって攻撃目標となる車載装置が絞り込まれる。
【0189】
次に、図23を用いて、変形例2のIDM装置310による攻撃経路の生成方法の例について説明する。
【0190】
図23は、実施形態の変形例2にかかるIDM装置310による攻撃発生数に基づく攻撃経路の生成処理の手順の一例を示すフロー図である。図23の処理は、一次生成部103及び二次生成部104による攻撃経路の生成処理後に実施される。
【0191】
図23に示すように、目標推測部318は、一次生成部103及び二次生成部104が生成した攻撃経路上に分岐があるか否かを判定する(ステップS201)。攻撃経路上に分岐がない場合(ステップS201:No)、目標推測部318は、ステップS202の処理をスキップしてステップS203の処理に進む。
【0192】
攻撃経路上に分岐がある場合(ステップS201:Yes)、目標推測部318は、所定の分岐の下流側において攻撃発生数が多い攻撃経路を選択する(ステップS202)。
【0193】
また、目標推測部318は、一次生成部103及び二次生成部104が生成した攻撃経路の全体に亘って、上記のステップS201,S202の処理が終了したか否かを判定する(ステップS203)。攻撃経路に未処理の部分がある場合(ステップS203:No)、目標推測部318は、攻撃経路の全体に亘って処理が終了するまで、ループL3(S)~L3(E)内のステップS201~S203までの処理を繰り返す。攻撃経路の全体に亘って処理が終了した場合(ステップS203:Yes)、ループL3(S)~L3(E)の処理を終了する。
【0194】
以上により、変形例2のIDM装置310による攻撃発生数に基づく攻撃経路の生成処理が終了する。
【0195】
変形例2のIDM装置310によれば、一定時間内に事象EVが発生した数を攻撃発生数としてカウントし、二次的な攻撃経路が分岐している場合に、複数の分岐先のうち攻撃発生数が他の分岐先より多かった分岐先の車載装置135の下流側に接続される1つ以上の車載装置137,138へと向かう攻撃経路を生成する。
【0196】
これにより、例えばネットワークの下流側で攻撃経路に多数の分岐が生じているような場合であっても、攻撃目標となっている車載装置を絞り込むことができる。よって、攻撃経路の向かう先を可視化することができ、攻撃者がどこに関心を持っているのかをマクロに判定することが可能となる。
【0197】
以上、本発明の実施の形態について説明したが、上述した実施の形態は、例として提示したものであり、本発明の範囲を限定することは意図していない。この新規な実施の形態は、その他の様々な形態で実施されることが可能である。また、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。また、この実施の形態は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0198】
10,210,310 IDM装置
20 データセンタ
21 SIEM装置
22 データベース
100 車載装置群
100a IDSセンサ群
101 取得部
102 集計部
103 一次生成部
104 二次生成部
105 推定部
106 出力部
107 記憶部
107a ネットワーク構成データベース
107b 既知攻撃データベース
218 グループ生成部
318 目標推測部
NTc ネットワーク
NTe 外部ネットワーク
VH 車両
20 データセンタ
21 SIEM装置
22 データベース
100 車載装置群
100a IDSセンサ群
101 取得部
102 集計部
103 一次生成部
104 二次生成部
105 推定部
106 出力部
107 記憶部
107a ネットワーク構成データベース
107b 既知攻撃データベース
218 グループ生成部
318 目標推測部
NTc ネットワーク
NTe 外部ネットワーク
VH 車両
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】