知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧 ▶ NTTセキュリティ・ジャパン株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2023-02-17
(45)【発行日】2023-02-28
(54)【発明の名称】車両セキュリティ分析装置、方法およびそのプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20230220BHJP
H04L 12/40 20060101ALI20230220BHJP
H04L 43/065 20220101ALI20230220BHJP
【FI】
G06F21/55
H04L12/40 Z
H04L43/065
【請求項の数】
6
(21)【出願番号】P 2021155793
(22)【出願日】2021-09-24
【審査請求日】2021-09-24
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(73)【特許権者】
【識別番号】515129744
【氏名又は名称】NTTセキュリティ・ジャパン株式会社
(74)【代理人】
【識別番号】100108855
【弁理士】
【氏名又は名称】蔵田 昌俊
(74)【代理人】
【識別番号】100179062
【弁理士】
【氏名又は名称】井上 正
(74)【代理人】
【識別番号】100199565
【弁理士】
【氏名又は名称】飯野 茂
(72)【発明者】
【氏名】上野 哲
(72)【発明者】
【氏名】若杉 厚司
(72)【発明者】
【氏名】中田 健介
(72)【発明者】
【氏名】千葉 靖伸
【審査官】吉田 歩
(56)【参考文献】
【文献】国際公開第2019/142741(WO,A1)
【文献】国際公開第2017/119246(WO,A1)
【文献】国際公開第2020/080222(WO,A1)
【文献】特開2019-029961(JP,A)
【文献】特開2020-119090(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 12/40
H04L 43/065
(57)【特許請求の範囲】
【請求項1】
車両に搭載されネットワークに接続可能な車載装置の動作状態に関係する分析対象データを取得し分析する車両セキュリティ分析装置であって、前記車両の構成に係る車両属性情報に含まれる車両識別情報と前記車載装置の種類を識別する情報との対応関係を表す第1の対応情報と、前記車載装置の種類を識別する情報と分析ロジックとの対応関係を表す第2の対応情報とを記憶する記憶部と、
前記分析対象データが取得される毎に、取得された前記分析対象データに含まれる前記車両属性情報から前記車両識別情報を抽出し、抽出した前記車両識別情報をもとに前記第1の対応情報から対応する前記車載装置の種類を判定する判定処理部と、
判定された前記車載装置の種類を識別する情報をもとに前記第2の対応情報から対応する前記分析ロジックを選択する選択処理部と、
選択された前記分析ロジックに従い前記分析対象データを分析し、分析結果を表す情報を生成する分析処理部と、
前記分析結果を表す情報を出力する出力処理部と
を具備する車両セキュリティ分析装置。
【請求項2】
前記分析処理部は、前記車載装置の種類に対応する前記分析ロジックが複数選択された場合に、選択された複数の前記分析ロジックによる分析処理を並列に実行することにより前記分析対象データを分析する、請求項1に記載の車両セキュリティ分析装置。
【請求項3】
前記分析処理部は、前記車載装置の種類に対応する前記分析ロジックが複数選択された場合に、選択された複数の前記分析ロジックにより分析処理を予め設定された優先情報に従い順に実行することにより前記分析対象データを分析する、請求項1に記載の車両セキュリティ分析装置。
【請求項4】
前記分析処理部は、複数の前記分析ロジックの各々による過去の攻撃検知率を前記優先情報とし、前記攻撃検知率が高い順に複数の前記分析ロジックによる分析処理を実行することにより前記分析対象データを分析する、請求項3に記載の車両セキュリティ分析装置。
【請求項5】
車両に搭載されネットワークに接続可能な車載装置の動作状態に関係する分析対象データを取得し分析する装置が実行する車両セキュリティ分析方法であって、前記車両の構成に係る車両属性情報に含まれる車両識別情報と前記車載装置の種類を識別する情報との対応関係を表す第1の対応情報と、前記車載装置の種類を識別する情報と分析ロジックとの対応関係を表す第2の対応情報とを記憶部に設定する過程と、
前記分析対象データが取得される毎に、取得された前記分析対象データに含まれる前記車両属性情報から前記車両識別情報を抽出し、抽出した前記車両識別情報をもとに前記第1の対応情報から対応する前記車載装置の種類を判定する過程と、
判定された前記車載装置の種類を識別する情報をもとに前記第2の対応情報から対応する前記分析ロジックを選択する過程と、
選択された前記分析ロジックに従い前記分析対象データを分析し、分析結果を表す情報を生成する過程と、
前記分析結果を表す情報を出力する過程と
を具備する車両セキュリティ分析方法。
【請求項6】
請求項1乃至4のいずれかに記載の車両セキュリティ分析装置が具備する前記各処理部による処理を、前記車両セキュリティ分析装置が備えるプロセッサに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明の一態様は、例えば車両内に構築される車載ネットワークのセキュリティの状態を監視し分析するための車両セキュリティ分析装置と、この装置において実行される方法およびプログラムに関する。
【背景技術】
【0002】
近年、各車両メーカでは、電子制御ユニット(Electric Control Unit:ECU)等を含む車載ネットワークと外部ネットワークのサーバ装置との間で各種データの授受を可能にしたコネクテッドカーの開発が進められている。コネクテッドカーは、例えばナビゲーションシステムの地図データの更新や自動運転に係る高度なサービスを実現する上できわめて有用であるが、車載ネットワークが外部ネットワークに接続されることから、外部のネットワークからマルウェアやウィルス等を用いたサイバー攻撃を受けるおそれがある。
【0003】
そこで、最近では車両セキュリティ・オペレーション・センタ(Security Operation Center:SOC)を設け、この車両SOCにおいて車載システムに対するサイバー脅威/攻撃の種類や内容を分析する技術が種々検討されている。例えば、監視対象の車両に搭載された車載装置に複数のセンサを配置し、これらのセンサから発生されるセンサログをネットワークを介して車両SOCで収集する。そして、車両SOCにおいて、収集された上記センサログをもとに上記車載装置に対するサイバー脅威/攻撃を分析する(例えば特許文献1を参照)。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2020-119090号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところが、監視対象の車両には様々な車種が存在し、また車種が同一であっても年式やグレードが異なれば、車両に搭載される車載装置の構成は異なる。さらに、それぞれの車載装置には、一般に様々な箇所に多くのセンサが設置される。このため、車両SOCで収集されるログデータの種類や数は膨大になり、これにより車両SOCにおける分析のための処理負荷は非常に高くなり、また分析スループットは低下する。
【0006】
この発明は上記事情に着目してなされたもので、一側面では、管理対象となる車載装置の種類が増えても、分析対象データの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能な技術を提供しようとするものである。
【課題を解決するための手段】
【0007】
上記課題を解決するためにこの発明の一態様は、車両に搭載されネットワークに接続可能な車載装置の動作状態に関係する分析対象データを前記ネットワークを介して取得し分析する装置または方法にあって、前記車両の構成に係る車両属性情報に含まれる車両識別情報と前記車載装置の種類を識別する情報との対応関係を表す第1の対応情報と、前記車載装置の種類を識別する情報と分析ロジックとの対応関係を表す第2の対応情報とを記憶部に設定する。そして、前記分析対象データが取得される毎に、取得された前記分析対象データに含まれる車両属性情報から前記車両識別情報を抽出し、抽出した前記車両識別情報をもとに前記第1の対応情報から対応する前記車載装置の種類を判定し、判定された前記車載装置の種類を識別する情報をもとに前記第2の対応情報から対応する前記分析ロジックを選択し、選択された前記分析ロジックに従い前記分析対象データを分析して分析結果を表す情報を生成し、出力するようにしたものである。
【0008】
この発明の一態様によれば、車載装置から分析対象データが取得される毎に、取得された分析対象データに含まれる車両属性情報から抽出した車両識別情報をもとに第1の対応情報から車載装置の種類が判定され、判定された上記車載装置の種類を識別する情報をもとに上記第2の対応情報から対応する分析ロジックが選択され、選択された分析ロジックにより上記分析対象データの分析処理が行われる。すなわち、各分析対象データはその分析処理に対応する機能を有する分析ロジックに振り分けられて分散処理される。このため、車載装置の種類にかかわらず、そのすべての分析対象データを、例えば1つの統合分析ロジックを用いて、或いは複数の分析ロジックを決められた順に選択して分析処理する場合に比べ、分析処理に要する処理負荷を軽減することが可能となり、かつ分析処理のスループットの低下を抑制することが可能となる。
【発明の効果】
【0009】
すなわち、この発明の一態様によれば、監視対象となる車載装置の種類が増えても、分析対象データの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能な技術を提供することが可能となる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
以下、図面を参照してこの発明に係わる実施形態を説明する。
【0012】
【0013】
一実施形態に係る車両セキュリティ監視システムは、例えば車両メーカが運用するOEM(Original Equipment Manufacture)センタCNを備えている。なお、一般にOEMセンタCNは車両メーカごとに設置されるが、ここでは一つの車両メーカのOEMセンタCNを例にとって説明する。
【0014】
車両メーカのOEMセンタCNは、自社が管理する複数の車両MV1~MVnとの間で、移動通信ネットワークMNWおよびゲートウェイGW1を介してデータ伝送が可能になっている。OEMセンタCNは、車両MV1~MVnに対して当該車両向けの各種サービスを提供するもので、管理サーバOSVを備える。OEMセンタCNは、管理サーバOSVの制御の下、例えば、車両MV1~MVnから送信されるセンサログデータを上記移動通信ネットワークMNWおよびゲートウェイGW1を介して収集し、収集されたセンサログデータを後述する車両SOCサーバSSVに提供する。またそれと共に、車両MV1~MVnに対してソフトウェアを配信したり、配信後のソフトウェアを更新する役割も担う。
【0015】
なお、移動通信ネットワークMNWとしては、例えばセルラ移動通信ネットワークまたは無線LAN(Local Area Network)が用いられるが、これに限るものではない。
【0016】
車両メーカのOEMセンタCNには、車両セキュリティ・オペレーション・センタ(Security Operation Center:SOC)サーバSSVが接続される。車両SOCサーバSSVは、この発明の一実施形態に係る車両セキュリティ分析装置として使用されるもので、その機能については後に詳しく説明する。
【0017】
車両メーカのOEMセンタCNは、ゲートウェイGW2を介してインターネットINWにも接続され、このインターネットINWを介して外部サーバESVとの間でもデータ通信が可能となっている。外部サーバESVは、例えばAuto-ISAC(Automotive Information Sharing and Analysis Center)が運用管理するもので、コネクテッドカー関連のサイバー脅威や潜在的な脆弱性に関する脅威情報を蓄積するデータベースを備え、当該データベースに蓄積された情報を車両SOCサーバSSVに提供する。
【0018】
また車両セキュリティ監視システムは、例えば車両メーカが運用するSIRT(Security Incident Response Team)サーバISVを備えている。SIRTサーバISVは、対応する車両メーカのOEMセンタCNとの間、および車両SOCサーバSSVとの間でデータ伝送が可能となっている。
【0019】
SIRTサーバISVは、例えば車両メーカ又はその車載装置の開発ライフサイクルを通じて必要な安全管理、サポート、インシデント対応を実施するための組織(SIRT)が運用する。SIRTサーバISVは、例えば、車両メーカ固有のサイバー脅威情報を記憶する脅威情報データベースを有し、車両SOCサーバSSVからの要求に応じてサイバー脅威情報を車両SOCサーバSSVへ送信する。
【0020】
またSIRTサーバISVは、例えば、車両SOCサーバSSVから提供されるセキュリティ分析レポートをSIRTの管理者に提示する。そして、上記分析レポートをもとにSIRTの管理者が車両メーカ別に決定された対応方針等を入力した場合に、当該対応方針等を含むリコール指示を該当車両に向けて送信する機能を有する。なお、サイバー脅威情報は、例えば脅威の種別と危険度の尺度との組み合わせにより定義される。分析レポートも、例えば上記脅威の種別と危険度の尺度との組み合わせを用いて記述される。
【0021】
【0022】
車載装置VUは、複数の電子制御ユニット(Electric Control Unit:ECU)4を備えている。ECU4は、例えばCAN(Control Area Network)と呼称される車載ネットワーク2を介して車載ゲートウェイ(CGW)1に接続される。また、CGW1には、通信制御ユニット(TCU)5およびナビゲーション装置(IVI)3が接続される。
【0023】
ECU4は、それぞれがプロセッサにプログラムを実行させることにより所定の制御機能を果たすように構成され、例えばエンジンやトランスミッション、操舵角、アクセル、ブレーキ等を制御する装置、ウィンカーやライト、ワイパーを制御する装置、ドアロックおよび窓の開閉を制御する装置、空調を制御する装置等として用いられる。また、車両MV1~MVnには、速度センサや温度センサ、振動センサ等の車両の動作状態に係る各種車両センサの計測データをはじめ、運転者等を含む車内の状態を監視する車内センサ、車外の状況を監視する車外センサ等の多くのセンサが設けられており、ECU4はこれらのセンサから出力されるセンシングデータを取り込む装置としても用いられる。さらに、自動運転制御装置や運転者の状態を監視する装置としても用いられる。
【0024】
TCU5は、車載装置VUと移動通信ネットワークMNWとの間でIP(Internet Protocol)を使用した通信を行うもので、運転者または搭乗者の通話データを送受信したり、Webサイトからナビゲーション更新データを受信したり、車載装置VUの各構成要素の動作状態の検出結果を示すログデータを車両メーカのOEMセンタCNへ送信するために用いられる。
【0025】
IVI3は、USBポートおよび無線インタフェースを有している。そして、USBポートを介してUSB機器(図示省略)との間で各種データの書き込みおよび読み出しを行うと共に、無線インタフェースを介してスマートフォン等の携帯端末との間のデータの送受信や外部との間のデータの送受信を行う機能を有している。なお、無線インタフェースとしては、例えばBluetooth(登録商標)またはWiFi(登録商標)が用いられる。
【0026】
なお、車載装置VUは、外部インタフェースポート(OBD-II)6を有している。このOBD-IIポート6には、試験装置やパーソナルコンピュータが接続可能である。試験装置やパーソナルコンピュータは、例えばECU4の試験を行ったり、ECU4に対し更新プログラムや制御データをインストールするために使用される。
【0027】
CGW1は、TCU5と各ECU4、IVI3およびOBD-IIポート6との間でデータ転送を行う際に、それぞれIP/CANのプロトコル変換を行う。
【0028】
なお、以上車載装置VUの一例を述べたが、車載装置VUは車両メーカごとに種類、つまり構成や機能が異なることは勿論のこと、同一の車両メーカにおいても例えば車種毎或いは年式毎に構成または機能が異なる。
【0029】
【0030】
車両SOCサーバは、車両MV1~MVnに対し行われたサイバー攻撃を、車両メーカのOEMセンタCNに代わって分析し、分析結果を対応する車両メーカのSIRTサーバISVに通知する機能を備える。
【0031】
車両SOCサーバSSVは、例えばクラウド上に配置されるサーバコンピュータからなり、中央処理ユニット(Central Processing Unit:CPU)等のハードウェアプロセッサを使用した制御部10を備える。そして、この制御部10に対し、バス50を介して、プログラム記憶部20およびデータ記憶部30を有する記憶ユニットと、通信I/F40を接続したものとなっている。
【0032】
通信I/F40は、制御部10の制御の下、ネットワークMNW,INWにより定義される通信プロトコルを使用して、車両メーカのOEMセンタCN、SIRTサーバISV、および外部サーバESVとの間で、それぞれデータ伝送を行う。
【0033】
プログラム記憶部20は、例えば、記憶媒体としてHDD(Hard Disk Drive)またはSSD(Solid State Drive)等の随時書込みおよび読出しが可能な不揮発性メモリと、ROM(Read Only Memory)等の不揮発性メモリとを組み合わせて構成したもので、OS(Operating System)等のミドルウェアに加えて、この発明の一実施形態に係る各種制御処理を実行するために必要なプログラムを格納する。
【0034】
データ記憶部30は、例えば、記憶媒体として、HDDまたはSSD等の随時書込みおよび読出しが可能な不揮発性メモリと、RAM(Random Access Memory)等の揮発性メモリと組み合わせたもので、この発明の一実施形態を実施するために必要な記憶領域として、分析対象データ記憶部31と、車両構成対応データベース(以後データベースをDBと略称する)32と、分析ロジックDB33と、分析結果記憶部34とを備えている。
【0035】
分析対象データ記憶部31は、車両メーカのOEMセンタCNから取得されたセンサログデータを、分析対象データとして一旦保存するために用いられる。
【0036】
車両構成対応DB32は、管理対象のすべての車両MV1~MVnに対し個別に割り当てられた車両識別番号(Vehicle Identification Number:VIN)の各々に対応付けて、当該車両識別番号に対応する車両構成識別子を記憶したものである。図5は、車両構成DB32に記憶される、車両識別番号と車両構成識別子との対応関係の一例を示すものである。
【0037】
分析ロジックDB33は、上記車両構成識別子の各々に対応付けて、当該車両構成識別子に対応する分析ロジックを記憶したものである。分析ロジックは、車両構成、すなわち車両MV1~MVnに搭載されている車載装置VUの種類に対応して、それぞれ専用に用意される。図6は、上記分析ロジックDB33に記憶される、車両構成識別子と分析ロジックとの対応関係の一例を示すものである。
【0038】
分析結果記憶部34は、後述する制御部10の分析処理部14により得られる分析結果を表す情報を、分析レポートを生成するために一時的に保存するために用いられる。
【0039】
制御部10は、この発明の一実施形態に係る処理機能として、分析対象データ取得処理部11と、車両構成判定処理部12と、分析ロジック選択処理部13と、分析処理部14と、分析レポート出力処理部15とを備える。これらの処理部11~15は、何れもプログラム記憶部20に格納されたプログラムを制御部10のハードウェアプロセッサに実行させることにより実現される。
【0040】
分析対象データ取得処理部11は、各車両MV1~MVnから送信されるセンサログデータをOEMセンタCNを介して取得し、取得された上記センサログデータを分析対象データとして上記分析対象データ記憶部31に保存させる処理を行う。
【0041】
車両構成判定処理部12は、分析対象データ記憶部31からセンサログデータを読み込み、このセンサログデータに含まれる車両属性情報から送信元の車両の車両識別番号を抽出する。そして、上記車両構成対応DB32を参照して、上記車両識別番号に対応する車両構成識別子を判定する処理を行う。
【0042】
なお、上記車両構成対応DB32が、上記車両識別番号の代わりに車種の識別情報に対応付けて車両構成識別子を記憶している場合には、車両構成判定処理部12は、センサログデータに含まれる車両属性情報から送信元の車両の車種の識別情報を抽出し、この車種の識別情報を用いて上記車両構成対応DB32から対応する車両構成識別子を検索するようにしてもよい。要するに、車両構成を特定可能な情報であれば、車両属性情報に含まれる如何なる情報を使用するようにしてもよい。
【0043】
分析ロジック選択処理部13は、上記車両構成判定処理部12により判定された車両構成識別子をもとに分析ロジックDB33を検索し、上記車両構成識別子に対応付けられた分析ロジックを選択的に読み出す処理を行う。
【0044】
分析処理部14は、上記分析対象データ記憶部31に保存されている各センサログデータを、上記分析ロジック選択処理部13により選択的に読み出された上記分析ロジックに基づいて分析することにより、車載装置VUで発生したサイバー脅威/攻撃の種類を特定する。そして、特定されたサイバー脅威/攻撃の種類を分析結果を表す情報として分析結果記憶部34に保存させる処理を行う。
【0045】
分析レポート出力処理部15は、上記分析結果記憶部34に保存された分析結果を、単独で或いは複数用いて分析レポートを生成する。そして、生成された分析レポートをSIRTサーバISVに向けて通信I/F40から送信する処理を行う。
【0046】
(動作例)
次に、以上のように構成された車両SOCサーバSSVの動作例を、車両セキュリティ監視システム全体の動作と共に説明する。
次に、以上のように構成された車両SOCサーバSSVの動作例を、車両セキュリティ監視システム全体の動作と共に説明する。
【0047】
(1)車載装置VUに関係するサイバー脅威/攻撃の検出
車載装置VUに対するサイバー脅威/攻撃の種類には、例えば、
(a) 改ざんされたWebサイトや攻撃者の端末から、インターネットINWを経由して車載装置VU内の通信機器(例えばTCU5やIVI3)にマルウェア感染等を引き起こす攻撃
(b) 外部の無線通信機器から車載装置VUの通信機器(例えばTCU5またはIVI3)に対し、悪意を持った遠隔操作コマンドを送信し、運転者の意図に反した操作を引き起こす攻撃
(c) OBD-IIポート6にパーソナルコンピュータ等の外部端末を不正に接続し、この外部端末からECU4等に対し不正コマンドを入力してECU4の設定変更やECU4の情報の搾取、運転者の意図に反した操作を引き起こす攻撃
(d) マルウェアに感染済のスマートフォン等の携帯端末をBluetoothまたはWiFiの無線インタフェースに接続し、上記携帯端末を踏み台として車載装置VUのECU4等への不正コマンドの送信や、OSの乗っ取り、ファームウェアの書き換え等を行う攻撃
(e) IVI3のアプリケーションにマルウェアを感染させ、車載装置VUのECU4等への不正コマンドの送信や、OSの乗っ取り、ファームウェアの書き換え等を行う攻撃
等がある。
車載装置VUに対するサイバー脅威/攻撃の種類には、例えば、
(a) 改ざんされたWebサイトや攻撃者の端末から、インターネットINWを経由して車載装置VU内の通信機器(例えばTCU5やIVI3)にマルウェア感染等を引き起こす攻撃
(b) 外部の無線通信機器から車載装置VUの通信機器(例えばTCU5またはIVI3)に対し、悪意を持った遠隔操作コマンドを送信し、運転者の意図に反した操作を引き起こす攻撃
(c) OBD-IIポート6にパーソナルコンピュータ等の外部端末を不正に接続し、この外部端末からECU4等に対し不正コマンドを入力してECU4の設定変更やECU4の情報の搾取、運転者の意図に反した操作を引き起こす攻撃
(d) マルウェアに感染済のスマートフォン等の携帯端末をBluetoothまたはWiFiの無線インタフェースに接続し、上記携帯端末を踏み台として車載装置VUのECU4等への不正コマンドの送信や、OSの乗っ取り、ファームウェアの書き換え等を行う攻撃
(e) IVI3のアプリケーションにマルウェアを感染させ、車載装置VUのECU4等への不正コマンドの送信や、OSの乗っ取り、ファームウェアの書き換え等を行う攻撃
等がある。
【0048】
また、サイバー脅威/攻撃のパターンには、例えば以下の複数の段階がある。
(1) 初期潜入;例えば車載装置VUの通信機器(TCU5やIVI3)に対しマルウェア等を感染させる行為
(2) 基盤構築;マルウェアを感染させた通信機器(TCU5やIVI3)から、例えば車両メーカのOEMセンタCNまたはインターネットINWを介して、攻撃者のサーバや端末との間にC&C通信による遠隔制御基盤を構築する行為
(3) 内部侵入・調査;例えばTCU5、IVI3またはCGW1内に侵入してその内部調査を行う行為
(4) 目的遂行;TCU5、IVI3またはECU4から情報を搾取する行為や、TCU5またはIVI3を踏み台としてOEMセンタCNまたはインターネットINWに接続されたサーバ等に対し攻撃する行為、TCU5またはIVI3を経由してECU4等の車載装置VU内部の構成要素を遠隔制御する行為
(5) 初期潜入+目的遂行;TCU5またはIVI3に侵入した後、上記基盤構築や内部侵入・調査の段階を省いて、上記情報の搾取や、車載装置VUを踏み台としたOEMセンタCNまたはインターネットINWに接続されたサーバ等への攻撃、ECU4等の車載装置VU内部の構成要素を遠隔制御する行為。
(1) 初期潜入;例えば車載装置VUの通信機器(TCU5やIVI3)に対しマルウェア等を感染させる行為
(2) 基盤構築;マルウェアを感染させた通信機器(TCU5やIVI3)から、例えば車両メーカのOEMセンタCNまたはインターネットINWを介して、攻撃者のサーバや端末との間にC&C通信による遠隔制御基盤を構築する行為
(3) 内部侵入・調査;例えばTCU5、IVI3またはCGW1内に侵入してその内部調査を行う行為
(4) 目的遂行;TCU5、IVI3またはECU4から情報を搾取する行為や、TCU5またはIVI3を踏み台としてOEMセンタCNまたはインターネットINWに接続されたサーバ等に対し攻撃する行為、TCU5またはIVI3を経由してECU4等の車載装置VU内部の構成要素を遠隔制御する行為
(5) 初期潜入+目的遂行;TCU5またはIVI3に侵入した後、上記基盤構築や内部侵入・調査の段階を省いて、上記情報の搾取や、車載装置VUを踏み台としたOEMセンタCNまたはインターネットINWに接続されたサーバ等への攻撃、ECU4等の車載装置VU内部の構成要素を遠隔制御する行為。
【0049】
以上のようなサイバー脅威/攻撃の種類およびパターンを考慮し、車載装置VU内の各構成要素、例えばTCU5、IVI3、ECU4およびCGW1には、それぞれセンサが設けられる。
【0050】
例えば、TCU5およびIVI3には、ネットワーク経由の攻撃をTCU5またはIVI3において検出するホスト設置型センサが設けられる。このセンサは、例えば、脅威インテリジェンス、もしくは悪性IPアドレスのリストを示すIPレピュレーションリスト(IPアドレス)との突き合わせにより攻撃を検出する機能、通常では発生しない送受信IPアドレス、ポートへのアクセス(許可/拒否/廃棄)の発生や、ログイン成功/失敗の発生、送受信MACアドレスの発生を異常として検出する機能、SSL/TSL証明書の検証エラーログを異常として検出する機能、CAN2のIDフィルタの検証による拒否ログの発生を異常として検出する機能、CAN2のIDS検査ロジックで検出されたものを異常として検出する機能、CANメッセージのMAC検証エラーの発生を異常として検出する機能を有する。
【0051】
また、TCU5およびIVI3には、当該TCU5およびIVI3上で発生した攻撃を検出するセンサも設けられる。このセンサは、例えば、アンチウイルスのシグネチャで検出したものを攻撃として検出する機能、サンドボックスの動的解析/ふるまい検知で検出したものを攻撃として検出する機能、ホワイトリスティングの実行禁止ファイルの実行試行時のログを異常として検出する機能、署名不整合の検出ログを異常として検出する機能、通常発生しないログイン成功/失敗が発生した際に異常として検出する機能、通常発生しない権限操作を異常として検出する機能、通常発生しないプロセスの実行/終了を異常として検出する機能、通常発生しないリソース利用量の増加等を異常として検出する機能、セキュアブート時の署名不整合を異常として検出する機能を有する。
【0052】
いずれのセンサも、検出結果を表すセンサログデータを、リアルタイムでまたは所定の送信タイミングにおいて車両メーカのOEMセンタCNへ送信する。
【0053】
なお、車両メーカのOEMセンタCNにもセンサが設置される。このセンサは、車載装置VUに対するネットワーク経由の攻撃をネットワーク上で検出するもので、先に述べたホスト設置型センサとほぼ同様の機能を有する。
【0054】
(2)車両SOCサーバSSVにおけるサイバー脅威/攻撃の分析
図7は、車両SOCサーバSSVの制御部10により実行される分析処理の処理手順と処理内容の一例を示すフローチャートである。
図7は、車両SOCサーバSSVの制御部10により実行される分析処理の処理手順と処理内容の一例を示すフローチャートである。
【0055】
(2-1)脅威情報の取得
車両SOCサーバSSVの制御部10は、分析処理に先立ち、外部サーバESVおよびSIRTサーバISVから、定期的または任意のタイミングで、コネクテッドカー関連のサイバー脅威/攻撃や潜在的な脆弱性等を定義した情報、具体的には脅威種別と危険度の尺度とでサイバー脅威/攻撃を定義した情報を取得する。そして、取得された情報を脅威情報としてデータ記憶部30内の脅威情報記憶領域(図示省略)に記憶させる。
車両SOCサーバSSVの制御部10は、分析処理に先立ち、外部サーバESVおよびSIRTサーバISVから、定期的または任意のタイミングで、コネクテッドカー関連のサイバー脅威/攻撃や潜在的な脆弱性等を定義した情報、具体的には脅威種別と危険度の尺度とでサイバー脅威/攻撃を定義した情報を取得する。そして、取得された情報を脅威情報としてデータ記憶部30内の脅威情報記憶領域(図示省略)に記憶させる。
【0056】
なお、上記脅威情報の取得処理は、車両SOCサーバSSVから外部サーバESVまたはSIRTサーバISVにアクセスして取得する方式でも、外部サーバESVまたはSIRTサーバISVが定期的または不定期にプッシュ方式で送信する脅威情報を車両SOCサーバSSVが受信する方式であってもよい。また、脅威情報の取得は必須ではなく、必要に応じて実施されるようにしてもよい。
【0057】
(2-2)分析対象データの取得
各車両MV1~MVnの車載装置VUでは、先に述べたようにTCU5およびIVI3等の各構成要素に設置されたセンサが、サイバー脅威/攻撃による動作異常または異常なデータを監視している。そして、動作異常または異常なデータが検出されると、その検出結果を示すセンサログデータが、上記車両MV1~MVnの車両識別番号を含む車両属性情報と共に、対応する車両メーカのOEMセンタCNに向けて送信される。なお、センサログデータには、異常動作または異常データを検出したセンサを示す情報と、シグネチャの情報またはDSTを示す情報等が含まれる。
各車両MV1~MVnの車載装置VUでは、先に述べたようにTCU5およびIVI3等の各構成要素に設置されたセンサが、サイバー脅威/攻撃による動作異常または異常なデータを監視している。そして、動作異常または異常なデータが検出されると、その検出結果を示すセンサログデータが、上記車両MV1~MVnの車両識別番号を含む車両属性情報と共に、対応する車両メーカのOEMセンタCNに向けて送信される。なお、センサログデータには、異常動作または異常データを検出したセンサを示す情報と、シグネチャの情報またはDSTを示す情報等が含まれる。
【0058】
OEMセンタCNは、管理対象の車両MV1~MVnから送信されたセンサログデータを受信すると、受信されたセンサログデータを一旦保存した後、車両SOCサーバSSVからのポーリング等による取得要求に応じて車両SOCサーバSSVへ転送する。
【0059】
これに対し、車両SOCサーバSSVの制御部10は、分析対象データ取得処理部11の制御の下、ステップS10により分析対象データの取得タイミングまで待機し、取得タイミングになると、ステップS11において、OEMセンタCNに対しポーリング等により取得要求を送信する。そして、上記取得要求に応じてOEMセンタCNから送信されるセンサログデータを通信I/F40を介して受信し、受信された上記センサログデータを分析対象データとして分析対象データ記憶部31に一旦保存する。
【0060】
以後同様に分析対象データ取得処理部11では、取得タイミングになる毎に上記したセンサログデータの取得処理が繰り返し実行される。なお、分析対象データの取得処理は、車両SOCサーバSSVからのポーリングにより能動的に行う方式以外に、OEMセンタCNからの通知を受けて受動的に行う方式であってもよい。
【0061】
(2-3)車両構成の判定
車両SOCサーバSSVの制御部10は、新たなセンサログデータが取得される毎に、または任意のタイミングにおいて、車両構成判定処理部12の制御の下、先ずステップS12において、分析対象データ記憶部31からセンサログデータを読み込む。そして、読み込まれた上記センサログデータから車両属性情報に含まれる車両識別番号を抽出し、抽出された上記車両識別番号に対応する車両構成識別子を、車両構成対応DB32を参照することで判定する。例えば、図5に示す例では、車両識別番号が“JP000000000000006”だったとすれば、車両構成識別子は“A”と判定される。
車両SOCサーバSSVの制御部10は、新たなセンサログデータが取得される毎に、または任意のタイミングにおいて、車両構成判定処理部12の制御の下、先ずステップS12において、分析対象データ記憶部31からセンサログデータを読み込む。そして、読み込まれた上記センサログデータから車両属性情報に含まれる車両識別番号を抽出し、抽出された上記車両識別番号に対応する車両構成識別子を、車両構成対応DB32を参照することで判定する。例えば、図5に示す例では、車両識別番号が“JP000000000000006”だったとすれば、車両構成識別子は“A”と判定される。
【0062】
(2-4)分析ロジックの選択
車両SOCサーバSSVの制御部10は、次に分析ロジック選択処理部13の制御の下、ステップS13において、上記車両構成識別子をキーとして分析ロジックDB33を検索し、上記車両構成識別子に対応付けられている分析ロジックを選択する。そして、選択された上記分析ロジックを分析ロジックDB33から読み出して分析処理部14に与える。
車両SOCサーバSSVの制御部10は、次に分析ロジック選択処理部13の制御の下、ステップS13において、上記車両構成識別子をキーとして分析ロジックDB33を検索し、上記車両構成識別子に対応付けられている分析ロジックを選択する。そして、選択された上記分析ロジックを分析ロジックDB33から読み出して分析処理部14に与える。
【0063】
例えば、いま車両構成識別子が“A”であれば、この車両構成識別子が“A”に対応付けられている分析ロジックをすべて選択し、選択された複数の分析ロジックを分析ロジックDB33から読み出して分析処理部14に与える。
【0064】
(2-5)分析対象データの分析処理
車両SOCサーバSSVの制御部10は、続いて分析処理部14の制御の下、ステップS15において、分析対象データ記憶部31から分析対象の上記センサログデータを読み込む。そして、読み込まれた上記センサログデータを、上記選択された複数の分析ロジックに従い分析する。このとき分析処理部14は、例えば上記複数の分析ロジックによる分析処理を並列に実行する。このようにすることで、分析ロジックが複数選択された場合でも、すべての分析ロジックによる分析結果を短時間に得ることが可能となる。
車両SOCサーバSSVの制御部10は、続いて分析処理部14の制御の下、ステップS15において、分析対象データ記憶部31から分析対象の上記センサログデータを読み込む。そして、読み込まれた上記センサログデータを、上記選択された複数の分析ロジックに従い分析する。このとき分析処理部14は、例えば上記複数の分析ロジックによる分析処理を並列に実行する。このようにすることで、分析ロジックが複数選択された場合でも、すべての分析ロジックによる分析結果を短時間に得ることが可能となる。
【0065】
上記分析ロジックを用いた分析処理の一例を、図6に示す分析ロジックを用いて説明する。例えば、いまセンサログデータに含まれる項目がSENSOR=1,DST=”10.0.0.1”であったとする。この場合は、分析ロジックIF(AND(SENSOR=1,DST=”10.0.0.1”),”T001”)により、サイバー攻撃の種類は”T001”と特定される。また、センサログデータに含まれる項目がSENSOR=2,SIGNATURE=1であれば、分析ロジックIF(AND(SENSOR=2,SIGNATURE=1),”T002”)により、サイバー攻撃の種類は”T002”と特定される。同様に、センサログデータに含まれる項目がSENSOR=3,SIGNATURE=2であれば、分析ロジックIF(AND(SENSOR=3,SIGNATURE=2),”T003”)により、サイバー攻撃の種類は”T003”と特定される。
【0066】
分析処理部14は、以上のように複数の分析ロジックのいずれかにより特定されたサイバー攻撃の種類を表す情報を、上記車両識別番号および車両構成識別子と対応付けて分析結果記憶部34に保存する。
【0067】
(2-6)分析レポートの生成・出力
車両SOCサーバSSVの制御部10は、最後に分析レポート出力処理部15の制御の下、ステップS16において、分析結果記憶部34から分析結果である、サイバー攻撃の種類を表す情報を読み込み、読み込まれたサイバー攻撃の種類を表す情報をもとに分析レポートを生成する。
車両SOCサーバSSVの制御部10は、最後に分析レポート出力処理部15の制御の下、ステップS16において、分析結果記憶部34から分析結果である、サイバー攻撃の種類を表す情報を読み込み、読み込まれたサイバー攻撃の種類を表す情報をもとに分析レポートを生成する。
【0068】
上記分析レポートは、個々のセンサログデータから特定されたサイバー攻撃の種類に応じて生成されてもよいし、所定の分析期間内に取得された同一の車両識別番号または車両構成識別子に係る複数のセンサログデータに着目し、これらのセンサログデータからそれぞれ特定されたサイバー攻撃の種類を総合して生成されてもよい。
【0069】
分析レポート出力処理部15は、生成された上記分析レポートを、上記車両識別番号または車両構成識別子に基づいて、対応する車両メーカが運用するSIRTサーバISVに向け、通信I/F40から送信する。SIRTサーバISVは、上記分析レポートをもとに、例えば車両SOCサーバSSVに対し上記サイバー攻撃に対する暫定的な処置を指示したり、該当する車両構成を持つすべての車両に対し恒久的な対応処置を指示する。
【0070】
また、車両SOCサーバSSVは、上記サイバー攻撃の種類が特定された時点で、当該サイバー攻撃の種類を表す情報またはその対処方法を示す情報を、センサログデータ送信元の車両へ通知するようにしてもよい。このようにすると、サイバー攻撃を受けた車両MV1~MVnの車載装置VUに対し、リアルタイムにサイバー攻撃に対する暫定処置を実行させることが可能となる。
【0071】
(作用・効果)
以上述べたように一実施形態では、車両SOCサーバSSVにおいて、管理対象の各車両MV1~MVnの車載装置VUから送信されるセンサログデータをOEMセンタCNを介して取得し、取得されたセンサログデータの車両属性情報に含まれる車両識別番号をキーとして車両構成対応DB32から車両構成識別子を判定し、この車両構成識別子をキーとしてさらに分析ロジックDB33を検索して当該車両構成に対応付けられた分析ロジックを選択する。そして、選択された上記分析ロジックを用いて上記センサログデータを分析することにより、上記車両に発生したサイバー攻撃の種類を特定し、特定されたサイバー攻撃の種類に応じた分析レポートを生成してSIRTに提供するようにしている。
以上述べたように一実施形態では、車両SOCサーバSSVにおいて、管理対象の各車両MV1~MVnの車載装置VUから送信されるセンサログデータをOEMセンタCNを介して取得し、取得されたセンサログデータの車両属性情報に含まれる車両識別番号をキーとして車両構成対応DB32から車両構成識別子を判定し、この車両構成識別子をキーとしてさらに分析ロジックDB33を検索して当該車両構成に対応付けられた分析ロジックを選択する。そして、選択された上記分析ロジックを用いて上記センサログデータを分析することにより、上記車両に発生したサイバー攻撃の種類を特定し、特定されたサイバー攻撃の種類に応じた分析レポートを生成してSIRTに提供するようにしている。
【0072】
従って、車両MV1~MVnの車載装置VUからセンサログデータが取得される毎に、その発生元の車両構成、例えば車載装置VUの種類に対応して予め用意された分析ロジックが多数の分析ロジックの中から選択され、選択された分析ロジックに従い上記センサログデータの分析処理が行われる。すなわち、各センサログデータは、発生元の車両構成の種類毎に対応する分析ロジックに振り分けられて分散処理される。
【0073】
このため、車載装置VUの種類によらず、センサログデータを、例えば1つの統合された分析ロジックを用いて分析処理する場合や、複数の分析ロジックを決められた順に選択して分析処理する場合に比べ、分析処理に要する車両SOCサーバSSVの処理負荷を軽減することが可能となり、かつ分析処理のスループットの低下を抑制することが可能となる。
【0074】
すなわち、1つの車両SOCサーバSSVにより、多数の車種または年式の車両に搭載された車載装置に対し発生するサイバー攻撃を分析しようとする場合に、センサログデータの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能となる。
【0075】
[その他の実施形態]
(1)一実施形態では、分析ロジック選択処理部13により分析ロジックが複数選択された場合に、分析処理部14は、選択された上記複数の分析ロジックによる分析処理を並列に実行するようにした。しかし、この発明はこれに限定されるものではなく、上記複数の分析ロジックによる分析処理を直列的に実行するようにしてもよい。このようにすると、一つのセンサログデータを分析処理するときの単位時間当たりの車両SOCサーバSSVの処理負荷を低く抑えることが可能となる。
(1)一実施形態では、分析ロジック選択処理部13により分析ロジックが複数選択された場合に、分析処理部14は、選択された上記複数の分析ロジックによる分析処理を並列に実行するようにした。しかし、この発明はこれに限定されるものではなく、上記複数の分析ロジックによる分析処理を直列的に実行するようにしてもよい。このようにすると、一つのセンサログデータを分析処理するときの単位時間当たりの車両SOCサーバSSVの処理負荷を低く抑えることが可能となる。
【0076】
さらに、複数の分析ロジックによる分析処理を直列的に実行する際に、以下のような優先処理が適用可能である。すなわち、車両構成毎にそれに対応する複数の分析ロジックの各々の過去の攻撃検知率を算出し、算出された攻撃検知率を分析処理の順序を決める優先情報として保存する。そして、上記複数の分析ロジックによる分析処理を開始する際に、上記優先情報に従い、攻撃検知率が高い分析ロジックから順に選択して分析処理を実行し、サイバー攻撃の種類を検知した時点で分析処理を終了する。
【0077】
このようにすると、複数の分析ロジックによる分析処理が直列的に実行されるにもかかわらず、攻撃の種類の特定に要する平均的な時間を短縮することが可能となり、さらにサイバー攻撃の種類が特定された時点で分析処理が終了することで、選択されたすべての分析ロジックによる分析処理をすべて実行する場合に比べ、車両SOCサーバの処理負荷を軽減し、かつ処理の平均的な所要時間を短縮することが可能となる。
【0078】
(2)前記一実施形態では、車載装置VUから発生されるセンサログデータをネットワークMNWおよびOEMセンタCNを経由して取得する場合を例にとって説明した。しかしそれに限らず、例えば車両修理工場等において車載装置VUから発生されるセンサログデータを記録媒体に記憶させて車両SOCサーバSSVに提供し、車両SOCサーバSSVが提供された上記記憶媒体からセンサログデータを読み込んで分析処理を実行するようにしてもよい。
【0079】
その他、車両SOCサーバの機能構成、センサログデータの構成、車両構成毎に用意される分析ロジックの種類と数、分析ロジックの構成、分析ロジックの選択手法、分析処理の手順と処理内容、特定対象のサイバー攻撃の種類等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【0080】
以上、本発明の実施形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、本発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。
【0081】
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0082】
MV1~MVn…車両
VU…車載装置
SSV…車両SOCサーバ
ISV…SIRTサーバ
CN…車両メーカのOEMセンタ
OSV…管理サーバ
MNW…移動通信ネットワーク
INW…インターネット
GW1,GW2…ゲートウェイ
ESV…外部サーバ
1…車載ゲートウェイ
2…車載ネットワーク(CAN)
3…ナビゲーション装置(IVI)
4…電子制御ユニット(ECU)
5…通信制御ユニット(TCU)
10…制御部
11…分析対象データ取得処理部
12…車両構成判定処理部
13…分析ロジック選択処理部
14…分析処理部
15…分析レポート出力処理部
20…プログラム記憶部
30…データ記憶部
31…分析対象データ記憶部
32…車両構成対応DB
33…分析ロジックDB
34…分析結果記憶部
40…通信インタフェース(通信I/F)
50…バス
VU…車載装置
SSV…車両SOCサーバ
ISV…SIRTサーバ
CN…車両メーカのOEMセンタ
OSV…管理サーバ
MNW…移動通信ネットワーク
INW…インターネット
GW1,GW2…ゲートウェイ
ESV…外部サーバ
1…車載ゲートウェイ
2…車載ネットワーク(CAN)
3…ナビゲーション装置(IVI)
4…電子制御ユニット(ECU)
5…通信制御ユニット(TCU)
10…制御部
11…分析対象データ取得処理部
12…車両構成判定処理部
13…分析ロジック選択処理部
14…分析処理部
15…分析レポート出力処理部
20…プログラム記憶部
30…データ記憶部
31…分析対象データ記憶部
32…車両構成対応DB
33…分析ロジックDB
34…分析結果記憶部
40…通信インタフェース(通信I/F)
50…バス
【要約】
【課題】管理対象となる車載装置の種類が増えても、分析対象データの分析処理に要する処理負荷の増加および分析スループットの低下を抑制することが可能にする。
【解決手段】車両セキュリティ分析装置において、車両構成と、当該車両構成毎に予め用意された複数の分析ロジックとの対応関係を表す対応情報を記憶部に記憶しておく。そして、分析対象データが取得される毎に、取得された分析対象データに含まれる属性情報に含まれる車両識別情報をもとに、当該分析対象データの発生元となる車両構成の種類を判定し、判定された前記車両構成の種類に対応する分析ロジックを上記対応情報から選択する。そして、選択された上記分析ロジックに従い上記分析対象データを分析してサイバー攻撃の種類を特定し、その結果を含む分析レポートを生成して出力する。
【選択図】図4
【解決手段】車両セキュリティ分析装置において、車両構成と、当該車両構成毎に予め用意された複数の分析ロジックとの対応関係を表す対応情報を記憶部に記憶しておく。そして、分析対象データが取得される毎に、取得された分析対象データに含まれる属性情報に含まれる車両識別情報をもとに、当該分析対象データの発生元となる車両構成の種類を判定し、判定された前記車両構成の種類に対応する分析ロジックを上記対応情報から選択する。そして、選択された上記分析ロジックに従い上記分析対象データを分析してサイバー攻撃の種類を特定し、その結果を含む分析レポートを生成して出力する。
【選択図】図4
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
