IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > Panasonic Intellectual Property Corporation of America

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカの特許一覧

特許7346397侵入地点特定装置、および、侵入地点特定方法
<>
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図1
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図2
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図3
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図4
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図5
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図6
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図7
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図8
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図9
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図10
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図11
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図12
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図13
  • 特許-侵入地点特定装置、および、侵入地点特定方法 図14
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-09-08
(45)【発行日】2023-09-19
(54)【発明の名称】侵入地点特定装置、および、侵入地点特定方法
(51)【国際特許分類】
   G06F 21/56 20130101AFI20230911BHJP
   G06F 21/55 20130101ALI20230911BHJP
【FI】
G06F21/56 320
G06F21/55 320
【請求項の数】 13
(21)【出願番号】P 2020522389
(86)(22)【出願日】2019-09-24
(86)【国際出願番号】 JP2019037396
(87)【国際公開番号】W WO2020080047
(87)【国際公開日】2020-04-23
【審査請求日】2022-07-04
(31)【優先権主張番号】62/746,834
(32)【優先日】2018-10-17
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】514136668
【氏名又は名称】パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ
【氏名又は名称原語表記】Panasonic Intellectual Property Corporation of America
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】平野 亮
(72)【発明者】
【氏名】岸川 剛
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2017-003866(JP,A)
【文献】特開2004-086880(JP,A)
【文献】特開2018-032355(JP,A)
【文献】特開2017-111796(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
脅威が侵入し得る複数の経路をそれぞれが有する1以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定装置であって、
前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、
前記侵入地点特定装置は、
前記1以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集して記憶している情報収集部と、
前記1以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記1以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶しているログ収集部と、
前記ログ収集部が記憶している前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定する特定部と、
前記特定部が特定した前記地点を出力する出力部とを備える
侵入地点特定装置。
【請求項2】
前記脅威情報は、さらに、前記脅威が潜伏期間を有するか否かを示す潜伏情報を含み、
前記潜伏情報は、前記脅威が前記潜伏期間を有することを示す場合には、さらに、前記潜伏期間の長さを含み、
前記ログ収集部は、
(a)前記脅威が前記潜伏期間を有することを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、前記潜伏期間の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶していて、
(b)前記脅威が前記潜伏期間を有しないことを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、所定の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶している
請求項1に記載の侵入地点特定装置。
【請求項3】
前記特定部は、
前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点についての異常の度合いを示すスコアをゼロより大きい値とし、
前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示していない場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点について前記スコアをゼロとし、
前記ログ収集部が記憶している前記履歴情報に含まれる地点ごとに、前記脅威情報に基づいて算出される異常の度合いを考慮して前記スコアを補正し、
前記補正後の前記スコアが所定値以上である地点を、前記侵入地点として特定する
請求項1又は2に記載の侵入地点特定装置。
【請求項4】
前記特定部は、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記脅威が前記移動体の動作に与える影響の深刻さを示す深刻度が高いほど、より大きな値を前記スコアに加算することで、前記補正をする
請求項3に記載の侵入地点特定装置。
【請求項5】
前記ログは、前記1以上の移動体が位置する地点と、前記1以上の移動体の速度とを前記日時に対応付けて示し、
前記ログ収集部は、さらに、
収集した前記ログから、前記所定期間内の前記1以上の移動体の速度の履歴をさらに抽出して、前記履歴情報として記憶していて、
前記特定部は、さらに、
前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記移動体の速度がゼロに近いほど、より大きな値を前記スコアに加算することで、前記補正をする
請求項3又は4に記載の侵入地点特定装置。
【請求項6】
前記ログ収集部は、さらに、
前記ログ収集部が記憶している前記履歴情報に示される前記地点ごとに、当該地点に位置していた前記移動体の台数を算出して記憶していて、
前記特定部は、さらに、
前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記地点に位置していた前記移動体の台数が多いほど、前記スコアをより小さくする前記補正をする
請求項3~5のいずれか1項に記載の侵入地点特定装置。
【請求項7】
前記脅威は、複数のカテゴリのいずれかに属する脅威を複数含み、
前記特定部は、さらに、
前記ログ収集部が記憶している前記履歴情報に含まれる地点についての前記スコアを、前記脅威が属するカテゴリごとに集計することで、各カテゴリについての地点ごとの累積スコアを算出して記憶する
請求項3~6のいずれか1項に記載の侵入地点特定装置。
【請求項8】
前記出力部は、さらに、
前記ログ収集部が記憶している前記履歴情報に含まれる地点を含む地図を表示画面に表示するとともに、当該地図上において前記累積スコアが大きい地点ほど、寸法がより大きな図形、または、3次元表示において背がより高い図形を用いて表示する
請求項7に記載の侵入地点特定装置。
【請求項9】
前記情報収集部は、
前記脅威情報として、STIX(Structured Threat Information eXpression)フォーマットの脅威情報を収集して記憶し、
前記特定部は、
前記STIXフォーマットの脅威情報に含まれるCVSS(Common Vulnerability Scoring System)における攻撃元区分が、物理、ローカル又は隣接である場合に、前記第一経路を通じて前記脅威が前記移動体に侵入したと判断する
請求項1~8のいずれか1項に記載の侵入地点特定装置。
【請求項10】
前記ログ収集部は、前記移動体のGPS(Global Positioning System)ログを前記ログとして収集し、所定の緯度と経度とにより特定される地点を、前記地点として用いて、履歴情報を記憶している
請求項1~9のいずれか1項に記載の侵入地点特定装置。
【請求項11】
前記ログ収集部は、前記移動体である車両の充電に用いられる充電装置の設置場所、駐車場または車検場所が存在する地点を、前記地点として用いて前記履歴情報を記憶している
請求項1~10のいずれか1項に記載の侵入地点特定装置。
【請求項12】
前記侵入地点特定装置は、さらに、
(a)前記情報収集部が前記1以上の移動体のうちのいずれか一の移動体に前記脅威が侵入したことを示す前記脅威情報を受信した場合に、受信した前記脅威情報が異常であると判断し、または、(b)前記脅威が侵入したことを示す前記ログを前記ログ収集部が受信した場合に、受信した前記ログが異常であると判断する、異常検知部を備え、
前記情報収集部は、異常があると前記異常検知部が判断した前記脅威情報を収集し、
前記ログ収集部は、異常があると前記異常検知部が判断した前記ログを収集する
請求項1~11のいずれか1項に記載の侵入地点特定装置。
【請求項13】
コンピュータが、脅威が侵入し得る複数の経路をそれぞれが有する1以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定方法であって、
前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、
前記侵入地点特定方法は、
コンピュータが、前記1以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集し記憶し、
コンピュータが、前記1以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記1以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶し、
コンピュータが、記憶されている前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定し、
コンピュータが、特定された前記地点を出力する
侵入地点特定方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、侵入地点特定装置、および、侵入地点特定方法に関する。
【背景技術】
【0002】
車両を不正に制御する脅威に対して防御する技術がある(特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2014-146868号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
車両は、移動体であり、また、侵入から攻撃被害発覚までの期間が一定でないことから、攻撃発覚地点から侵入地点を特定することが容易でないという問題がある。
【0005】
そこで、本発明は、移動体に侵入した脅威の侵入地点を特定する侵入地点特定装置等を提供する。
【課題を解決するための手段】
【0006】
本発明の一態様に係る侵入地点特定装置は、脅威が侵入し得る複数の経路をそれぞれが有する1以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定装置であって、前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、前記侵入地点特定装置は、前記1以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集して記憶している情報収集部と、前記1以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記1以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶しているログ収集部と、前記ログ収集部が記憶している前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定する特定部と、前記特定部が特定した前記地点を出力する出力部とを備える。
【0007】
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。
【発明の効果】
【0008】
本発明の侵入地点特定装置は、移動体に侵入した脅威の侵入地点を特定することができる。
【図面の簡単な説明】
【0009】
図1図1は、実施の形態におけるサイバー攻撃の侵入地点特定システムの全体構成図である。
図2図2は、実施の形態における侵入地点特定装置の構成図である。
図3図3は、実施の形態における脅威情報の一例を示す図である。
図4図4は、実施の形態における車両ログの一例を示す図である。
図5図5は、実施の形態における異常スコアの一例を示す図である。
図6図6は、実施の形態における累積異常スコアの一例を示す図である。
図7図7は、実施の形態における累積異常スコア可視化表示画面の一例を示す図である。
図8図8は、実施の形態における脅威情報の異常検知処理のシーケンスを示す図である。
図9図9は、実施の形態における車両ログの異常検知処理のシーケンスを示す図である。
図10図10は、実施の形態における異常スコアの算出処理のシーケンスを示す図である。
図11図11は、実施の形態における侵入地点特定処理のシーケンスを示す図である。
図12図12は、実施の形態における車両ログ収集部の車両ログ抽出処理のフローチャートである。
図13図13は、実施の形態における侵入地点特定部の異常スコア算出抽出処理のフローチャートである。
図14図14は、実施の形態における侵入地点特定部の侵入地点特定処理のフローチャートである。
【発明を実施するための形態】
【0010】
(本発明の基礎となった知見)
本発明者は、「背景技術」の欄において記載した、車両を不正に制御する脅威に対して防御する技術に関し、以下の問題が生じることを見出した。
【0011】
近年、自動車の中のシステムには、電子制御装置(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898-1で規定されているCAN(Controller Area Network)という規格が存在する。
【0012】
CANでは、通信路が2本のバスで構成され、バスに接続されているECUがノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。CANでは、送信先ノード又は送信元ノードを指す識別子は存在せず、送信ノードはフレーム毎にメッセージIDと呼ばれるIDを付けて送信し、各受信ノードは予め定められたメッセージIDのみを受信する。そのため、悪意のユーザがCANのバスにECUを接続し、そのECUによって異常な制御コマンドを含むフレームを、正規のECUになりすまして送信することで、自動車を不正に制御できてしまう脅威がある。
【0013】
上記脅威に対して、車載ネットワークなどにおいて、不正な制御データの注入を検知する方法として、例えば、特許文献1に記載の方法がある。しかしながら、車両へのサイバー攻撃による不正な制御データの注入が発覚した攻撃被害発覚地点と、車両に不正なソフトウェアがインストールされたまたは不正なデバイスを設置された侵入地点とは、必ずしも一致しない。また、車両は、移動体であることと、侵入から攻撃被害発覚までの期間が一定でないことから、攻撃発覚地点から侵入地点を特定することは容易でないという問題がある。
【0014】
本発明は、上記問題を解決するものであり、移動体に侵入した脅威の侵入地点を特定する侵入地点特定装置等を提供する。より具体的には、本発明は、複数の車両の脅威情報と位置情報とを含むログを用いて、攻撃被害を受けた車両のうちの比較的多くの車両が攻撃被害発覚以前に経由した地点が、侵入地点である可能性が高いと判定することで、侵入地点を特定する装置及び方法を提供する。
【0015】
このような問題を解決するために、本発明の一態様に係る侵入地点特定装置は、脅威が侵入し得る複数の経路をそれぞれが有する1以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定装置であって、前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、前記侵入地点特定装置は、前記1以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集して記憶している情報収集部と、前記1以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記1以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶しているログ収集部と、前記ログ収集部が記憶している前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定する特定部と、前記特定部が特定した前記地点を出力する出力部とを備える。
【0016】
上記態様によれば、侵入地点特定装置は、1以上の移動体が位置していた地点を集計し、集計された地点に基づいて、移動体に脅威が侵入した地点を特定する。ここで、脅威は、移動体から所定距離以内の攻撃元から侵入することが想定されるので、1以上の移動体に侵入した脅威の攻撃元は、1以上の移動体が位置していた地点のいずれかから所定距離以内に存在すると想定される。よって、侵入地点特定装置は、1以上の移動体が位置していた地点を集計することで、攻撃元から脅威が侵入した侵入地点を特定可能である。このように、侵入地点特定装置は、移動体に侵入した脅威の侵入地点を特定することができる。
【0017】
例えば、前記脅威情報は、さらに、前記脅威が潜伏期間を有するか否かを示す潜伏情報を含み、前記潜伏情報は、前記脅威が前記潜伏期間を有することを示す場合には、さらに、前記潜伏期間の長さを含み、前記ログ収集部は、(a)前記脅威が前記潜伏期間を有することを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、前記潜伏期間の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶していて、(b)前記脅威が前記潜伏期間を有しないことを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、所定の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶している。
【0018】
上記態様によれば、侵入地点特定装置は、移動体が位置していた地点の集計に際して、脅威が潜伏期間を有するものである場合にはその潜伏期間を用い、脅威が潜伏期間を有しないものである場合には所定の長さを有する期間を用いて、容易に移動体が位置していた地点の集計をすることができる。よって、侵入地点特定装置は、移動体に侵入した脅威の侵入地点をより容易に特定することができる。
【0019】
例えば、前記特定部は、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点についての異常の度合いを示すスコアをゼロより大きい値とし、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示していない場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点について前記スコアをゼロとし、前記ログ収集部が記憶している前記履歴情報に含まれる地点ごとに、前記脅威情報に基づいて算出される異常の度合いを考慮して前記スコアを補正し、前記補正後の前記スコアが所定値以上である地点を、前記侵入地点として特定する。
【0020】
上記態様によれば、侵入地点特定装置は、1以上の移動体が位置していた地点ごとに異常の度合いをスコアを用いて算出し、算出したスコアを用いて、脅威が移動体に侵入した地点を特定する。よって、侵入地点特定装置は、スコアを用いた具体的処理に基づいて、より容易に、移動体に侵入した脅威の侵入地点を特定することができる。
【0021】
例えば、前記特定部は、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記脅威が前記移動体の動作に与える影響の深刻さを示す深刻度が高いほど、より大きな値を前記スコアに加算することで、前記補正をする。
【0022】
上記態様によれば、侵入地点特定装置は、脅威の深刻度に応じてスコアを補正する。移動体へのサイバー攻撃の中でも、移動体の操作が制御されるなどの危険性の高い攻撃は、深刻度が高く報告される。そこで、より危険性の高い攻撃が発生している地点のスコアが、より大きな値として算出されるようにすれば、スコアが大きい地点をより危険な侵入地点として特定できる。よって、侵入地点特定装置は、脅威の深刻度を考慮して、移動体に侵入した脅威の侵入地点を特定することができる。
【0023】
例えば、前記ログは、前記1以上の移動体が位置する地点と、前記1以上の移動体の速度とを前記日時に対応付けて示し、前記ログ収集部は、さらに、収集した前記ログから、前記所定期間内の前記1以上の移動体の速度の履歴をさらに抽出して、前記履歴情報として記憶していて、前記特定部は、さらに、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記移動体の速度がゼロに近いほど、より大きな値を前記スコアに加算することで、前記補正をする。
【0024】
上記態様によれば、侵入地点特定装置は、移動体の速度に応じてスコアを補正する。一般に、不正な攻撃デバイスの物理的な取り付け、又は、充電中の不正ソフトウェアのインストールなどの移動体への侵入手段は、移動体が走行しているときよりも、移動体が停車しているときの方が、実行されやすい。そこで、車両が走行していた地点と比較して、車両が停止していた地点のスコアがより大きな値として算出されるようにすれば、多くの移動体が攻撃被害以前に停車していた地点のスコアが大きく算出されるので、より正確な侵入地点として特定され得る。よって、侵入地点特定装置は、移動体の速度を考慮して、移動体に侵入した脅威の侵入地点を特定することができる。
【0025】
例えば、前記ログ収集部は、さらに、前記ログ収集部が記憶している前記履歴情報に示される前記地点ごとに、当該地点に位置していた前記移動体の台数を算出して記憶していて、前記特定部は、さらに、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記地点に位置していた前記移動体の台数が多いほど、前記スコアをより小さくする前記補正をする。
【0026】
上記態様によれば、侵入地点特定装置は、走行する移動体の台数に応じてスコアを補正する。大型店舗の駐車場など、移動体が攻撃被害を受けたかどうかに関わらず、多くの移動体が走行する。このように多くの移動体が走行する地点について、スコアを小さくし、走行する移動体が少ない地点について、スコアを大きくすることで、地点ごとの偏りをなくして、より正確な侵入地点を特定できる。よって、侵入地点特定装置は、走行する移動体の台数を考慮して、移動体に侵入した脅威の侵入地点を特定することができる。
【0027】
例えば、前記脅威は、複数のカテゴリのいずれかに属する脅威を複数含み、前記特定部は、さらに、前記ログ収集部が記憶している前記履歴情報に含まれる地点についての前記スコアを、前記脅威が属するカテゴリごとに集計することで、各カテゴリについての地点ごとの累積スコアを算出して記憶する。
【0028】
上記態様によれば、侵入地点特定装置は、脅威のカテゴリごとに累積した累積スコアを用いて脅威の侵入地点を特定できる。充電装置を経由した攻撃、又は、不正デバイスを取り付けた攻撃などの脅威のカテゴリごとに累積スコアを算出することで、同じ地点で侵入した可能性が高い類似の攻撃が発生した地点の累積スコアがより大きく算出される。よって、累積スコアを用いることによって、より正確な侵入地点を特定できる。このように、侵入地点特定装置は、脅威のカテゴリに基づく地点の特定を利用して、より正確に、移動体に侵入した脅威の侵入地点を特定することができる。
【0029】
例えば、前記出力部は、さらに、前記ログ収集部が記憶している前記履歴情報に含まれる地点を含む地図を表示画面に表示するとともに、当該地図上において前記累積スコアが大きい地点ほど、寸法がより大きな図形、または、3次元表示において背がより高い図形を用いて表示する。
【0030】
上記態様によれば、侵入地点特定装置は、スコアの大きさに対応する大きさ又は高さを有する図形を地図とともに表示する。攻撃被害を受けた移動体が経由した累積スコアが高い地点と、大型店舗の駐車場又は充電装置の設置場所などの情報とを合わせて画面に表示することで、スコアが高い地点に何が存在しているかを確認するためのページの切り替え操作が不要となる。よって、ユーザがより効率的に侵入地点を特定できる利点がある。このように、侵入地点特定装置は、移動体に侵入した脅威の侵入地点に関する情報をユーザに提示しながら、その侵入地点を特定することができる。
【0031】
例えば、前記情報収集部は、前記脅威情報として、STIX(Structured Threat Information eXpression)フォーマットの脅威情報を収集して記憶し、前記特定部は、前記STIXフォーマットの脅威情報に含まれるCVSS(Common Vulnerability Scoring System)における攻撃元区分が、物理、ローカル又は隣接である場合に、前記第一経路を通じて前記脅威が前記移動体に侵入したと判断する。
【0032】
上記態様によれば、侵入地点特定装置は、STIX又はCVSSなどの標準化されたフォーマットに従うデータを収集する。これにより、侵入地点特定装置は、より多くの脅威情報を収集でき、また、攻撃元区分を用いて所定の距離内で攻撃可能であるかどうかを判断することで、複数の脅威情報について同様にデータを扱うことができる。また、報告者個人の偏りが小さくなるため、より正確な侵入地点を特定できる。このように、侵入地点特定装置は、より多くの脅威情報に基づいてより正確に、移動体に侵入した脅威の侵入地点を特定することができる。
【0033】
例えば、前記ログ収集部は、前記移動体のGPS(Global Positioning System)ログを前記ログとして収集し、所定の緯度と経度とにより特定される地点を、前記地点として用いて、履歴情報を記憶している。
【0034】
上記態様によれば、侵入地点特定装置は、GPSによる位置計測を利用できる。侵入地点特定装置は、移動体に内蔵しているか外付けであるかに関わらず多くの機器において利用されているGPSログを収集し、移動体間で同じ精度の緯度及び経度ごとに地点を抽出し、地点ごとのスコア又は累積スコアを算出する。よって、侵入地点特定装置は、より多くの移動体の位置情報から累積異常スコアを算出できるので、より正確な侵入地点を特定できる。このように、侵入地点特定装置は、GPSを用いてより正確に、移動体に侵入した脅威の侵入地点を特定することができる。
【0035】
例えば、前記ログ収集部は、前記移動体である車両の充電に用いられる充電装置の設置場所、駐車場または車検場所が存在する地点を、前記地点として用いて前記履歴情報を記憶している。
【0036】
上記態様によれば、侵入地点特定装置は、車両の充電装置の設置場所、駐車場または車検場所が存在する地点のうちから侵入地点を特定する。侵入地点特定装置は、不正な攻撃デバイスの物理的な取り付け、又は、充電中の不正ソフトウェアのインストールなど、移動体への脅威の侵入が起こりやすい地点として、充電装置の設置場所、駐車場又は車検場所を抽出する。そのため、上記地点ごとのスコア又は累積スコアを算出することで、侵入される可能性の低い地点を除外できる。よって、侵入地点特定装置は、計算量を抑えることによって効率的に、移動体に侵入した脅威の侵入地点を特定することができる。
【0037】
例えば、前記侵入地点特定装置は、さらに、(a)前記情報収集部が前記1以上の移動体のうちのいずれか一の移動体に前記脅威が侵入したことを示す前記脅威情報を受信した場合に、受信した前記脅威情報が異常であると判断し、または、(b)前記脅威が侵入したことを示す前記ログを前記ログ収集部が受信した場合に、受信した前記ログが異常であると判断する、異常検知部を備え、前記情報収集部は、異常があると前記異常検知部が判断した前記脅威情報を収集し、前記ログ収集部は、異常があると前記異常検知部が判断した前記ログを収集する。
【0038】
上記態様によれば、侵入地点特定装置は、脅威の侵入に関連する脅威情報又はログを受信した場合に、その脅威情報又はログに基づいて脅威の侵入地点を特定する。これにより、侵入地点特定装置は、脅威情報または車両ログにおいて移動体への攻撃を検出した後、人手を介さずにスコア又は累積スコアを算出して侵入地点を特定できるため、攻撃発覚から侵入地点特定までの時間を短くすることができ、攻撃被害をより一層抑制することができる。よって、侵入地点特定装置は、異常の検知に基づいて、より短時間で、移動体に侵入した脅威の侵入地点を特定することができる。
【0039】
また、本発明の一態様に係る侵入地点特定方法は、脅威が侵入し得る複数の経路をそれぞれが有する1以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定方法であって、前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、前記侵入地点特定方法は、前記1以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集し記憶し、前記1以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記1以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶し、記憶されている前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定し、特定された前記地点を出力する。
【0040】
これにより、上記侵入地点特定装置と同様の効果を奏する。
【0041】
なお、これらの包括的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
【0042】
以下、実施の形態に係る侵入地点特定装置について図面を参照しながら説明する。
【0043】
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0044】
(実施の形態)
本実施の形態において、移動体に侵入した脅威の侵入地点を特定する侵入地点特定装置について説明する。ここでは、移動体の一例として車両を用いて説明する。
【0045】
[サイバー攻撃の侵入地点特定システム全体構成図]
図1は、本実施の形態におけるサイバー攻撃の侵入地点特定システムの全体構成図である。
【0046】
図1において、サイバー攻撃の侵入地点特定システムは、脅威情報共有サーバー20と、車両ログ送信装置30と、侵入地点特定装置10とを備える。脅威情報共有サーバー20と、車両ログ送信装置30と、侵入地点特定装置10とは、外部ネットワークを介して接続される。外部ネットワークの一例は、インターネットである。
【0047】
脅威情報共有サーバー20は、脅威情報を解析者から受信し、脅威情報を利用者へ送信するサーバーである。
【0048】
脅威情報は、車両へのサイバー攻撃被害が発覚した後に、攻撃の対象となった車両のシステムログから解析者が解析した攻撃の影響と原因などが記述された文書を含む情報である。脅威情報は、例えば、脅威情報構造化記述形式STIX(Structured Threat Information eXpression)の記述形式に従って記述される。なお、「攻撃の対象となった車両」を対象車両ともいう。車両のシステムログを、車両ログともいい、単にログということもある。
【0049】
脅威情報構造化記述形式STIXで記述された脅威情報は、サイバー攻撃インシデントの分類(脅威カテゴリともいう)と、攻撃の検出方法と、攻撃の対策方法と、攻撃対象の脆弱性と、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)によって体系化されている脆弱性の攻撃元区分と、脆弱性の深刻度と、攻撃発覚日と、侵入されてから攻撃被害発生までの期間である潜伏期間と、対象車両の車両識別番号と、対象車両の車種とを含む。ここで、潜伏期間は、潜伏情報の一例である。潜伏期間は、脅威が潜伏期間を有するか否かを示す情報である。脅威が潜伏期間を有することを潜伏情報が示す場合には、潜伏情報は、さらに、潜伏期間の長さを含む。
【0050】
CVSSでは、対象コンポーネントをネットワーク経由でリモートから攻撃可能である場合に、攻撃元区分を「ネットワーク」とする。対象コンポーネントを隣接ネットワークから攻撃する必要がある場合に、攻撃元区分を「隣接」とする。対象コンポーネントをローカル環境から攻撃する必要がある場合に、攻撃元区分を「ローカル」とする。対象コンポーネントを物理アクセス環境から攻撃する必要がある場合に、攻撃元区分を「物理」とする。
【0051】
また、CVSSでは、脆弱性の深刻度を数値で表現し、最も深刻度が高い場合に10点、深刻でない場合に0点とする。深刻度は、脅威が車両の動作に与える影響の深刻さを示す指標である。
【0052】
解析者は、車両へのサイバー攻撃を解析可能な人物であり、例えば、セキュリティオペレーションセンター、セキュリティ対策チーム、車両の製造元、車載装置の開発元、又は脆弱性発見者などである。
【0053】
利用者は、脅威情報を受信する人物または装置であり、例えば、セキュリティオペレーションセンター、セキュリティ対策チーム、又は、侵入地点特定装置10である。
【0054】
車両ログ送信装置30は、車両識別番号と、車両のシステムログ、ネットワークログ、位置情報、車両状態を含む車両のログを侵入地点特定装置10へ送信する電子制御装置である。車両ログ送信装置30は、上記ログを定期的に、または、攻撃被害が発覚した後に、侵入地点特定装置10へ送信する。車両ログ送信装置30は、車両に設置されている。
【0055】
車両識別番号は、VIN(Vehicle Identification Number)である。車両のシステムログは、ECUに搭載された車両制御ソフトウェアの動作ログである。ネットワークログは、CANネットワークのトラフィックログである。位置情報はGPS(Global Positioning System)のログである。車両状態は、車両の速度である。
【0056】
侵入地点特定装置10は、車両に脅威が侵入した地点を特定する装置である。侵入地点特定装置10は、脅威情報共有サーバー20から脅威情報を受信し、車両ログ送信装置30から車両のログを収集する。そして、侵入地点特定装置10は、脅威情報を受信した場合、または、車両のログにセキュリティ上の異常が含まれていた場合に、脅威情報と車両のログとを用いて、車両と物理的に比較的近くに位置する攻撃元からでなければ実施できない侵入手段を用いて侵入された侵入地点を特定する。侵入地点の特定方法についての詳細は後述する。なお、「車両と物理的に比較的近くに位置する攻撃元」は、車両から所定距離以内に位置する攻撃元ともいえる。
【0057】
車両と物理的に比較的近くに位置する攻撃元からでなければ実施できない侵入手段とは、例えば、車両が充電装置側に停車して充電している間に充電装置から電力線を経由して不正なソフトウェアをインストールする、という手段である。また、侵入手段には、車両が大型店舗の駐車場に駐車している間にBluetooth(登録商標)通信を経由して車載インフォテイメント装置に不正なソフトウェアをインストールする、又は、不正な車両修理業者が車両の修理中に、不正なデバイスをOBD2(ON BOARD DIAGNOSTICS 2)ポートに取り付ける、という手段も含まれ得る。
【0058】
攻撃者は、車両と物理的に比較的近くに位置する攻撃元からでなければ実施できない侵入手段を用いて、脅威が車両に侵入することに成功した後は、インターネット経由で遠隔から不正なソフトウェアまたはデバイスから車載ネットワークに不正な制御コマンドを送信することで攻撃被害を発生させることできる。
【0059】
[侵入地点特定装置の構成図]
図2は、本実施の形態における侵入地点特定装置10の構成図である。図2において、侵入地点特定装置10は、通信部110と、異常検知部120と、脅威情報収集部130と、車両ログ収集部140と、侵入地点特定部150と、侵入地点通知部160とを備える。上記の構成要素は、侵入地点特定装置10が備えるプロセッサ(不図示)がメモリ(不図示)を用いてプログラムを実行することで実現され得る。
【0060】
通信部110は、外部ネットワークと接続される通信インタフェース装置である。通信部110は、脅威情報共有サーバー20から脅威情報を受信し、異常検知部120および脅威情報収集部130に脅威情報を転送する。また、通信部110は、車両ログ送信装置30から車両ログを受信し、異常検知部120および車両ログ収集部140に車両ログを転送する機能を有する。
【0061】
異常検知部120は、脅威情報又は車両ログの異常を検知する。異常検知部120は、通信部110から脅威情報を受信し、脅威情報に対象車両のサイバー攻撃が含まれている場合に、異常であると判断し、異常であると判断された脅威情報を脅威情報収集部130に通知する。また、異常検知部120は、通信部110から車両ログを受信し、車両ログにセキュリティ上の異常が含まれる場合に、異常であると判断し、異常であると判断された車両ログを脅威情報収集部130に通知する機能を有する。
【0062】
脅威情報収集部130は、通信部110から脅威情報を受信し、脅威情報を記憶する。脅威情報収集部130は、通信部110を介して脅威情報共有サーバー20から脅威情報を収集する。脅威情報は、1以上の車両のうちの脅威が侵入した車両の識別情報と、当該車両が有する複数の経路のうち脅威が侵入した経路を示す経路情報と、当該移動体への脅威の侵入による攻撃の発覚日を示す発覚情報とを含む。脅威情報収集部130は、情報収集部に相当する。
【0063】
また、脅威情報収集部130は、異常検知部120により異常であると判断された脅威情報を受信する。また、脅威情報収集部130は、異常検知部120から脅威情報に含まれる脆弱性の攻撃元区分が、「物理」、「ローカル」、又は「隣接」である場合に、車両と物理的に比較的近くに位置する攻撃元から侵入されたと判断する。そして、脅威情報収集部130は、脅威情報から車両識別番号と脅威カテゴリと脆弱性の深刻度と潜伏期間とを抽出し、車両ログ収集部140に車両識別番号と潜伏期間とを通知し、侵入地点特定部150に車両識別番号と脅威カテゴリと脆弱性の深刻度とを通知する。
【0064】
また、脅威情報収集部130は、異常検知部120により異常であると判断された車両ログを受信する。また、脅威情報収集部130は、記憶している脅威情報から、車両ログに含まれる車両識別番号と一致する車両識別番号を有する脅威情報を特定する。脅威情報収集部130は、特定した脅威情報から、車両識別番号と脅威カテゴリと脆弱性の深刻度と潜伏期間とを抽出し、車両ログ収集部140に車両識別番号と潜伏期間とを通知し、侵入地点特定部150に車両識別番号と脅威カテゴリと脆弱性の深刻度とを通知する機能を有する。
【0065】
車両ログ収集部140は、通信部110から車両ログを受信し、車両ログに含まれる車両識別番号ごとに車両ログを記憶する。上記車両ログには、異常があると異常検知部120が判断した車両ログが含まれている。具体的には、車両ログ収集部140は、1以上の車両が位置する地点を日時に対応付けて示すログを収集し、収集したログから、発覚情報に基づいて定められる所定期間内に1以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶している。車両ログ収集部140は、ログ収集部に相当する。
【0066】
また、車両ログ収集部140は、脅威情報収集部130から、車両識別番号と潜伏期間とを受信する。車両ログ収集部140は、記憶されている車両ログから車両識別番号が一致し、かつ、潜伏期間中の車両ログを異常車両ログとして特定する。車両ログ収集部140は、緯度と経度とをそれぞれ0度0分1秒ごとに分割した領域を地点として定義し、異常車両ログから、車両が走行して通過した異常地点と、当該異常地点における車両状態を抽出する。車両ログ収集部140は、すべての車両ログから異常地点における車両の台数を全体車両数として抽出し、異常地点と、異常地点における異常車両状態及び全体車両数とを侵入地点特定部150に通知する機能を有する。
【0067】
なお、車両ログ収集部140は、一例として、車両のGPS(Global Positioning System)ログを上記ログとして収集し、所定の緯度と経度とにより特定される地点を、上記地点として用いて、履歴情報を記憶している。また、車両ログ収集部140は、車両の充電に用いられる充電装置の設置場所、駐車場または車検場所が存在する地点を、上記地点として用いて履歴情報を記憶している。
【0068】
侵入地点特定部150は、車両ログ収集部140が記憶している履歴情報に示される地点のうち、第一攻撃元から第一経路を通じて脅威が侵入した侵入地点を特定する。侵入地点特定部150は、特定部に相当する。
【0069】
侵入地点特定部150は、脅威情報収集部130から、車両識別番号と脅威カテゴリと脆弱性の深刻度とを受信する。侵入地点特定部150は、車両ログ収集部140から異常地点と異常地点における異常車両状態と全体車両数とを受信し、異常地点ごとに異常車両状態と脆弱性の深刻度と全体車両数に応じて地点ごとの異常スコアを算出又は補正し、脅威カテゴリごとに記憶する。
【0070】
異常スコアは、1を基準点とする。侵入地点特定部150は、0から10までの数値で定義されるCVSSの深刻度を基準点に対して加点し、異常車両状態が「停車」である場合にさらに10を加点した点数を、全体車両数で割った値を異常スコアとして算出し、脅威カテゴリと地点ごとに記憶する。
【0071】
侵入地点特定部150は、脅威カテゴリと地点ごとに記憶した異常スコアの総和が0.1を越えたか否かを判定する機能を有する。そして、侵入地点特定部150は、異常スコアの総和が0.1を超えた地点について、当該地点が異常であると判定する。
【0072】
侵入地点通知部160は、侵入地点特定部150が特定した地点を出力する。侵入地点通知部160は、出力部に相当する。
【0073】
侵入地点通知部160は、侵入地点特定部150が異常と判定した地点を侵入地点特定部150から受信する。侵入地点通知部160は、地図情報と地点ごとの異常スコアの情報とを画面に表示する。このとき、侵入地点通知部160は、地図情報と異常スコアの情報とを重ねて画面に表示してもよい。侵入地点通知部160は、異常と判定された地点を、車両識別番号と対応するドライバ、又は、車両識別番号と対応する車両の車種のドライバに通知し、異常と判定された地点をセキュリティ対策チームまたは警察に通知する機能を有する。
【0074】
ここで、車両ログ収集部140は、脅威が潜伏期間を有することを脅威情報が示していると判定した場合には、発覚日を終期とする、潜伏期間の長さを有する期間を、所定期間として用いて履歴情報を記憶している。一方、脅威が潜伏期間を有しないことを脅威情報が示していると判定した場合には、発覚日を終期とする、所定の長さを有する期間を、所定期間として用いて履歴情報を記憶している。
【0075】
また、侵入地点特定部150は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、車両ログ収集部140が記憶している履歴情報に含まれる各地点についての異常の度合いを示すスコアをゼロより大きい値とする。一方、侵入地点特定部150は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示していない場合には、車両ログ収集部140が記憶している履歴情報に含まれる各地点についてスコアをゼロとする。そして、侵入地点特定部150は、車両ログ収集部140が記憶している履歴情報に含まれる地点ごとに、脅威情報に基づいて算出される異常の度合いを考慮してスコアを補正し、補正後のスコアが所定値以上である地点を、侵入地点として特定する。
【0076】
侵入地点特定部150による補正について詳細に説明する。
【0077】
侵入地点特定部150は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、脅威が車両の動作に与える影響の深刻さを示す深刻度が高いほど、より大きな値をスコアに加算することで、補正をしてもよい。
【0078】
また、侵入地点特定部150は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、車両の速度がゼロに近いほど、より大きな値をスコアに加算することで、補正をしてもよい。ここで、ログは、1以上の車両が位置する地点と、1以上の移動体の速度とを日時に対応付けて示しているとする。また、車両ログ収集部140は、収集したログから、所定期間内の1以上の車両の速度の履歴をさらに抽出して、履歴情報として記憶しているとする。
【0079】
また、侵入地点特定部150は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、地点に位置していた車両の台数が多いほど、スコアをより小さくする補正をしてもよい。ここで、車両ログ収集部140は、車両ログ収集部140が記憶している履歴情報に示される地点ごとに、当該地点に位置していた車両の台数を算出して記憶しているとする。
【0080】
なお、侵入地点特定部150は、車両ログ収集部140が記憶している履歴情報に含まれる地点についてのスコアを、脅威が属するカテゴリごとに集計することで、各カテゴリについての地点ごとの累積スコアを算出して記憶してもよい。
【0081】
[脅威情報]
図3は、本実施の形態における脅威情報の一例を示す図である。図3に示される脅威情報は、脅威情報共有サーバー20から侵入地点特定装置10へ送信される脅威情報の一例である。
【0082】
図3において、脅威情報は、脅威情報番号、攻撃元区分、脆弱性の深刻度、脅威カテゴリ、攻撃発覚日、潜伏期間、車両識別番号、及び、車両の種別の組を含んで構成される。
【0083】
攻撃元区分は、「物理」、「ローカル」、「隣接」、及び、「ネットワーク」のうちから1つが選択される。
【0084】
脅威情報番号は、脅威情報それぞれに一意に紐付けられる番号である。
【0085】
脆弱性の深刻度は、0から10のうちから1つが選択される。
【0086】
図3において、例えば、脅威情報番号1の脅威は、攻撃元区分が「物理」であり、脆弱性の深刻度が「7」であり、脅威カテゴリが「不正なOBD2デバイス」であり、潜伏期間が「不明」であり、車両識別番号が「A001」であり、車両の種別が「A」であることが示されている。
【0087】
脅威情報の攻撃元区分が「物理」、「隣接」又は、「ローカル」である場合に、車両と物理的に比較的近い位置に攻撃者が存在する、または、車両と物理的に比較的近い位置に侵入ツールを設置されたと判断できる。
【0088】
また、脅威情報の脆弱性の深刻度を参照することで攻撃被害の大きさを判断できる。脅威カテゴリを参照することで類似した攻撃を分類できる。潜伏期間を参照することで確認する車両ログの期間を判断できる。車両識別番号を参照することで車両識別番号と対応する車両ログを特定できる。車両の種別を参照することで、類似した車両への攻撃ごとに脅威情報を分類できる。
【0089】
[車両ログ]
図4は、本実施の形態における車両ログ送信装置30から侵入地点特定装置10へ送信される車両ログの一例を示す図である。
【0090】
図4において、車両ログは、車両識別番号、時刻、位置情報、及び、車両状態の組を含んで構成される。図4において、例えば、車両識別番号「A001」の車両が、時刻「T11」に、緯度「N1秒」及び緯度「E1秒」の地点Aを、「10km/h」で走行していたことが示されている。また、車両識別番号「A001」の上記車両が、時刻「T12」に、緯度「N2秒」及び経度「E2秒」の地点Bを、「20km/h」で走行していたことが示されている。
【0091】
異常な車両の車両識別番号が判明すれば、侵入地点特定部150は、車両ログから、異常な車両の車両識別番号に対する時刻を参照することで攻撃が発覚するまでの所定の期間を特定できる。また、所定の期間内における、異常な車両の車両識別番号に対する位置情報を参照することで、当該車両が通過した地点を抽出でき、車両状態を参照することで地点ごとに車両が停車中であるか走行中であるかを判断できる。車両ログにおいて、位置情報は、緯度と経度を0度0分1秒ごとに分割した領域を地点として定義する。
【0092】
また、侵入地点特定部150は、車両ログから全体車両数を算出する。全体車両数は、所定の期間内に特定の地点における車両の交通量を示す数値であり、具体的には、所定の期間内に特定の地点を通過した正常な車両と異常な車両とを含む車両の合計台数を示す。全体車両数は、車両ログに含まれる、所定の期間内の特定の位置情報を含む車両識別番号を用いて算出される。
【0093】
例えば、図4において、所定の期間T11~T43において、特定の位置情報に相当する地点Dに位置した車両の車両識別番号は、B001とC001との2つであるので、地点Dの全体車両数は2と算出される。
【0094】
[異常スコア]
図5は、本実施の形態における侵入地点特定部150が算出する異常スコアの一例を示す図である。なお、異常スコアを単にスコアともいう。
【0095】
図5において、異常スコアは、脅威情報番号、脅威カテゴリ、車両識別番号、位置情報、及び、異常スコア算出値の組を含んで構成される。さらに、異常スコア算出値は、基準点、深刻度加点、車両状態加点、全体車両数、及び、異常スコアを含む。
【0096】
図5において、脅威情報番号「1」に含まれる車両識別番号「A001」の車両ログは、攻撃発覚前の潜伏期間内の車両ログ、または、攻撃発覚前1日間の位置情報を抽出したものである。例えば、図4の車両ログにおいて、時刻T11~T13の期間内に、車両識別番号「A001」である車両が通過した地点は、「地点A」と「地点B」と「地点C」とである。
【0097】
ここで、図3の脅威情報において、脅威情報番号「1」の脅威の攻撃元区分は、「物理」であるため、攻撃者または侵入ツールが車両と物理的に比較的近い位置に配置されていたことを示している。よって、侵入地点特定部150は、異常スコア算出値の基準点を「1」とする。また、侵入地点特定部150は、攻撃元区分が「物理」、「隣接」又は「ローカル」である場合に、基準点をゼロより大きい値、より特定的には「1」と設定し、一方、攻撃元区分が「ネットワーク」である場合には基準点を「0」と設定する。
【0098】
さらに、侵入地点特定部150は、図3の脅威情報において、脆弱性の深刻度が7であるので、異常スコア算出値の深刻度加点に「7」を設定する。
【0099】
また、侵入地点特定部150は、図4の車両ログにおいて、車両識別番号「A001」の地点Aにおける車両状態が「走行」であるため、異常スコア算出値の車両状態加点に「0」を設定する。
【0100】
異常スコア算出値の異常スコアは、基準点と深刻度加点と車両状態加点とを加算した点数を全体車両数で割った数値が設定される。図5において、車両識別番号「A001」の「地点A」の異常スコアは、地点Aの全体車両数が100であるので、基準点と深刻度加点と車両状態加点とを加算した点数「8」を、地点Aの全体車両数である「100」で割って、「0.08」となる。
【0101】
図5において、脅威情報番号「2」に含まれる車両識別番号「B001」の車両ログは、攻撃発覚前の潜伏期間内の車両ログ、または、攻撃発覚前1日間の位置情報を抽出したものである。例えば、図4の車両ログにおいて、時刻T21~T22の期間内に、車両識別番号「B001」である車両が通過した地点は、「地点D」と「地点E」と「地点F」とである。
【0102】
また、図3の脅威情報において、脅威情報番号「2」の脅威の攻撃元区分は、「ローカル」であるため、異常スコアの算出値の基準点を「1」とする。さらに図3の脅威情報において、脅威情報番号「2」に含まれる脆弱性の深刻度が6であるので、異常スコア算出値の深刻度加点に「6」を設定する。
【0103】
また、侵入地点特定部150は、図4の車両ログにおいて、車両識別番号「B001」の地点Dにおける車両状態が「停車」であるため、異常スコア算出値の車両状態加点に「1」を設定する。車両状態が「走行」よりも「停車」である場合のほうがサイバー攻撃の侵入地点となる可能性が高いため、「停車」の車両状態加点は「走行」の車両状態加点である「0」よりも高い「1」が設定される。図5において、車両識別番号「B001」の「地点D」の異常スコアは、基準点と深刻度加点と車両状態加点とを加算した点数「9」を、地点Dの全体車両数である「10」で割って「0.9」となる。
【0104】
また、図3の脅威情報において、脅威情報番号「4」の脅威の脅威情報の攻撃元区分は、「ネットワーク」であるため、攻撃者または侵入ツールが車両と物理的に比較的近い位置に配置されていないことを示している。よって、侵入地点特定部150は、異常スコア算出値の基準点を「0」と設定し、さらに、深刻度加点および車両状態加点は、設定しない。
【0105】
このように、異常スコアについて、図3の脅威情報の攻撃元区分を参照し、攻撃元区分が「物理」、「隣接」、または、「ローカル」であれば攻撃者または侵入ツールが車両に物理的に比較的近い位置に配置され、サイバー攻撃の侵入地点となる可能性がある場合に、基準点として「1」が設定される。一方、脅威情報の攻撃元区分がネットワークであれば攻撃者または侵入ツールが車両に物理的に比較的近い位置に配置される必要がないので、サイバー攻撃の侵入地点となる可能性が低いことから、基準点として「0」が設定され、常スコアが「0」と設定される。
【0106】
異常スコア算出値の基準点が「1」に設定された場合、さらに、深刻度加点、車両状態加点が設定され得る。深刻度加点は、脅威情報の脆弱性を用いて設定し、車両が不正に制御されるなど、より深刻度が高く危険性の高い攻撃の侵入地点の異常スコアを大きくすることができる。また、車両状態加点は、車両ログの車両状態を用いて設定し、車両が走行である場合は侵入される可能性が低いため異常スコアを小さくし、車両が停止中である場合は侵入される可能性が高いため異常スコアを大きくすることができる。
【0107】
また、全体車両数が多い地点は、正常な車両または異常な車両の別にかかわらず多くの車両が通過する地点であるため、異常スコアを小さく設定する。全体車両数が少ない地点は、異常な車両の比率が比較的大きい、特徴的な地点となるため、異常スコアを大きく設定する。
【0108】
[累積異常スコア]
図6は、本実施の形態における侵入地点特定部150が算出する脅威カテゴリと地点ごとの累積異常スコアの一例を示す図である。
【0109】
図6において、累積異常スコアは、脅威カテゴリ、地点、異常スコア、累積異常スコアの組を含んで構成される。異常スコアは、複数の脅威情報を含んで構成される。累積異常スコアは、図5で説明した異常スコアを累積したものである。
【0110】
図6において、脅威情報番号「1」を有する脅威が属する脅威カテゴリは「不正なOBD2デバイス」である。脅威情報番号「1」と対応する車両ログの位置情報には地点AとBとCが含まれ、それぞれの異常スコアは「0.08」、「0.08」、「0.04」である。地点AとBとCとは、他の脅威情報と対応する車両ログの位置情報に含まれないため、累積異常スコアは「0.08」、「0.08」、「0.04」である。
【0111】
脅威情報番号「2」と「3」に対応する車両ログの位置情報には地点Dが含まれている。脅威情報番号「2」についての地点Dの異常スコアは「0.8」であり、脅威情報番号「3」についての地点Dの異常スコアは「0.7」である。地点Dの累積異常スコアは、脅威情報番号「2」と「3」の地点Dの異常スコアの総和である「1.5」である。
【0112】
このように、脅威カテゴリと地点ごとに複数の脅威情報の異常スコアを参照して総和を取ることで、類似した攻撃被害を受けた車両のうち、多くの車両が攻撃発覚前に経由、つまり走行することで通過した地点の異常スコアが大きくなるように設定できる。
【0113】
[累積異常スコア可視化表示画面の一例]
図7は、本実施の形態における侵入地点通知部160が累積異常スコアを可視化して表示する画面の一例を示した図である。図7では、経度がそれぞれN1、N2及びN3である道路と、緯度がそれぞれW1、W2及びW3である道路とが地図上に表示されている。また、経度がN1であり緯度がW1である位置に存在する充電装置Xの位置と名称、経度がN2であり緯度がW3である位置に存在する駐車場Yの位置と名称、及び、経度がN3であり緯度がW2である位置に存在する水素ステーションZの位置と名称が表示されている。
【0114】
図7において、さらに、侵入地点通知部160は、累積異常スコアを表示する。侵入地点通知部160は、累積異常スコアが大きい地点ほど、寸法がより大きな図形、または、3次元表示において背がより高い図形を用いて表示する。具体的には、侵入地点通知部160は、異常累積スコアを棒グラフの図形で示す。棒グラフは、累積異常スコアが大きいほど、長く、又は、大きく表示する。また、3次元表示の場合には、背がより高い図形として表示する。
【0115】
侵入地点通知部160は、例えば、地点Dの累積異常スコアである1.5を示す図形として、経度がN1である道路と、緯度がW1である道路との交差点に棒グラフを表示する。表示される棒グラフは、地点Dの累積異常スコアに相当する大きさ又は高さを有する。また、表示される棒グラフの内部に累積異常スコアの数値「1.5」が表示される。また、地点Fの累積異常スコアである0.06を示す図形として、経度がN2である道路と、緯度がW1である道路との交差点に棒グラフを表示する。表示の態様は上記と同様である。
【0116】
このように、侵入地点通知部160は、地図上に侵入地点となる可能性の高い地点の名称と同時に、累積異常スコアを可視化して表示するので、ユーザは、累積異常スコアが高い地点に何が存在しているかを、表示されるページを切り替えることなく視認可能である。そのため、ユーザは、効率的に異常な侵入地点を特定できる。
【0117】
[異常検出装置の処理シーケンス]
図8図11は、本実施の形態における脅威情報共有サーバー20が脅威情報を侵入地点特定装置10へ送信した、または車両ログ送信装置30が車両ログを侵入地点特定装置10へ送信した後、侵入地点特定装置10が、セキュリティ上の異常を検知して、脅威カテゴリと地点ごとに侵入地点である可能性を示す異常スコアを算出し、脅威カテゴリと地点ごとの累積異常スコアを算出し、侵入地点を特定して通知するまでの処理シーケンスを示している。
【0118】
ステップS801において、脅威情報共有サーバー20は、侵入地点特定装置10の通信部110へ脅威情報を送信する。脅威情報共有サーバー20は、事前に、脅威情報を解析者から受信している。脅威情報に含まれる情報は、図3に示す通りである。解析者は、車両へのサイバー攻撃を車両のログなどから解析可能な人物であり、例えば、セキュリティオペレーションセンター、セキュリティ対策チーム、車両の製造元、車載装置の開発元、又は、脆弱性発見者である。
【0119】
ステップS802において、通信部110は、ステップS801で送信された脅威情報を受信し、受信した脅威情報を脅威情報収集部130に送信することによって、脅威情報を転送する。
【0120】
ステップS803において、脅威情報収集部130は、ステップS802で送信された脅威情報を受信し、記憶する。
【0121】
ステップS804において、通信部110は、ステップS801で送信され、ステップS802で受信した脅威情報を異常検知部120に送信することによって、脅威情報を転送する。
【0122】
ステップS805において、異常検知部120は、ステップS804で送信された脅威情報を受信する。異常検知部120は、受信した脅威情報に、解析対象車両へのサイバー攻撃を含む場合に、受信した脅威情報が異常であると判断する。ここで解析対象車両は、例えば、特定の製造元の車両であり、この場合、特定の製造元の車両の車両識別番号が脅威情報に含まれる場合に、当該脅威情報を異常であると判断する。
【0123】
ステップS806において、異常検知部120は、ステップS805において、脅威情報が異常であると判断した場合に異常な脅威情報を脅威情報収集部130に送信する。
【0124】
ステップS807において、脅威情報収集部130は、ステップS806で送信された異常な脅威情報を受信する。
【0125】
図9に移り、ステップS901において、車両ログ送信装置30は、侵入地点特定装置10の通信部110へ車両ログを送信する。ここで車両ログは、例えばHTTP(Hypertext Transfer Protocol)などの通信プロトコルを用いて、インターネットを経由して侵入地点特定装置10へ送信される。車両ログに含まれる情報は、図4に示す通りである。
【0126】
ステップS902において、通信部110は、ステップS901で送信された車両ログを受信し、受信した車両ログを車両ログ収集部140に送信することによって、車両ログを転送する。
【0127】
ステップS903において、車両ログ収集部140は、ステップS902で送信された車両ログを受信し、記憶する。
【0128】
ステップS904において、通信部110は、ステップS901で送信され、ステップS902で受信した車両ログを異常検知部120に送信することによって、車両ログを転送する。
【0129】
ステップS905において、異常検知部120は、ステップS904で送信された車両ログを受信し、受信した車両ログの中にサイバー攻撃を含むログを検出した場合に、受信した車両ログが異常であると判断する。ここで車両ログから異常を検知する方法は、例えば、車速が10km/h以内でのみ発動する自動駐車制御を指示するメッセージが、車速100km/hの走行中に送信された場合に異常と検出するルールを事前に作成しておく前提で、異常検知部120は、車両ログに含まれるCANネットワークトラフィックを監視し、ルールに一致するメッセージを含む車両ログが含まれていた場合に異常である検出する。
【0130】
ステップS906において、異常検知部120は、ステップS905において車両ログが異常であると判断した場合に、異常な車両ログを脅威情報収集部130に送信する。
【0131】
ステップS907において、脅威情報収集部130は、ステップS906で送信された異常な車両ログを受信する。
【0132】
ステップS908において、脅威情報収集部130は、ステップS907で受信した異常な車両ログに含まれる車両識別番号と対応する異常な脅威情報を特定する。ここで、車両識別番号は、全ての車両の中でユニークな値であり、脅威情報に含まれる車両識別番号と車両ログに含まれる車両識別番号とは、同一であるので、車両ログと脅威情報の対応付けが可能である。
【0133】
図10に移り、ステップS1001において、脅威情報収集部130は、異常な脅威情報を取得する。この処理は、ステップS807またはステップS908において、脅威情報収集部130が異常な脅威情報を受信又は特定する処理に相当する。
【0134】
ステップS1002において、脅威情報収集部130は、ステップS1001の脅威情報の攻撃元区分が、「物理」、「ローカル」または「隣接」である場合、脅威情報から、車両識別番号と脅威カテゴリと深刻度と攻撃発覚日と潜伏期間とを抽出する。ここで、脅威情報に含まれる潜伏情報が、潜伏期間を有しないことを示している場合には、所定の期間、より具体的には所定の日数、例えば1日を潜伏期間として用いる。潜伏期間中の車両ログの抽出方法については、図12にて後述する。
【0135】
ステップS1003において、脅威情報収集部130は、ステップS1002で抽出された車両識別番号と攻撃発覚日と潜伏期間とを車両ログ収集部140へ送信する。
【0136】
ステップS1004において、車両ログ収集部140は、ステップS1003の車両識別番号と攻撃発覚日と潜伏期間とを受信する。
【0137】
ステップS1005において、車両ログ収集部140は、ステップS1004の車両識別番号と対応する車両ログから、潜伏期間中の位置情報と、地点ごとの車両状態とを抽出し、侵入地点特定装置10へ送信する。ここで地点は、位置情報に含まれる緯度と経度とを0度0分1秒ごとに分割した地点である。また、車両ログに含まれる情報は、図4に示す通り、時刻と、その時刻における車両の位置情報と、その時刻における車両状態である速度情報とを含む。例えば、車両ログ収集部140は、車両ログの時刻を参照して潜伏期間中のログを特定し、位置情報と速度情報とを対応付けて抽出することで、所定の地点ごとの車両状態を抽出する。
【0138】
ステップS1006において、侵入地点特定部150は、ステップS1005で送信された、車両識別番号と位置情報と地点ごとの車両状態とを受信する。
【0139】
ステップS1007において、車両ログ収集部140は、車両ログ収集部140が記憶するすべての車両ログから潜伏期間中の地点ごとの車両数を全体車両数として抽出し、侵入地点特定部150へ送信する。
【0140】
ステップS1008において、侵入地点特定部150は、ステップS1007で送信された車両識別番号と位置情報と地点ごとの車両状態とを受信する。
【0141】
ステップS1009において、脅威情報収集部130は、ステップS1002で抽出された車両識別番号と脅威カテゴリと脆弱性の深刻度とを侵入地点特定部150へ送信する。ここで、脆弱性の深刻度は、CVSSなどで表現され、最も深刻度が高い場合に10点、最も深刻でない場合に0点とする数値である。
【0142】
ステップS1010において、侵入地点特定部150は、ステップS1009で送信された脅威カテゴリと脆弱性の深刻度とを受信する。
【0143】
ステップS1011において、侵入地点特定部150は、ステップS1006とステップS1008とステップS1010とで受信した、位置情報と地点ごとの車両状態と地点ごとの全体車両数と脆弱性の深刻度とを用いて、地点ごとに異常スコアを算出し、脅威カテゴリと対応付けて記憶する。異常スコアの算出方法については図13にて後述する。
【0144】
図11に移り、ステップS1101において、侵入地点特定部150は、異常スコアを算出して脅威カテゴリと対応付けて記憶する。この処理は、ステップS1011の処理に相当する。
【0145】
ステップS1102において、侵入地点特定部150は、ステップS1101で記憶された脅威カテゴリと地点ごとに累積異常スコアを算出し、位置情報と累積異常スコアとを侵入地点通知部160へ送信する。累積異常スコアの算出方法については図14にて後述する。
【0146】
ステップS1103において、侵入地点通知部160は、ステップS1102で送信された位置情報と累積異常スコアとを受信し、地点ごとに地図上に表示する。ここで累積異常スコアの表示方法は、図7に示す通りである。
【0147】
ステップS1104において、侵入地点特定部150は、ステップS1102で算出された累積異常スコアがしきい値以上である場合には、侵入地点であると特定して、位置情報を侵入地点通知部160へ送信する。ここで、しきい値は、侵入地点特定部150が事前に保持している。
【0148】
ステップS1105において、侵入地点通知部160は、ステップS1104で送信された位置情報を受信し、ドライバまたはセキュリティ対策チームへ通知する。脅威情報に含まれる車両と同一車種のドライバと、セキュリティ対策チームに侵入地点に関する情報を通知することで、ユーザが侵入地点に近づかないなどの一時的な対応をとったり、又は、侵入地点周辺の調査を速やかに実施したりすることができ、車両への攻撃被害を低減することが可能となる。
【0149】
[車両ログ抽出処理のフローチャート]
図12に、本実施の形態における車両ログ収集部140の車両ログ抽出処理のフローチャートを示す。
【0150】
ステップS1201において、車両ログ収集部140は、異常な脅威情報と車両ログとを取得し、次にステップS1202を実施する。
【0151】
ステップS1202において、車両ログ収集部140は、脅威情報に潜伏期間の記載があるか否かを判定する。脅威情報に潜伏期間の記載がある場合(ステップS1202でYES)に、ステップS1203を実施し、脅威情報に潜伏期間の記載がない場合(ステップS1202でNO)に、次にステップS1204を実施する。なお、「脅威情報に潜伏期間の記載がある」とは、脅威が潜伏期間を有することを潜伏情報が示していること、に相当する。
【0152】
ステップS1203において、車両ログ収集部140は、脅威情報に記載されている潜伏期間内の車両ログに含まれる時刻情報を参照して取得し、次にステップS1205を実施する。
【0153】
ステップS1204において、車両ログ収集部140は、脅威情報に記載されている記載の攻撃発覚日から、攻撃発覚日の前日(所定の期間に相当)の車両ログに含まれる時刻情報を参照して車両ログを取得し、次にステップS1205を実施する。
【0154】
ステップS1205において、車両ログ収集部140は、車両ログ収集部140が記憶する車両ログから異常な脅威情報に含まれる車両識別番号と対応する車両ログとを特定し、異常な位置情報と、異常な位置情報における速度情報とを含む車両状態を抽出し、次にステップS1206を実施する。
【0155】
ステップS1206において、車両ログ収集部140は、車両ログ収集部140が記憶するすべての車両ログを取得し、ステップS1205の異常な位置情報を含む車両ログに含まれる車両識別番号の種類数を全体車両数として算出する。ここで全体車両数を特定の位置情報を含む車両ログに含まれる車両識別番号の種類数とすることで同一車両が同一地点を複数回通過した場合も、同一地点の全体車両数を1回とカウントでき、同一車両の重複カウントをなくすことができる。
【0156】
[異常スコア算出フローチャート]
図13に、本実施の形態における侵入地点特定部150の異常スコア算出抽出処理のフローチャートを示す。
【0157】
ステップS1301において、侵入地点特定部150は、脅威カテゴリと地点ごとの異常スコアを、異常スコア[i]として記憶し、次にステップS1302を実施する。ここでiは1以上のN以下の整数であり、Nは地点の数であり、iの値によって車両ログ収集部140が抽出した1つの地点が特定される。
【0158】
ステップS1302において、侵入地点特定部150は、iの値を1として記憶し、次にステップS1303を実施する。
【0159】
ステップS1303において、侵入地点特定部150は、iの値に対応する脅威情報番号を参照し、脅威情報の攻撃元区分が「物理」、「ローカル」又は「隣接」であるか否かを判定する。侵入地点特定部150は、脅威情報の攻撃元区分が「物理」、「ローカル」又は「隣接」である場合に、次にステップS1304を実施する。一方、脅威情報の攻撃元区分が上記のいずれでもない場合に、次にステップS1305を実施する。
【0160】
ステップS1304において、侵入地点特定部150は、異常スコア[i]の値を1として記憶し、次にステップS1306を実施する。
【0161】
ステップS1305において、侵入地点特定部150は、異常スコア[i]の値を0として記憶し、次にステップS1312を実施する。
【0162】
ステップS1306において、侵入地点特定部150は、iの値に対応する脅威情報番号を参照し、脅威情報の深刻度が1以上であるか否かを判定する。脅威情報の深刻度が1以上である場合に、次にステップS1307を実施する。一方、脅威情報の深刻度が0である場合に、次にステップS1308を実施する。ここで、深刻度はCVSSに従う、0から10で高いほど深刻であると定義される値である。
【0163】
ステップS1307において、侵入地点特定部150は、異常スコア[i]の値に深刻度の数値を加算して記憶し、次にステップS1308を実施する。
【0164】
ステップS1308において、侵入地点特定部150は、iの値に対応する車両ログ収集部140が抽出したiの値と対応する地点における車両状態を参照し、車両状態が停車中であるか否かを判定する。車両状態が停車中である場合に、次にステップS1309を実施する。一方、車両状態が停車中でない場合に、ステップS1310を実施する。ここで車両状態は、速度情報を含み、車両の速度が0km/hである場合に停車中であると判断する。
【0165】
ステップS1309において、侵入地点特定部150は、異常スコア[i]の値に1を加えて記憶し、次にステップS1310を実施する。なお、異常スコア[i]の値に1を加える代わりに、異常スコア[i]の値を2倍して記憶してもよい。
【0166】
ステップS1310において、侵入地点特定部150は、iの値に対応する車両ログ収集部140が抽出したiの値と対応する地点における全体車両数を参照し、全体車両数が1以上であるか否かを判定する。全体車両数が1以上である場合に、次にステップS1311を実施する。一方、全体車両数が1以上でない場合に、次にステップS1312を実施する。
【0167】
ステップS1311において、侵入地点特定部150は、異常スコア[i]の数値を全体車両数で除算した値を算出して記憶し、次にステップS1312を実施する。
【0168】
ステップS1312において、侵入地点特定部150は、iの数値がNである場合に、脅威カテゴリと対応付けて記憶し、終了する。一方、iの数値がNでない場合に、次にステップS1313を実施する。
【0169】
ステップS1313において、侵入地点特定部150は、iの数値に1を加えた数値をiとして記憶し、次にステップS1303を実施する。
【0170】
[侵入地点特定フローチャート]
図14に、本実施の形態における侵入地点特定部150の侵入地点特定処理のフローチャートを示す。
【0171】
ステップS1401において、侵入地点特定部150は、脅威情報収集部130が記憶するすべての脅威情報それぞれに対して、ステップS1301からステップS1313(図13参照)の異常スコア算出フローチャートに従って、地点ごとの異常スコアを算出し、所定の脅威カテゴリと対応する異常スコア[1]から異常スコア[M]を抽出し、次にステップS1402を実施する。ここでMは、所定の脅威カテゴリと対応する脅威情報の数である。所定の脅威カテゴリは、脅威情報に含まれる脅威カテゴリであり、脅威カテゴリごとにそれぞれ侵入地点特定フローチャートを実施する。
【0172】
ステップS1402において、侵入地点特定部150は、地点ごとの累積異常スコアを累積異常スコア[k]として記憶し、次にステップS1403を実施する。ここでkは1からLまでの数値であり、Lはすべての地点数であり、所定の脅威カテゴリと対応する異常スコア[1]から異常スコア[M]に含まれるユニークな地点数である。
【0173】
ステップS1403において、侵入地点特定部150は、kを1として記憶する。
【0174】
ステップS1404において、侵入地点特定部150は、累積異常スコア[k]を異常スコア[1]から異常スコア[M]までをすべて加算した値として算出して記憶し、次にステップS1405を実施する。
【0175】
ステップS1405において、侵入地点特定部150は、侵入地点通知部160へ地点情報と累積異常スコアと送信し、侵入地点通知部160は地点情報と累積異常スコアを表示し、次にステップS1406を実施する。
【0176】
ステップS1406において、侵入地点特定部150は、累積異常スコアがしきい値以上であるか否かを判定する。累積異常スコアがしきい値以上である場合に、次にステップS1407を実施し、そうでない場合に、次にステップS1408を実施する。
【0177】
ステップS1407において、侵入地点特定部150は、累積異常スコアと対応する地点が侵入地点であると判定し、次にステップS1409を実施する。
【0178】
ステップS1408において、侵入地点特定部150は、累積異常スコアと対応する地点が侵入地点でないと判定し、次にステップS1409を実施する。
【0179】
ステップS1409において、侵入地点特定部150は、累積異常スコアと対応する地点情報をドライバまたはセキュリティ対策チームに通知し、次にステップS1410を実施する。
【0180】
ステップS1410において、侵入地点特定部150は、kがLと等しいか否かを判定する。kがLと等しい場合(ステップS1410でYES)には図14に示された一連の処理を終了する。一方、kがLと等しくない場合(ステップS1410でNO)には、次にステップS1411を実施する。
【0181】
ステップS1411において、侵入地点特定部150は、kの数値に1を加えた数値をkとして記憶し、次にステップS1404を実施する。
【0182】
(他の実施の形態)
以上のように、本発明に係る技術の例示として実施の形態を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
【0183】
(1)上記実施の形態では、自動車に対するセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、又は、飛行機などのモビリティにも適用してもよい。
【0184】
(2)上記の実施の形態では、侵入地点特定装置10は異常検知部120を備えると説明したが、異常検知部120は必須の構成要素ではない。侵入地点特定部150が異常検知部120を備えない場合は、脅威情報共有サーバー20から脅威情報を受信したタイミング、人手で異常を発見したタイミング、定期的なタイミング、または、外部システムから異常通知を受けたタイミングで、異常検知部120が脅威情報と車両ログと収集して、侵入地点特定部150が異常スコアを算出してもよい。
【0185】
(3)上記の実施の形態では、車両ログ送信装置30は、車両内に設置されているとして説明したが、車両ログ送信装置30は、複数の車両ログを取りまとめて送信するエッジサーバーであってもよいし、車両ログを収集しているクラウドサーバーであってもよい。
【0186】
(4)上記の実施の形態では、異常検知部120は、脅威情報または車両ログのCANネットワークトラフィックを用いて異常を検知する説明としたが、CAN-FD、Ethernet、LIN、Flexrayであってもよいし、それぞれを組み合わせた構成であってもよいし、車両システムが出力するシステムログを用いて、システムログにエラーが含まれる場合に異常として検知してもよい。
【0187】
(5)上記の実施の形態では、脅威情報収集部130が図3に示す脅威情報を収集すると説明したが、侵入地点の原因解析に、より一層役立てられる攻撃者のプロファイリング情報を収集してもよい。
【0188】
(6)上記の実施の形態では、車両ログ収集部140が図4に示す車両ログを収集すると説明したが、車両識別番号は製造元が付与した個人を識別できる番号ではなく匿名化された数値でもよい。また、時刻は絶対時刻でなく相対時刻であってもよい。また、位置情報は秒単位ではなく分単位または度単位でもよい。また、車両状態は速度情報の生の値ではなく停車中または走行中を表すラベルでもよい。
【0189】
(7)上記の実施の形態では、侵入地点特定部150が図5に示す異常スコアを算出して脅威カテゴリごとに記憶すると説明したが、脅威カテゴリと対応付けて記憶しなくてもよい。脅威カテゴリと対応付けて記憶しない場合は、侵入地点特定部150は脅威カテゴリごとではなく、すべての脅威カテゴリに対して、地点ごとの累積異常スコアを算出してもよい。
【0190】
(8)上記の実施の形態では、侵入地点特定部150が図5に示す緯度と経度とで分割した地点ごとに異常スコアを記憶すると説明したが、緯度と経度とで分割した地点ではなく、充電装置、水素ステーション、ガソリンスタンド、駐車場、修理業者の拠点、車検業者の拠点、カーレンタル業者の拠点、カーシェアリング業者の拠点、車両製造工場、交差点、道路、又は、交通信号機など任意の地点ごとに算出してもよい。
【0191】
(9)上記の実施の形態では、侵入地点特定部150が図5に示す異常スコアを所定の距離で攻撃可能な場合に基準点として1とし、CVSSの深刻度を加点し、車両状態が停車中であれば2倍し、全体車両数で乗算して算出すると説明したが、いずれか一つで算出してもよいし、任意の組み合わせで算出してもよい。
【0192】
(10)上記の実施の形態では、侵入地点特定部150が図5に示す異常スコアを算出すると説明したが、基準点の取りうる数値は任意の値でよい。また、深刻度はCVSSの値を用いずに人手で判断してもよく深刻度として加点する点数は任意の値でよい。また、車両状態は、停車中と走行中との2種類で判定したが、車両の移動速度に応じて停車中に近いほど車両状態加点が高くなるように変更してもよいし、車両状態加点は乗算でなくてもよい。また、全体車両数は、全体車両数そのものの値ではなく、全体車両数のうち異常な車両数表す割合として記憶してもよい。
【0193】
(11)上記の実施の形態では、侵入地点特定部150が累積異常スコアがしきい値以上である場合に侵入地点であると特定すると説明したが、しきい値は事前に設定されてもよいし、全体の累積異常スコアの割合から算出してもよい。
【0194】
(12)上記の実施の形態では、侵入地点通知部160は、累積異常スコアを地図上に表示するとして説明したが、累積異常スコアは表形式を用いて数値で表示してもよいし、ポップアップ通知で表示してもよい。
【0195】
(13)上記の実施の形態では、侵入地点通知部160は、累積異常スコアの数値を、図形を用いて表示するとして説明したが、色を用いて数値の大きさを表現して表示してもよい。
【0196】
(14)上記の実施の形態では、侵入地点通知部160は、地点ごとに累積異常スコア地図上に表示するとして説明したが、攻撃を受けた車両が通過した地点と地点を結ぶ経路を図形や色で表現して地図上に表示してもよい。
【0197】
(15)上記の実施の形態では、侵入地点通知部160は、侵入地点特定部150から侵入地点の情報を受信したのち、ドライバまたはセキュリティ対策チームに通知すると説明したが、通知先は、警察でもよいし、交通省でもよいし、脆弱性情報の共有機関でもよい。
【0198】
(16)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
【0199】
(17)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
【0200】
(18)本発明の一態様としては、異常検知の方法をコンピュータにより実現するプログラム(コンピュータプログラム)であるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blue―ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
【0201】
(19)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
【産業上の利用可能性】
【0202】
本発明の車載ネットワークシステムにおける侵入地点特定装置は、移動体に侵入した脅威の侵入地点を特定する装置に適用できる。より具体的には、複数の車両の脅威情報と位置情報を含むログを用いて、攻撃被害を受けた車両のうち、多くの車両が攻撃被害以前に経由した地点が、侵入地点である可能性が高いと判定することで、侵入地点を特定することが可能となる。その結果、侵入地点をセキュリティ対策チームに通知し、周辺の調査や、ドライバへ侵入地点周辺に近づかないように促す警告などにより、さらなる攻撃被害を抑制することができ、自動車の安全性向上につながる。
【符号の説明】
【0203】
10 侵入地点特定装置
20 脅威情報共有サーバー
30 車両ログ送信装置
110 通信部
120 異常検知部
130 脅威情報収集部
140 車両ログ収集部
150 侵入地点特定部
160 侵入地点通知部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.