IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > フォルシアクラリオン・エレクトロニクス株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ クラリオン株式会社の特許一覧

特許7478085車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
<>
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図1
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図2
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図3
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図4
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図5
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図6A
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図6B
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図6C
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図7
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図8
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図9
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図10
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図11
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図12
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図13
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図14
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図15
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図16
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図17
  • 特許-車載セキュリティ装置、車両セキュリティシステム、および車両管理方法 図18
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-23
(45)【発行日】2024-05-02
(54)【発明の名称】車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20240424BHJP
   B60R 16/023 20060101ALI20240424BHJP
【FI】
G06F21/55 320
B60R16/023 Z
【請求項の数】 8
(21)【出願番号】P 2020201360
(22)【出願日】2020-12-03
(65)【公開番号】P2022089097
(43)【公開日】2022-06-15
【審査請求日】2023-09-01
(73)【特許権者】
【識別番号】000001487
【氏名又は名称】フォルシアクラリオン・エレクトロニクス株式会社
(74)【代理人】
【識別番号】110002365
【氏名又は名称】弁理士法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】庄司 賢一
(72)【発明者】
【氏名】河内 尚
(72)【発明者】
【氏名】矢島 孝行
(72)【発明者】
【氏名】永井 靖
(72)【発明者】
【氏名】中川 恭彦
【審査官】小林 秀和
(56)【参考文献】
【文献】特開2019-133599(JP,A)
【文献】国際公開第2020/090146(WO,A1)
【文献】特開2020-086978(JP,A)
【文献】特開2010-009187(JP,A)
【文献】国際公開第2020/075826(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
B60R 16/023
(57)【特許請求の範囲】
【請求項1】
所定の機器を備えた車両に搭載される車載セキュリティ装置であって、
前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、
前記機器についてのログ情報を記憶するログ情報記憶部と、
前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、前記機器に対する攻撃への対策を提供するための攻撃対策装置に送信するログ管理部と、
を備える車載セキュリティ装置。
【請求項2】
前記ログ管理部は、
前記機器についてのログ情報に、前記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し、
前記ログ情報記憶部に記憶されているログ情報から、前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を、前記ログ情報に設定した優先度に基づいて抽出し、
抽出したログ情報を、前記攻撃対策装置に送信する、
請求項1に記載の車載セキュリティ装置。
【請求項3】
前記ログ管理部は、
前記機器についてのログ情報に、前記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し、
前記ログ情報記憶部に記憶されているログ情報を前記ログ情報に設定した優先度に基づいて消去する、
請求項1に記載の車載セキュリティ装置。
【請求項4】
前記攻撃対策装置は、既知の複数の攻撃の各々について攻撃情報を記憶し、
前記機器の構成が第1の構成から前記第1の構成とは異なる第2の構成に変更されているか否かを判定し、前記第1の構成から前記第2の構成に変更されていると判定した場合、前記第2の構成に対応する攻撃情報を前記攻撃対策装置から取得して前記攻撃情報記憶部に記憶する攻撃管理部を備える、
請求項1に記載の車載セキュリティ装置。
【請求項5】
所定の機器を備えた車両に搭載される車載セキュリティ装置と、前記機器に対する攻撃への対策を提供するための攻撃対策装置と、を含む車両セキュリティシステムであって、
前記車載セキュリティ装置が、
前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、
前記機器についてのログ情報を記憶するログ情報記憶部と、
前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、前記攻撃対策装置に送信するログ管理部と、
を備える車両セキュリティシステム。
【請求項6】
前記車載セキュリティ装置が、
前記機器についてのログ情報と前記攻撃情報記憶部に記憶されている攻撃情報とから前記機器に対する攻撃を検知したことに基づいて、前記攻撃への対策内容を含む対策情報を前記攻撃対策装置に要求するための攻撃検知情報を、前記攻撃対策装置に送信する攻撃検知部と、
前記攻撃対策装置から送信される、前記攻撃検知部により攻撃が検知された機器への対策内容を含む対策情報を受信し、受信した対策情報に基づいて、前記機器への対策を実施する対策処理部と、を備え、
前記攻撃対策装置は、
既知の複数の攻撃の各々について対策情報を記憶する対策情報記憶部と、
前記攻撃検知部により送信された攻撃検知情報に基づいて、前記攻撃検知部により検知された攻撃に対応する対策情報を前記対策情報記憶部に記憶されている対策情報から取得し、取得した対策情報を前記対策処理部に送信する対策管理部と、を備える、
請求項5に記載の車両セキュリティシステム。
【請求項7】
前記攻撃検知部により検知された攻撃に対応する対策情報が前記対策情報記憶部に記憶されている対策情報に含まれていない場合、前記対策管理部は、
前記攻撃の攻撃段階が最後の攻撃段階であるときは、前記車両を停止する対策情報を前記対策処理部に送信し、
前記攻撃の攻撃段階が最後の攻撃段階でないときは、前記攻撃への対策を実施しないことを示す対策情報を前記対策処理部に送信する、
請求項6に記載の車載セキュリティ装置。
【請求項8】
所定の機器を備えた車両に搭載される車載セキュリティ装置が実行する車両管理方法であって、
車載セキュリティ装置は、
前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、
前記機器についてのログ情報を記憶するログ情報記憶部と、を備え、
前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、
抽出したログ情報を、前記機器に対する攻撃への対策を提供するための攻撃対策装置に送信する、
車両管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、車両が備える機器のログ情報を処理する技術に関する。
【背景技術】
【0002】
近年の車両においては、車両に搭載された各種ECU(Electrical Control Unit)の制御データを収集して管理するための環境として、車内LAN(Local Area Network)等が用いられて構成された車載ネットワークの普及が進んでいる。この車載ネットワークを利用する技術として、例えば、他の車両、外部のサーバ装置等との通信機能を車両に付加し、この通信機能を用いて、自動運転、運転支援等において利用される環境情報を収集したり、ECUのソフトウェアを更新したりする技術の開発が進んでいる。
【0003】
従来の車載ネットワークシステムでは、一般に独自のOSとネットワークとが用いられており、外部システムとは接続しない構成であった。そのため、車載ネットワークシステムが外部からウイルス等による攻撃を受けてセキュリティ上の脅威にさらされることはないと考えられていた。しかし、近年は、車載ネットワークシステムの分野でもオープン化に向かっており、汎用OSおよび標準プロトコルの採用が進んでいる。こういった背景から、これまで安全とされていた車載ネットワークシステムを対象とした攻撃の報告が年々増えている。
【0004】
車載ネットワークシステムに対する攻撃により、サービスの不能、不正なアクセス等が、車両で発生した場合、人、資産等への被害が生じ得る。例えば、車両が攻撃を受けて暴走した場合、人的被害および物的被害が甚大となり、社会的な影響が大きい。そのため、車両メーカに対して、車載ネットワークシステムに対する攻撃の発生を監視するためにログ情報を収集して保存することが求められている。
【0005】
近時、脆弱性を悪用した攻撃を早期に検知でき、検知ルールの実行周期を調整して処理負荷を低減できる技術が開示されている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2020-28092号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1に記載された技術では、管理するログ情報が膨大となり、膨大なログ情報を処理するために、車両に搭載されるコンピュータのプロセッサ、メモリ等のリソースを逼迫する問題がある。
【0008】
本発明は、以上の点を考慮してなされたもので、車両が備える機器のログ情報を適切に処理し得る車載セキュリティ装置等を提案しようとするものである。
【課題を解決するための手段】
【0009】
かかる課題を解決するため本発明においては、所定の機器を備えた車両に搭載される車載セキュリティ装置であって、前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、前記機器についてのログ情報を記憶するログ情報記憶部と、前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、前記機器に対する攻撃への対策を提供するための攻撃対策装置に送信するログ管理部と、を設けるようにした。
【発明の効果】
【0010】
本発明によれば、車両が備える機器のログ情報を適切に処理することができる。
【図面の簡単な説明】
【0011】
図1】車両セキュリティシステムに係る構成の一例を示す図である。
図2】車両のハードウェア構成の一例を示す図である。
図3】路側器および攻撃対策装置のハードウェア構成の一例を示す図である。
図4】車載セキュリティ装置の機能構成の一例を示す図である。
図5】攻撃対策装置の機能構成の一例を示す図である。
図6A】攻撃情報を説明するための図である。
図6B】攻撃情報を説明するための図である。
図6C】攻撃情報を説明するための図である。
図7】ログ情報記憶部の一例を示す図である。
図8】車両構成情報記憶部の一例を示す図である。
図9】攻撃情報記憶部の一例を示す図である。
図10】対策情報記憶部の一例を示す図である。
図11】攻撃検知情報の一例を示す図である。
図12】インシデント情報の一例を示す図である。
図13】車載構成情報記憶部の一例を示す図である。
図14】初期設定処理の一例を示す図である。
図15】車両セキュリティシステムにおける一連の処理の一例を示す図である。
図16】攻撃検知処理の一例を示す図である。
図17】攻撃対策処理の一例を示す図である。
図18】ログ情報管理処理の一例である。
【発明を実施するための形態】
【0012】
(1)第1の実施の形態
以下、本発明の一実施の形態を詳述する。ただし、本発明は、実施の形態に限定されるものではない。
【0013】
本実施の形態による車載セキュリティ装置は、車載ネットワーク内の攻撃を検知して分析するためのログ情報を収集する。車載セキュリティ装置は、車載ネットワークに接続されている機器に対する攻撃に対して、ログ情報を収集する対象の機器と、収集するログ情報の種類とを特定可能な攻撃情報を記憶する。車載セキュリティ装置は、例えば、攻撃情報をもとにログ情報を収集したり、収集したログ情報から攻撃に関連するログ情報を、攻撃情報をもとに抽出したりする。上記構成によれば、例えば、車載ネットワークにおいて想定される攻撃に対して効率的にログ情報を記憶したり、送信したりすることができる。
【0014】
次に、本発明の実施の形態を図面に基づいて説明する。以下の記載および図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。特に限定しない限り、各構成要素は、単数でも複数でも構わない。なお、以下の説明では、図面において同一要素については、同じ番号を付し、説明を適宜省略する。
【0015】
図1は、本実施の形態における車両セキュリティシステム100に係る構成の一例を示す図である。車両セキュリティシステム100は、車両110、路側器120、および攻撃対策装置130を含む。
【0016】
車両110は、車載セキュリティ装置111を備える。路側器120は、車両110が走行する道路の路側に、所定の地点に固定して設置されている。なお、複数の路側器120がそれぞれ異なる地点に設置されていてもよい。路側器120と攻撃対策装置130とは、ネットワーク101を介して相互に接続される。攻撃対策装置130は、ネットワーク101および路側器120を介して、車載セキュリティ装置111と通信する。なお、車載セキュリティ装置111と攻撃対策装置130とは、ネットワーク101および路側器120を介することなく、例えば一般通信網を介して、通信してもよい。
【0017】
なお、図1では、車両セキュリティシステム100に2台の車両110が含まれている例を示している。ただし、車両セキュリティシステム100に含まれる車両110の台数は、2台に限定されない。各車両110に搭載される車載セキュリティ装置111の動作は、同様である。そのため、以下の説明では、複数の車両110のうち1つを対象として、対象の車両110に搭載される車載セキュリティ装置111の動作を中心として説明する。
【0018】
図2は、車両110のハードウェア構成の一例を示す図である。
【0019】
車両110に搭載される車載セキュリティ装置111は、記憶装置210、CPU220、およびメモリ部230を備える。記憶装置210は、例えば、HDD、フラッシュメモリ等の補助記憶装置である。CPU220は、例えば、記憶装置210等に記憶された所定のプログラムを読み込んで実行することにより、車載セキュリティ装置111を制御する。メモリ部230は、CPU220がプログラムを実行する際に利用する主記憶装置である。
【0020】
CPU220は、ログ管理部221、初期設定部222、攻撃管理部223、攻撃検知部224、対策処理部225、および警告処理部226を機能的に備える。すなわち、車載セキュリティ装置111の機能(ログ管理部221等)は、CPU220が実行するプログラムによってソフトウェア的に実現される。なお、車載セキュリティ装置111の機能を、例えば、FPGAのような電子回路等によって実現してもよい。また、車載セキュリティ装置111の1つの機能は、複数の機能に分けられていてもよいし、複数の機能は、1つの機能にまとめられていてもよい。また、車載セキュリティ装置111の機能の一部は、別の機能として設けられてもよいし、他の機能に含められていてもよい。また、車載セキュリティ装置111の機能の一部は、車載セキュリティ装置111と通信可能な他のコンピュータにより実現されてもよい。
【0021】
また、車両110は、GW装置240と、制御系ネットワーク250に属する1以上の機器と、アシスト系ネットワーク260に属する1以上の機器と、情報系ネットワーク270に属する1以上の機器と、モバイルルータ280とを備える。
【0022】
各ネットワークにおいて、同じネットワーク内の各機器は、GW装置240を介さずに、直接にデータを通信できる。例えば、制御系ネットワーク250内では、車両110の走行制御のための通信が行われる。アシスト系ネットワーク260内では、車両110のアシスト機能のための通信が行われる。車両110のアシスト機能とは、自動運転、運転支援等である。以下では、車両110の自動運転と車両110の運転支援とを区別しないときは、「アシスト機能」と記す。情報系ネットワーク270内では、車両110の運転手(ユーザ)に対するユーザインタフェースのための通信が行われる。一方、異なるネットワークの機器間では、GW装置240を介して通信される。
【0023】
制御系ネットワーク250には、ステアリングECU251、ブレーキECU252、およびエンジンECU253が接続されている。アシスト系ネットワーク260には、ADAS ECU261、ブレーキ制御ECU262、ステアリング制御ECU263、エンジン制御ECU264、カメラ265、GPSセンサ266、加速度センサ267、およびMPU(Map Processing Unit)268が接続されている。情報系ネットワーク270には、無線通信装置271、ユーザスイッチ272、表示装置273、およびナビゲーションシステム274が接続されている。
【0024】
なお、制御系ネットワーク250に接続されている各機器、アシスト系ネットワーク260に接続されている各機器、および情報系ネットワーク270に接続されている各機器は、GW装置240を介して車載セキュリティ装置111と接続されている。また、モバイルルータ280は、無線通信装置271を介して車載セキュリティ装置111と無線接続されている。
【0025】
ステアリングECU251は、車両110のユーザによるステアリング操作、または、ステアリング制御ECU263から送信されるステアリング制御命令に応じて、車両110の操舵機構を制御して車両110の進行方向を制御する。ブレーキECU252は、車両110のユーザによるブレーキ操作、または、ブレーキ制御ECU262から送信されるブレーキ制御命令に応じて、車両110のブレーキを制御して減速制御する。エンジンECU253は、車両110の走行状態、または、エンジン制御ECU264から送信されるエンジン制御命令に応じて、車両110のエンジンを制御して車両110の速度を制御する。これらの機器により、車両110の走行が制御される。
【0026】
ADAS ECU261は、車両110の内外の情報から車両110の加速、車両110の減速、車両110の停止等を判断し、判断した結果を用いて車両110のアシスト機能を実現する。ADAS ECU261は、カメラ265から取得した画像、GPSセンサ266から取得した車両110の位置、MPU268が保持する地図情報等を参照して、車両110の挙動を決定する。そして、ADAS ECU261は、ブレーキ制御ECU262、ステアリング制御ECU263、およびエンジン制御ECU264に対して、決定した車両110の挙動に応じた制御命令をそれぞれ出力するように指示する。
【0027】
ブレーキ制御ECU262は、ADAS ECU261の指示に応じて、ブレーキECU252に対してブレーキ強度を含むブレーキ制御命令を送信する。ステアリング制御ECU263は、ADAS ECU261の指示に応じて、ステアリングECU251に対してステアリングの操作角度を含むステアリング制御命令を送信する。エンジン制御ECU264は、ADAS ECU261の指示に応じて、エンジンECU253に対してエンジンの回転数を含むエンジン制御命令を送信する。カメラ265は、車両110の周囲を撮影した画像をADAS ECU261に出力する。GPSセンサ266は、衛星から信号を受信して車両110の位置を測位する。加速度センサ267は、車両110の前後方向の加速度および車両110の左右方向の加速度を検知する。MPU268は、車両110周辺の道路形状等の地図情報を保持する。当該地図情報は、ADAS ECU261がアシスト機能に用いる地図情報である。これらの機器により、車両110のアシスト機能が実行される。
【0028】
無線通信装置271は、車載セキュリティ装置111に接続されており、路側器120との間で、直接、またはモバイルルータ280を介して無線通信する。ユーザスイッチ272は、車両110のユーザによる所定の入力操作を検知する。車両110のユーザは、例えば、車両110のアシスト機能を、無効から有効に、または、有効から無効に、切り替える際に、ユーザスイッチ272を使用する。表示装置273は、液晶モニタ等であり、ユーザに対して種々の情報を表示する。例えば、車両110においてアシスト機能が有効になっている場合は、アシスト機能が有効であることを表示装置273に表示することで、ユーザが車両110の状態を把握できるようにする。ナビゲーションシステム274は、道路形状等の地図情報を保持しており、ユーザまたはADAS ECU261からの要求等に応じて、車両110周辺の地図情報を提供する。これらの機器により、車両110のユーザに対するユーザインタフェースが提供される。
【0029】
図3は、路側器120および攻撃対策装置130のハードウェア構成の一例を示す図である。路側器120と攻撃対策装置130とは、ネットワーク101を介して接続されている。
【0030】
路側器120は、無線送受信部310および路側器制御部320を備える。無線送受信部310は、車両110の情報と、攻撃対策装置130の情報とを送受信する。無線送受信部310は、無線信号を送受信することにより、車両110に搭載された車載セキュリティ装置111と通信する。路側器制御部320は、路側器120を制御する。路側器制御部320は、ネットワーク101に接続されていて、ネットワーク101を介して攻撃対策装置130と通信する。また、路側器制御部320は、無線送受信部310を制御して、攻撃対策装置130から受信した情報を車両110に送信したり、車両110から受信した情報を攻撃対策装置130に送信したりする。
【0031】
攻撃対策装置130は、記憶装置330、CPU340、およびメモリ部350を備える。記憶装置330は、例えば、フラッシュメモリ、HDDのような不揮発性の記憶装置を用いて構成されている。CPU340は、記憶装置330が保持する情報と、路側器120から受信した情報とを用いて、メモリ部350でプログラムを実行させることにより、例えば、車両110において検知された攻撃に対する対策を検討する。メモリ部350は、CPU340がプログラムを実行する際に利用する主記憶装置である。
【0032】
CPU340は、送受信情報処理部341、攻撃情報生成部342、および対策管理部343を機能的に備える。すなわち、攻撃対策装置130の機能(送受信情報処理部341等)は、CPU340が実行するプログラムによってソフトウェア的に実現される。なお、攻撃対策装置130の機能を、例えば、FPGAのような電子回路等によって実現してもよい。攻撃対策装置130の1つの機能は、複数の機能に分けられていてもよいし、複数の機能は、1つの機能にまとめられていてもよい。また、攻撃対策装置130の機能の一部は、別の機能として設けられてもよいし、他の機能に含められていてもよい。また、攻撃対策装置130の機能の一部は、攻撃対策装置130と通信可能な他のコンピュータにより実現されてもよい。
【0033】
図4は、車載セキュリティ装置111の機能構成の一例を示す図である。記憶装置210は、ログ情報記憶部410、車両構成情報記憶部420、攻撃情報記憶部430、および対策情報記憶部440を備える。なお、各記憶部は、データベースであってもよい。
【0034】
GW装置240は、各ネットワーク間で通信の中継を行う。例えば、GW装置240は、アシスト系ネットワーク260のブレーキ制御ECU262から制御系ネットワーク250のブレーキECU252に送信されるブレーキ制御指示を、これらのネットワーク間で転送する。同一ネットワーク内の機器間および異なるネットワークの機器間では、車両情報パケットにより通信が行われる。GW装置240は、各機器間で送受信される車両情報パケットを受信すると、その車両情報パケットに含まれる情報をログ情報411としてログ情報記憶部410に記憶(例えば、追記)する。すなわち、ログ情報記憶部410には、車両情報パケットに含まれる情報が時系列順にログ情報411として格納される。
【0035】
ログ管理部221は、所定のタイミングで、ログ情報記憶部410から、攻撃情報記憶部430に記憶されている攻撃情報431に関連するログ情報411を抽出し、抽出したログ情報411を攻撃対策装置130に送信したり、ログ情報記憶部410に保存したりする。ログ情報411が攻撃情報431に関連しているか否かは、例えば、ログ情報411のログ内容と攻撃情報431の検知内容とが一致するか否かで判定される。所定のタイミング、定期的、攻撃検知部224が攻撃を検知したとき、ログ情報記憶部410に割当てられた記憶装置210の記憶容量が予め規定された容量を超えたとき等である。
【0036】
初期設定部222は、無線通信装置271を用いて路側器120と通信し、路側器120を介して、車両構成情報421を攻撃対策装置130に送信する。攻撃管理部223は、攻撃対策装置130により送信された車両構成情報421に対応する攻撃情報431を受信する。攻撃管理部223は、受信した攻撃情報431を攻撃情報記憶部430に記憶する。なお、初期設定部222は、攻撃管理部223に含まれていてもよい。
【0037】
攻撃検知部224は、攻撃情報記憶部430に格納されている攻撃情報431と、ログ情報記憶部410に格納されているログ情報411とに基づいて、車両110が備える機器に対する攻撃を検知する。攻撃検知部224は、攻撃を検知した場合、無線通信装置271を用いて路側器120と通信し、検知した攻撃に関連する攻撃検知情報450およびインシデント情報460を、路側器120を介して攻撃対策装置130に送信する。攻撃検知情報450およびインシデント情報460には、攻撃を検知した場所、攻撃を受けた機器のソフトウェアのバージョン、攻撃の原因、攻撃の検知日時等が含まれる。また、攻撃検知部224は、攻撃を検知した場合、攻撃を検知した旨の通知を警告処理部226に出力する。警告処理部226は、表示装置273等を通じてユーザに警告を表示する。
【0038】
対策処理部225は、無線通信装置271を用いて路側器120と通信し、路側器120を介して攻撃対策装置130から、攻撃検知部224により検知された攻撃に対する対策の対策情報441を受信する。策処理部225は、受信した対策情報441を対策情報記憶部440に記憶する。対策情報441は、攻撃を受けた機器に対する対策を実施するための情報である。対策情報441には、例えば、攻撃を受けた機器で動作するソフトウェアのバックデート命令、設定ファイル等が含まれる。
【0039】
図5は、攻撃対策装置130の機能構成の一例を示す図である。記憶装置330は、ログ情報記憶部510、車載構成情報記憶部520、攻撃情報記憶部530、対策情報記憶部540、および脆弱性情報記憶部550を備える。なお、各記憶部は、データベースであってもよい。
【0040】
送受信情報処理部341は、路側器120から情報を受信したり、路側器120に情報を送信したりする。例えば、送受信情報処理部341は、車両110から送信されたログ情報411を、路側器120を介して受信する。送受信情報処理部341は、車両110から受信したログ情報411を、ログ情報記憶部510に記憶する。
【0041】
攻撃情報生成部342は、車両110が備える機器の構成、当該機器のソフトウェアのバージョン等の情報を含む車両構成情報421を受信すると、攻撃情報記憶部530から、車両110に応じた機器の構成と当該機器のソフトウェアのバージョンとに対する攻撃情報431を取り出し、送受信情報処理部341を介して車両110に送信する。
【0042】
対策管理部343は、受信した攻撃検知情報450に基づいて、対策情報記憶部540から、攻撃検知部224により検知された攻撃に対応する対策情報441を取得し、取得した対策情報441を、送受信情報処理部341を介して車両110に送信する。また、対策管理部343は、車載構成情報記憶部520の車載構成情報を取り出し、脆弱性情報記憶部550から車載構成情報に対する脆弱性情報を取り出す。対策管理部343は、当該脆弱性情報に一致する攻撃をログ情報記憶部510から検索し、見つけた場合、脆弱性情報を防ぐ対策情報441を生成し、対策情報記憶部540に記憶する。対策管理部343は、送受信情報処理部341を介して、生成した対策情報441を車両110に送信してもよい。なお、脆弱性情報については、CVE(Common Vulnerabilities and Exposures)、CWE(Common Weakness Enumeration)といった一般的に普及している情報を利用してもよく、脆弱性情報記憶部550については、図示および説明を省略する。
【0043】
次に、図6A図6B、および図6Cを用いて、攻撃を示す攻撃情報431について説明する。以下では、1つの攻撃は、当該攻撃を構成する段階(攻撃段階)における攻撃(攻撃シナリオ要素)を組合わせた攻撃シナリオとして説明する。図6Cに、攻撃情報431の一例である攻撃シナリオ600を示す。攻撃シナリオ600は、最初の攻撃段階から最後の攻撃段階に至るまでの攻撃シナリオ要素が発生する順序を記した情報を含む。なお、最後の攻撃段階の攻撃シナリオ要素を「インシデント」と記すことがある。
【0044】
図6Aは、攻撃シナリオ600の攻撃段階(階層)を示す図である。図6Bは、無線通信装置271における7個の脆弱性同士の関連性を示す図である。図6Cは、攻撃シナリオ600の詳細を示す図である。なお、脆弱性とは、攻撃を受ける可能性のある、ソフトウェア、ハードウェア等の瑕疵である。
【0045】
攻撃シナリオ600は、攻撃段階601、脆弱性ID602、攻撃手法603、検知場所604、および検知内容605の各情報を含む。
【0046】
攻撃段階601は、車両110に対する攻撃の段階を示す。例えば、図6Aでは、4つの攻撃段階を示している。攻撃準備、攻撃、インストール、遠隔操作の各攻撃段階を規定しており、4つ目の攻撃段階の遠隔操作の攻撃が成功すると、車両110が操作されて、ユーザへの影響が顕在化することを示している。この攻撃シナリオ600においては、攻撃段階が進むにつれて攻撃の危険性があがることが示されており、各攻撃段階の攻撃手法が実行されて成功すると、次の攻撃段階に進んでていく。
【0047】
脆弱性ID602は、既に顕在化している攻撃対象の脆弱性を一意に特定可能な番号を示す。例えば、ソフトウェアのバージョン等のすでにある条件化で、攻撃に対して影響あるソフトウェアが発見されており、その脆弱性が突き止められている事例に番号をつけたものである。図6Cでは、例えば、アクセス制限不備の脆弱性について脆弱性ID「CWE-284」が一意に特定可能な番号として設定されている。
【0048】
攻撃手法603は、脆弱性ID602の脆弱性に対して攻撃する手法を示す。例えば、アクセス制限不備の脆弱性に対しては無線通信装置271の番号にSMSメッセージを送信する攻撃手法が既に発見されている。検知場所604は、脆弱性ID602の脆弱性に対して攻撃を検知する場所を示す。例えば、脆弱性ID602「CWE-284」のアクセス制限不備の攻撃を検知する場所は、無線通信装置271であることを示す。検知内容605は、脆弱性ID602の脆弱性に対して攻撃を検知する方法を示す。例えば、脆弱性ID602「CWE-284」のアクセス制限不備の攻撃は、事前登録リスト以外の電話番号からのアクセスにより検知できる。
【0049】
以下では、無線通信装置271に存在する7個の脆弱性のうち4個の脆弱性を使用した攻撃を例に挙げて説明する。より具体的には、無線通信装置271が無線通信を利用して受信したSMSメッセージにより無線通信装置271の設定ファイルが書き換えられることで、不正なサーバ装置からのソフトウェア更新を無線通信装置271において実施され、その結果、無線通信装置271が悪意のある第三者から遠隔で不正に制御された場合の例を示している。この例では、1つの攻撃シナリオ600を攻撃シナリオ要素A1~攻撃シナリオ要素A4に分け、それぞれの攻撃段階での脆弱性を利用して攻撃シナリオ600に示される攻撃が実現されるケースを示している。
【0050】
図6Aに示すように、攻撃シナリオ要素A1は、攻撃の準備段階に相当する。攻撃の準備段階では、悪意のある第三者は、SMSメッセージによる脆弱性の存在を把握すると、該当する脆弱性を有する車両110を探すために、ランダムな電話番号に向けてSMSメッセージを発信する。このとき、車載セキュリティ装置111は、事前に設定された番号リストと異なる電話番号からの発信を無線通信装置271が受信したことを検知することで、無線通信装置271に対するアクセスポリシー違反としての攻撃を検知する。
【0051】
攻撃シナリオ要素A2は、攻撃の開始段階に相当する。攻撃の開始段階では、無線通信装置271の脆弱性を確認した攻撃者が、SMSメッセージにより無線通信装置271に対して不正プログラムを送信し、攻撃を開始する。無線通信装置271が不正プログラムを受信し、無線通信装置271の設定が変更されると、規定のサーバ装置からの規定のプログラムのみダウンロードを許可する設定となっているアクセス制御が解除される。このとき、車載セキュリティ装置111は、無線通信装置271において許可なくアクセス制御を実施している設定ファイルの更新が行われたことを検知することで、無線通信装置271に対するセキュリティポリシー違反としての攻撃を検知する。
【0052】
攻撃シナリオ要素A3は、攻撃のインストール段階に相当する。攻撃のインストール段階では、攻撃者が無線通信装置271に不正なサーバ装置からのファイルをダウンロードさせる。このとき、車載セキュリティ装置111は、無線通信装置271におけるプログラムのインストール権限の変更、不正インストールの検知、不正なサーバ装置へのアクセス等が行われたことを検知することで、無線通信装置271に対するセキュリティポリシー違反としての攻撃を検知する。
【0053】
攻撃シナリオ要素A4は、攻撃の遠隔操作段階に相当する。攻撃の遠隔操作段階では、攻撃者が無線通信装置271に不正なサーバ装置からダウンロードしたファイルを実行させることで、無線通信装置271からGW装置240に向けて不正な通信を実施させる。このとき、車載セキュリティ装置111は、無線通信装置271からGW装置240への不正制御命令の送信、不正なタイミングでのアクセスが行われたことを検知することで、無線通信装置271に対するアクセスポリシー違反としての攻撃を検知する。
【0054】
ここで、攻撃シナリオ600で利用される脆弱性には相互に因果関係があり、ある攻撃シナリオ要素を実現するためには、前段の攻撃シナリオ要素が実現済みである必要がある。そのため、車両セキュリティシステム100では、車載セキュリティ装置111において、相互に関連し合う脆弱性を階層的に示した様々な攻撃シナリオ600を記憶した攻撃情報記憶部430を備えている。例えば、車載セキュリティ装置111の対策処理部225は、攻撃検知部224により攻撃が検知されると、攻撃情報記憶部430に基づいて検知した攻撃に関連する脆弱性を特定し、その脆弱性を有する機器に対して暫定対処を行う。これにより、車両110で発生した攻撃に対して、適切な機器への暫定対処を速やかに実施できるようにしている。
【0055】
なお、図6Cに示す攻撃シナリオ600は、一例であり、他にも様々な攻撃を車載セキュリティ装置111において検知可能である。また、攻撃シナリオ600は、車両110に搭載された機器毎に用意されてもよい。
【0056】
図7は、ログ情報記憶部410の一例(ログ情報テーブル700)を示す図である。なお、ログ情報記憶部510については、ログ情報記憶部410と同じデータ構成であるので、図示および説明を省略する。
【0057】
ログ情報テーブル700は、ログ情報番号701、日時702、機器種別703、およびログ内容704の各情報を記憶する。ログ情報番号701は、ログ情報411を一意に特定可能な番号を示す。日時702は、ログ情報411が取得された日時を示す。機器種別703は、ログ情報411の生成に用いられた車両情報パケットを送信した機器の種別を示す。ログ内容704は、ログ情報411の内容を示す。
【0058】
図8は、車両構成情報記憶部420の一例(車両構成情報テーブル800)を示す図である。車両構成情報テーブル800は、車種ID801、車両ID802、機器種別803、NWドメイン804、およびソフトウェアバージョン805の各情報を記憶する。車種ID801は、車両110の車種を識別可能な情報を示す。車両ID802は、車両110を識別可能な情報を示す。機器種別803は、車両110に搭載されている機器の種別を示す。NWドメイン804は、車両110に搭載されている機器が接続されているネットワークを示す。ソフトウェアバージョン805は、車両110に搭載されている機器のソフトウェアのバージョンを示す。
【0059】
図9は、攻撃情報記憶部430の一例(攻撃シナリオテーブル900)を示す図である。攻撃シナリオテーブル900では、攻撃シナリオ600を構成する攻撃シナリオ要素ごとに、図9に示す情報が記憶されている。なお、攻撃情報記憶部530については、攻撃情報記憶部430と同じデータ構成であるので、図示および説明を省略する。
【0060】
攻撃シナリオテーブル900は、攻撃シナリオ番号901、攻撃シナリオ要素番号902、攻撃段階903、脆弱性ID904、攻撃手法905、検知場所906、検知内容907、および関連ソフトウェア情報908の各情報を記憶する。攻撃シナリオ番号901は、攻撃シナリオ600を一意に特定可能な番号を示す。攻撃シナリオ要素番号902は、攻撃段階903、脆弱性ID904、攻撃手法905、検知場所906、検知内容907等を含む攻撃(攻撃シナリオ要素)を一意に特定可能な番号を示す。
【0061】
攻撃段階903は、最初の攻撃段階から最後の攻撃段階までの攻撃段階のうち攻撃が進んでいる段階を示す。脆弱性ID904は、攻撃対象の脆弱性を一意に特定可能な番号を示す。攻撃手法905は、脆弱性を攻撃する際の攻撃手法を示す。検知場所906は、攻撃が検知できる場所を示す。検知内容907は、ログ情報411のうち攻撃を検知できる内容を示す。関連ソフトウェア情報908は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。関連ソフトウェア情報908は、製品種別、ベンダ名、製品名、バージョン、アップデートの有無、エディション、言語等の情報を含んでいる。関連ソフトウェア情報908は、ソフトウェアを特定できればよく、CPE(Common Platform Enumeration)等を用いてもよい。
【0062】
図10は、対策情報記憶部440の一例(対策情報テーブル1000)を示す図である。なお、対策情報記憶部540については、対策情報記憶部440と同じデータ構成であるので、図示および説明を省略する。
【0063】
対策情報テーブル1000は、対策情報ID1001、脆弱性ID1002、攻撃手法1003、関連ソフトウェア情報1004、および対策1005の各情報を記憶する。対策情報ID1001は、対策情報441を一意に特定可能な番号を示す。脆弱性ID1002は、攻撃対象の脆弱性を一意に特定可能な番号を示す。攻撃手法1003は、脆弱性を攻撃する際の攻撃手法を示す。関連ソフトウェア情報1004は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。対策1005は、攻撃手法への対策を示す。対策1005には、攻撃手法を防止する対策、検知する手法がない、資産等に影響がない等の場合は、攻撃を許容し、あえて攻撃に対処しない対策等が含まれてもよい。
【0064】
図11は、攻撃検知情報450の一例(攻撃検知情報テーブル1100)を示す図である。車載セキュリティ装置111は、ログ情報411から、最後の攻撃段階だけでなく、全ての攻撃段階を対象として攻撃を検知し、当該攻撃に関連する情報を収集した情報を攻撃検知情報450とする。攻撃対策装置130に攻撃検知情報450が通知された場合、攻撃対策装置130は、検知された攻撃シナリオ要素に該当する脆弱性に対して対策を検討する。
【0065】
攻撃検知情報テーブル1100は、攻撃検知情報ID1101、判定日時1102、インシデント判定結果1103、関連攻撃シナリオ番号1104、一致攻撃シナリオ要素番号1105、脆弱性ID1106、ログ情報番号1107、および関連ソフトウェア情報1108の各情報を記憶する。
【0066】
攻撃検知情報ID1101は、攻撃検知情報450を一意に特定可能な番号を示す。判定日時1102は、インシデントの判定が実施された日時を示す。インシデント判定結果1103は、インシデントが発生したか否かの判定結果を示す。インシデント判定結果1103には、インシデントが発生したと判定されたときは、「○」が設定され、それ以外は「×」が設定されている。
【0067】
関連攻撃シナリオ番号1104は、一致した攻撃シナリオ要素IDで構成される攻撃シナリオ600の攻撃シナリオ番号を示す。一致攻撃シナリオ要素番号1105は、ログ情報411と攻撃シナリオ600との一致および不一致を判定する際に、ログ情報411のログ内容と、攻撃シナリオ600の攻撃シナリオ要素の検知内容とが一致する攻撃シナリオ要素の攻撃シナリオ要素番号を示す。脆弱性ID1106は、攻撃対象の脆弱性を一意に特定可能な番号を示す。ログ情報番号1107は、攻撃シナリオ要素の検知内容と一致したログ情報411を一意に特定可能な番号を示す。関連ソフトウェア情報1108は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。
【0068】
図12は、インシデント情報460の一例(インシデント情報テーブル1200)を示す図である。車載セキュリティ装置111は、ログ情報411から、インシデントつまり攻撃段階「4」の攻撃を検知した際に、当該攻撃に関連した情報を収集した情報をインシデント情報460とする。攻撃対策装置130にインシデント情報460が通知された場合、攻撃対策装置130は、対策を実施することができないと判定したとき、該当する車両110の使用を停止し、ログ情報411を分析することで新しい対策を検討することがある。なお、車載セキュリティ装置111は、ログ情報411に優先度を設定し、ログ情報411をログ情報記憶部410に保存する必要が生じたときに、インシデント情報460に含まれるログ情報番号のログ情報411を優先して記憶してもよい。
【0069】
インシデント情報テーブル1200は、判定日時1201、攻撃シナリオ番号1202、検知判定1203、攻撃シナリオ要素番号1204、攻撃段階1205、脆弱性ID1206、攻撃手法1207、検知場所1208、ログ情報番号1209、および関連ソフトウェア情報1210の各情報を記憶する。
【0070】
判定日時1201は、インシデントが判定された日時を示す。攻撃シナリオ番号1202は、インシデントに関連すると判定された攻撃シナリオ600の攻撃シナリオ番号を示す。検知判定1203は、インシデントに関連すると判定された攻撃シナリオ600をログ情報411と比較し、一致および不一致が判定された結果を示す。攻撃シナリオ要素番号1204は、攻撃段階1205、脆弱性ID1206、攻撃手法1207、検知場所1208等を含む攻撃を一意に特定可能な番号を示す。
【0071】
攻撃段階1205は、最初の攻撃段階から最後の攻撃段階までの攻撃段階のうち攻撃が進んでいる段階を示す。脆弱性ID1206は、攻撃対象の脆弱性を一意に特定可能な番号を示す。攻撃手法1207は、脆弱性を攻撃する際の攻撃手法を示す。検知場所1208は、攻撃シナリオ要素番号1204が示す攻撃が検知できる場所を示す。ログ情報番号1209は、攻撃シナリオ要素の検知内容と一致したログ情報411を一意に特定可能な番号を示す。関連ソフトウェア情報1210は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。
【0072】
図13は、車載構成情報記憶部520の一例(車載構成テーブル1300)を示す図である。
【0073】
車載構成テーブル1300は、車種ID1301、機器種別1302、NWドメイン1303、およびソフトウェアバージョン1304の各情報を記憶する。車種ID1301は、車両110の車種を識別可能な情報を示す。機器種別1302は、車両110に搭載されている機器の種別を示す。NWドメイン1303は、車両110に搭載されている機器が接続されているネットワークを示す。ソフトウェアバージョン1304は、車両110に搭載されている機器のソフトウェアのバージョンを示す。
【0074】
図14は、車載セキュリティ装置111のCPU220が実行する初期設定処理の一例を示す図である。初期設定処理は、CPU220において、車載セキュリティ装置111の起動時に実行される。
【0075】
S1401において、CPU220は、今回の起動時(現在)の車両構成情報421をGW装置240から取得する。なお、GW装置240は、車両110に搭載されている機器から情報を収集し、現在の車両構成情報421を取得している。
【0076】
S1402において、CPU220は、現在の車両構成情報421と、車両構成情報記憶部420に記憶している車両構成情報421(過去の車両構成情報421)とを比較し、現在の車両110の構成と過去の車両110の構成とに、変化があるか否かを判定する。CPU220は、車両110の構成に変化があると判定した場合、S1403に処理を移し、車両110の構成に変化がないと判定した場合、S1406に処理を移す。なお、車両110の構成とは、車両110に搭載されている機器のソフトウェア構成と、車両110に搭載されている機器のシステム構成との少なくとも1つの構成である。また、過去の車両構成情報421は、前回の起動時の車両構成情報421であったり、機器のソフトウェアの更新後の車両構成情報421であったりする。
【0077】
S1403において、CPU220は、現在の車両構成情報421を攻撃対策装置130に送信し、当該車両構成情報421に対応する攻撃シナリオ600を要求(攻撃シナリオ要求)する。
【0078】
S1404において、CPU220は、攻撃対策装置130から攻撃シナリオ600を受信したか否かを判定する。CPU220は、攻撃シナリオ600を受信したと判定した場合、攻撃シナリオ600を攻撃情報記憶部430に記憶し、S1406に処理を移す。CPU220は、攻撃シナリオ600を受信していないと判定した場合、S1405に処理を移す。
【0079】
S1405において、CPU220は、攻撃対策装置130から攻撃シナリオ600を受信するまで、規定回数、攻撃シナリオ要求を送信(リトライ)する。
【0080】
S1406において、CPU220は、車載セキュリティ装置111を起動し、初期設定処理を終了する。
【0081】
図15は、車両セキュリティシステム100において実行される一連の処理の一例を示す図である。まず、ログ情報411に係る処理について説明する。
【0082】
S1511において、GW装置240は、車両情報パケットからログ情報411を生成したとき、生成したログ情報411をログ情報記憶部410に記憶する。S1512において、GW装置240は、ログ情報411を車載セキュリティ装置111に送信する。
【0083】
S1521において、車載セキュリティ装置111は、GW装置240からログ情報411を受信する。S1522において、車載セキュリティ装置111は、ログ情報411に攻撃に係る優先度を設定する。例えば、車載セキュリティ装置111は、ログ情報411のログ内容が、攻撃情報記憶部430に記憶されている攻撃シナリオ600の検知内容に関連(例えば、一致)するか否かを判定する。車載セキュリティ装置111は、関連すると判定した場合、関連すると判定した攻撃シナリオ600の攻撃段階を優先度として設定する。車載セキュリティ装置111は、関連しないと判定した場合、優先度が最も低い値(例えば、「0」)を設定する。なお、優先度については、攻撃シナリオの攻撃段階の大きさ、攻撃場所の重要度といった、攻撃の進捗、攻撃の影響等を示す情報を適宜に採用できる。なお、優先度については、ログ情報411に含められて記憶されてもよいし、優先度と当該優先度が設定されたログ情報411のログ情報番号とが対応付けられて記憶装置210に記憶されてもよい。
【0084】
S1523において、車載セキュリティ装置111は、定期的に、優先度に基づいてログ情報411を攻撃対策装置130に送信する。例えば、車載セキュリティ装置111は、優先度が所定の値より大きい値が設定されているログ情報411を攻撃対策装置130に送信する。例えば、所定の値が「0」である場合、車載セキュリティ装置111は、攻撃に係るログ情報411をログ情報記憶部410から抽出して攻撃対策装置130に送信する。
【0085】
S1531において、攻撃対策装置130は、車載セキュリティ装置111から送信されたログ情報411をログ情報記憶部510に記憶する。
【0086】
次に、車両110に搭載されている機器への攻撃に係る処理について説明する。S1524において、車載セキュリティ装置111は、定期的に、攻撃検知処理を実行する。攻撃検知処理では、攻撃が検知された場合、攻撃検知情報450が攻撃対策装置130に送信され、インシデントが検知された場合、インシデント情報460が攻撃対策装置130に送信される。攻撃検知処理については、図16を用いて後述する。
【0087】
S1532において、攻撃対策装置130は、攻撃検知情報450およびインシデント情報460を受信する。S1533において、攻撃対策装置130は、攻撃対策処理を実行する。攻撃対策処理では、攻撃への対策が検討され、当該攻撃に対する対策情報441が車載セキュリティ装置111に送信される。攻撃対策処理については、図17を用いて後述する。
【0088】
S1525において、車載セキュリティ装置111は、攻撃対策装置130から対策情報441を受信し、対策情報441を対策情報記憶部440に記憶し、攻撃が検知された機器が対策情報441に基づく対策を実行するための対策指示を、GW装置240に送信する。
【0089】
S1513において、GW装置240は、車載セキュリティ装置111から受信した対策指示を、攻撃が検知された機器に送信する。当該機器は、車載セキュリティ装置111の対策指示に応じて、攻撃への対策を実施する。
【0090】
図16は、車載セキュリティ装置111のCPU220が定期的に実行する攻撃検知処理の一例を示す図である。
【0091】
S1601において、CPU220は、ログ情報記憶部410から、未処理のログ情報411を取得する。
【0092】
S1602において、CPU220は、攻撃情報記憶部430から攻撃シナリオ600を取得する。
【0093】
S1603において、CPU220は、S1602において取得した攻撃シナリオ600の全てについて処理を行ったか否かを判定する。CPU220は、S1602において取得した攻撃シナリオ600の全てについて処理を行ったと判定した場合、攻撃検知処理を終了し、S1602において取得した攻撃シナリオ600の一部について処理を行っていないと判定した場合、処理を行っていない一の攻撃シナリオ600を処理対象とし、S1604に処理を移す。
【0094】
S1604において、CPU220は、処理対象の攻撃シナリオ600に含まれる攻撃シナリオ要素の全てについて処理を行ったか否かを判定する。CPU220は、処理対象の攻撃シナリオ600に含まれる攻撃シナリオ要素の全てについて処理を行ったと判定した場合、S1603に処理を移し、処理対象の攻撃シナリオ600に含まれる攻撃シナリオ要素の一部について処理を行っていないと判定した場合、処理を行っていない一の攻撃シナリオ要素を処理対象とし、S1605に処理を移す。
【0095】
S1605において、CPU220は、S1601において取得したログ情報411のログ内容と、処理対象の攻撃シナリオ要素の検知内容とが一致するか否かを判定する。CPU220は、ログ情報411のログ内容と、処理対象の攻撃シナリオ要素の検知内容とが一致すると判定した場合、S1606に処理を移し、ログ情報411のログ内容と、処理対象の攻撃シナリオ要素の検知内容とが一致しないと判定した場合、S1604に処理を移す。
【0096】
S1606において、CPU220は、一致すると判定した、ログ情報411および処理対象の攻撃シナリオ600をもとに、攻撃検知情報450を生成する。
【0097】
S1607において、CPU220は、処理対象の攻撃シナリオ要素の攻撃段階が最後の攻撃段階(例えば、「4」)であるか否かを判定する。CPU220は、処理対象の攻撃シナリオ要素の攻撃段階が最後の攻撃段階であると判定した場合、S1608に処理を移し、処理対象の攻撃シナリオ要素の攻撃段階が最後の攻撃段階でないと判定した場合、S1604に処理を移す。
【0098】
S1608において、CPU220は、ログ情報411および処理対象の攻撃シナリオ600をもとに、インシデント情報460を生成し、S1604に処理を移す。この際、CPU220は、S1606において生成した攻撃検知情報450のインシデント判定結果に「〇」を設定する。
【0099】
図17は、攻撃対策装置130のCPU340が実行する攻撃対策処理の一例を示す図である。
【0100】
S1701において、CPU340は、車載セキュリティ装置111から受信した攻撃検知情報450を取得する。
【0101】
S1702において、CPU340は、対策情報記憶部540から対策情報441を取得する。
【0102】
S1703において、CPU340は、S1701において取得した攻撃検知情報450の全てについて処理を行ったか否かを判定する。CPU340は、S1701において取得した攻撃検知情報450の全てについて処理を行ったと判定した場合、攻撃対策処理を終了し、S1701において取得した攻撃検知情報450の一部について処理を行っていないと判定した場合、処理を行っていない一の攻撃検知情報450を処理対象とし、S1704に処理を移す。
【0103】
S1704において、CPU340は、処理対象の攻撃検知情報450に含まれる脆弱性の全てについて処理を行ったか否かを判定する。CPU340は、処理対象の攻撃検知情報450に含まれる脆弱性の全てについて処理を行ったと判定した場合、S1710に処理を移し、処理対象の攻撃検知情報450に含まれる脆弱性の一部について処理を行っていないと判定した場合、処理を行っていない一の脆弱性を処理対象とし、S1705に処理を移す。
【0104】
S1705において、CPU340は、S1702において取得した対策情報441から、処理対象の脆弱性の脆弱性IDに一致する対策情報441を抽出でき、かつ、抽出した対策情報441に対策が含まれているか否か(対策があるか否か)を判定する。CPU340は、対策があると判定した場合、S1706に処理を移し、対策がないと判定した場合、S1707に処理を移す。
【0105】
S1706において、CPU340は、S1705で抽出した対策情報441をメモリ部350に記憶し、S1704に処理を移す。
【0106】
S1707において、CPU340は、処理対象の脆弱性への攻撃が最後の攻撃段階であるか否か(インシデントであるか否か)を判定する。CPU340は、インシデントであると判定した場合、S1708に処理を移し、インシデントでないと判定した場合、S1709に処理を移す。
【0107】
S1708において、CPU340は、車両110の使用を停止する対策情報441を車載セキュリティ装置111に送信し、新しい対策情報441を検討し、攻撃対策処理を終了する。例えば、CPU340は、ログ情報411および脆弱性情報記憶部550をもとに未知の脆弱性に対する分析を実施し、未知の脆弱性の対策を検討し、未知の脆弱性を修正するパッチ、攻撃を軽減する方法が含まれる対策情報441を生成する。パッチには、当該機器で動作するソフトウェアのバックデート命令、設定ファイル、更新ソフトウェア等が含まれる。そして、CPU340は、得られた検討結果に基づいて、攻撃情報記憶部530、対策情報記憶部540、および脆弱性情報記憶部550をそれぞれ更新する。
【0108】
S1709において、CPU340は、処理対象の脆弱性を許容し、すなわち、最後の攻撃段階の攻撃ではないため、資産に影響がないと判断し、処理対象の脆弱性への攻撃について対策を実施しないことを示す対策情報441をメモリ部350に記憶し、S1704に処理を移す。
【0109】
S1710において、CPU340は、メモリ部350に記憶した対策情報441を車載セキュリティ装置111に送信し、S1703に処理を移す。なお、対策情報441を車載セキュリティ装置111に送信するタイミングは、上述したタイミングに限らない。例えば、CPU340は、S1706およびS1709のそれぞれにおいて対策情報441を車載セキュリティ装置111に送信してもよいし、S1703の判定においてNOである場合に、対策情報441を車載セキュリティ装置111に送信してもよい。
【0110】
図18は、車載セキュリティ装置111のCPU220が実行するログ情報管理処理の一例を示す図である。ログ情報管理処理は、CPU220において、所定のタイミングで実行される。所定のタイミングについては、定期的でもよいし、攻撃検知部224がインシデントを検知したときでもよいし、ログ情報記憶部410に割当てられた記憶装置210の記憶容量が予め規定された容量を超えたときでもよい。
【0111】
S1801において、CPU220は、記憶装置210の空き容量が規定値より大きいか否かを判定する。CPU220は、記憶装置210の空き容量が規定値より大きいと判定した場合、ログ情報管理処理を終了し、記憶装置210の空き容量が規定値以下であると判定した場合、S1802に処理を移す。
【0112】
S1802において、CPU220は、ログ情報記憶部410に記憶されているログ情報411のうち、優先度が最も低いログ情報411を消去し、S1801に処理を移す。
【0113】
上記の各構成、機能等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈して実行することにより、ソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記録装置、または、IC(Integrated Circuit)カード、メモリカード、DVD等の記録媒体に記録しておくことができる。
【0114】
(2)付記
上述の実施の形態には、例えば、以下のような内容が含まれる。
【0115】
上述の実施の形態においては、本発明を車両セキュリティシステムに適用するようにした場合について述べたが、本発明はこれに限らず、この他種々のシステム、装置、方法、プログラムに広く適用することができる。
【0116】
また、上述の実施の形態においては、車載セキュリティ装置111は、ログ情報記憶部410に記憶されているログ情報411を定期的に読み出し、攻撃対策装置130に送信する場合について述べたが、本発明はこれに限らない。例えば、車載セキュリティ装置111は、ログ情報411を生成した際に、ログ情報411に優先度を設定し、優先度に基づいてログ情報411を攻撃対策装置130に送信するようにしてもよい。また、例えば、車載セキュリティ装置111は、ログ情報411を生成した際に、インシデントが発生したか否かを判定し、インシデントが発生したと判定したとき、インシデントに係るログ情報411を攻撃対策装置130に送信するようにしてもよい。
【0117】
また、上述の実施の形態においては、車載セキュリティ装置111は、ログ情報411が発生するたびに優先度を設定する場合(リアルタイムに設定する場合)を例に挙げて述べたが、本発明はこれに限らない。例えば、車載セキュリティ装置111は、リアルタイムとは異なる他のタイミングでログ情報411に優先度を設定してもよい。他のタイミングとは、定期的であってもよいし、指定された時間であってもよいし、優先度が設定されていないログ情報411の件数が閾値を超えたときであってもよいし、その他のタイミングでもよい。
【0118】
また、上述の実施の形態においては、車載セキュリティ装置111は、起動時に、攻撃シナリオ600を攻撃対策装置130から取得する場合について述べたが、本発明はこれに限らない。車載セキュリティ装置111は、車両110に搭載されている機器の構成の変更時に、攻撃シナリオ600を攻撃対策装置130から取得するようにしてもよい。
【0119】
また、上述の実施の形態においては、攻撃対策装置130は、攻撃シナリオ要求に応じて攻撃シナリオ600を車載セキュリティ装置111に送信する場合について述べたが、本発明はこれに限らない。例えば、攻撃対策装置130は、定期的に、車載セキュリティ装置111から車両構成情報421を取得し、車両構成情報421に対応する攻撃シナリオ600を攻撃情報記憶部530から読み出して、車載セキュリティ装置111に送信するようにしてもよい。
【0120】
また、上述の実施の形態においては、GW装置240がログ情報411をログ情報記憶部410に記憶する場合について述べたが、本発明はこれに限らない。例えば、車載セキュリティ装置111がログ情報411をログ情報記憶部410に記憶するようにしてもよい。この場合、車載セキュリティ装置111は、ログ情報411に優先度を設定し、優先度が閾値より高いログ情報411をログ情報記憶部410に記憶してもよい。また、例えば、車載セキュリティ装置111は、攻撃に係るログ情報411をログ情報記憶部410に記憶するようにしてもよいし、インシデントに係るログ情報411をログ情報記憶部410に記憶するようにしてもよいし、攻撃段階が進んでいる攻撃に係るログ情報411をログ情報記憶部410に記憶するようにしてもよい。
【0121】
また、上述の実施の形態において、各テーブルの構成は一例であり、1つのテーブルは、2以上のテーブルに分割されてもよいし、2以上のテーブルの全部または一部が1つのテーブルであってもよい。
【0122】
上述した実施の形態は、例えば、以下の特徴的な構成を有する。なお、実施の形態に示した構成については、本発明の要旨を超えない範囲において、適宜に、変更したり、組み替えたり、組み合わせたり、省略したりしてもよい。
【0123】
所定の機器(例えば、GW装置240と、制御系ネットワーク250に属する機器と、アシスト系ネットワーク260に属する機器と、情報系ネットワーク270に属する機器と、モバイルルータ280との少なくとも1つ)を備えた車両(例えば、車両110)に搭載される車載セキュリティ装置(例えば、車載セキュリティ装置111)は、上記機器に対する攻撃を示す攻撃情報(例えば、攻撃情報431、攻撃シナリオ600)を記憶する攻撃情報記憶部(例えば、攻撃情報記憶部430、車載セキュリティ装置111と通信可能なコンピュータ)と、上記機器についてのログ情報(例えば、ログ情報411)を記憶するログ情報記憶部(例えば、ログ情報記憶部410、車載セキュリティ装置111と通信可能なコンピュータ)と、上記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を上記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、上記機器に対する攻撃への対策を提供するための攻撃対策装置(例えば、攻撃対策装置130)に送信するログ管理部(例えば、ログ管理部221、CPU220、回路、車載セキュリティ装置111と通信可能なコンピュータ)と、を備える。
上記構成では、車両が備える機器に対する攻撃に係るログ情報が抽出されて攻撃対策装置に送信されるので、例えば、ログ情報の送信に必要となる車両におけるコンピュータのリソースの負荷を低減することができる。
【0124】
上記ログ管理部は、上記機器についてのログ情報に、上記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し(例えば、S1522参照)、上記ログ情報記憶部に記憶されているログ情報から、上記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を、上記ログ情報に設定した優先度に基づいて抽出し、抽出したログ情報を、上記攻撃対策装置に送信する(例えば、S1523参照)。
上記構成では、優先度に基づいてログ情報が抽出されるので、例えば、優先度が閾値より高いログ情報を抽出することで、ログ情報の送信に必要となる車両におけるコンピュータのリソースの負荷を更に低減することができる。
【0125】
上記ログ管理部は、上記機器についてのログ情報に、上記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し(例えば、S1522参照)、上記ログ情報記憶部に記憶されているログ情報を上記ログ情報に設定した優先度に基づいて消去する(例えば、S1802参照)。
上記構成では、優先度に基づいてログ情報が消去されるので、例えば、優先度が閾値より低いログ情報を消去することで、ログ情報の記憶に必要となる記憶装置の記憶容量を低減することができる。
【0126】
上記攻撃対策装置は、既知の複数の攻撃の各々について攻撃情報を記憶し、上記車載セキュリティ装置は、上記機器の構成が第1の構成(例えば、前回の起動時の車両110の構成、過去の車両110の構成)から上記第1の構成とは異なる第2の構成(例えば、今回の起動時の車両110の構成、現在の車両110の構成)に変更されているか否かを判定し、上記第1の構成から上記第2の構成に変更されていると判定した場合、上記第2の構成に対応する攻撃情報を上記攻撃対策装置から取得して上記攻撃情報記憶部に記憶する攻撃管理部(例えば、初期設定部222および攻撃管理部223)を備える。
上記構成では、車両の機器の構成が変更された場合に、変更された構成に対応する攻撃情報が攻撃対策装置から取得されて攻撃情報記憶部に記憶されるので、例えば、ログ管理部は、車両の機器の構成に応じたログ情報を抽出できる。
【0127】
上記車載セキュリティ装置と、上記攻撃対策装置と、を含む車両セキュリティシステム(例えば、車両セキュリティシステム100)において、上記車載セキュリティ装置が、上記機器についてのログ情報と上記攻撃情報記憶部に記憶されている攻撃情報とから上記機器に対する攻撃を検知したことに基づいて、上記攻撃への対策内容を含む対策情報を上記攻撃対策装置に要求するための攻撃検知情報(例えば、攻撃検知情報450)を、上記攻撃対策装置に送信する攻撃検知部(例えば、攻撃検知部224、CPU220、回路、車載セキュリティ装置111と通信可能なコンピュータ)と、上記攻撃対策装置から送信される、上記攻撃検知部により攻撃が検知された機器への対策内容を含む対策情報を受信し、受信した対策情報に基づいて、上記機器への対策を実施する対策処理部(例えば、対策処理部225、CPU220、回路、車載セキュリティ装置111と通信可能なコンピュータ)と、を備え、上記攻撃対策装置は、既知の複数の攻撃の各々について対策情報を記憶する対策情報記憶部(例えば、対策情報記憶部540、攻撃対策装置130と通信可能なコンピュータ)と、上記攻撃検知部により送信された攻撃検知情報に基づいて、上記攻撃検知部により検知された攻撃に対応する対策情報を上記対策情報記憶部に記憶されている対策情報から取得し、取得した対策情報を上記対策処理部に送信する対策管理部(例えば、対策管理部343、CPU340、回路、攻撃対策装置130と通信可能なコンピュータ)と、を備える。
上記構成では、車両の機器に対する攻撃が検知されたとき、当該攻撃への対策内容を含む対策情報が攻撃対策装置から取得されて、当該攻撃が検知された機器への対策が実施されるので、例えば、車両のセキュリティを確保することができる。
【0128】
上記攻撃検知部により検知された攻撃に対応する対策情報が上記対策情報記憶部に記憶されている対策情報に含まれていない場合、上記対策管理部は、上記攻撃の攻撃段階が最後の攻撃段階であるときは、上記車両を停止する対策情報を上記対策処理部に送信し(例えば、S1708参照)、上記攻撃の攻撃段階が最後の攻撃段階でないときは、上記攻撃への対策を実施しないことを示す対策情報を上記対策処理部に送信する(例えば、S1709、S1710)。
上記構成では、検知された攻撃に対応する対策情報がない場合、攻撃の攻撃段階が最後の攻撃段階であるか否かによって対策を異ならせることで、車両のセキュリティを確保しつつ、ユーザの利便性の低下を抑制することができる。
【0129】
「A、B、およびCのうちの少なくとも1つ」という形式におけるリストに含まれる項目は、(A)、(B)、(C)、(AおよびB)、(AおよびC)、(BおよびC)または(A、B、およびC)を意味することができると理解されたい。同様に、「A、B、またはCのうちの少なくとも1つ」の形式においてリストされた項目は、(A)、(B)、(C)、(AおよびB)、(AおよびC)、(BおよびC)または(A、B、およびC)を意味することができる。
【符号の説明】
【0130】
100……車両セキュリティシステム、110……車両、111……車載セキュリティ装置、130……攻撃対策装置。
図1
図2
図3
図4
図5
図6A
図6B
図6C
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.