知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-24
(45)【発行日】2024-07-02
(54)【発明の名称】攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240625BHJP
【FI】
G06F21/55 340
【請求項の数】
18
(21)【出願番号】P 2021109246
(22)【出願日】2021-06-30
(65)【公開番号】P2023006572
(43)【公開日】2023-01-18
【審査請求日】2023-09-07
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】井本 礼一郎
(72)【発明者】
【氏名】江川 万寿三
【審査官】上島 拓也
(56)【参考文献】
【文献】特開2019-125344(JP,A)
【文献】国際公開第2021/084961(WO,A1)
【文献】特開2019-174426(JP,A)
【文献】特開2010-152773(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
電子制御システムを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得するセキュリティログ取得部(101)と、前記電子制御装置で発生した故障を示す故障情報を取得する故障情報取得部(102)と、
前記電子制御システムにおける予測攻撃経路と、前記セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)と、
前記予測テーブルを用いて、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部(104)であって、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択する予測攻撃経路候補選択部(107)と、
前記故障情報を用いて前記予測攻撃経路候補の確からしさを示す信頼度を求めるとともに、前記故障が発生した前記電子制御装置が経路に含まれる前記予測攻撃経路候補の信頼度を上げる処理を行う、信頼度算出部(108)と、を有する前記攻撃経路推定部と、
前記予測攻撃経路候補及び前記信頼度を前記攻撃経路として示す攻撃情報を出力する攻撃情報出力部(106)と、を有する、
攻撃分析装置(100、200)。
【請求項2】
電子制御システムを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得するセキュリティログ取得部(101)と、前記電子制御装置で発生した故障を示す故障情報を取得する故障情報取得部(102)と、
前記電子制御システムにおける予測攻撃経路と、前記セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)と、
前記予測テーブルを用いて、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部(104)であって、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択する予測攻撃経路候補選択部(107)と、
前記故障情報が示す前記故障の内容に応じて、前記故障が発生した前記電子制御装置が経路に含まれる前記予測攻撃経路候補の確からしさを示す信頼度を求める信頼度算出部(108)と、を有する前記攻撃経路推定部と、
前記予測攻撃経路候補及び前記信頼度を前記攻撃経路として示す攻撃情報を出力する攻撃情報出力部(106)と、を有する、
攻撃分析装置(100、200)。
【請求項3】
電子制御システムを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得するセキュリティログ取得部(101)と、前記電子制御装置で発生した故障を示す故障情報を取得する故障情報取得部(102)と、
前記電子制御システムにおける予測攻撃経路と、前記セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)と、
前記予測テーブルを用いて、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部(104)であって、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択する予測攻撃経路候補選択部(107)と、
前記予測攻撃経路候補のうち、前記故障が発生した前記電子制御装置が経路に含まれる予測攻撃経路候補にフラグを付与するフラグ付与部(201)と、を有する前記攻撃経路推定部と、
前記予測攻撃経路候補及び前記フラグを前記攻撃経路として示す攻撃情報を出力する攻撃情報出力部(106)と、を有する、
攻撃分析装置(200)。
【請求項4】
電子制御システムを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得するセキュリティログ取得部(101)と、前記電子制御装置で発生した故障を示す故障情報を取得する故障情報取得部(102)と、
前記電子制御システムにおける予測攻撃経路と、前記セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)と、
前記予測テーブルを用いて、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部(104)であって、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択する予測攻撃経路候補選択部(107)、を有する前記攻撃経路推定部と、
前記予測攻撃経路候補に含まれる電子制御装置に対して、前記故障情報を要求する要求信号を送信する要求信号送信部(105)と、
前記予測攻撃経路候補を前記攻撃経路として示す攻撃情報を出力する攻撃情報出力部(106)と、を有し、
前記故障情報取得部は、前記要求信号の送信先である前記電子制御装置から前記故障情報を取得する、
攻撃分析装置(100、200)。
【請求項5】
電子制御システムを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得するセキュリティログ取得部(101)と、前記電子制御装置で発生した故障を示す故障情報を取得する故障情報取得部(102)と、
前記電子制御システムにおける予測攻撃経路と、前記セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)と、
前記予測テーブルを用いて、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部(104)であって、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択する予測攻撃経路候補選択部(107)と、
前記異常検知信号と前記予測異常検知信号とを比較することにより、前記予測攻撃経路候補の確からしさを示す信頼度を求めるとともに、前記故障情報を用いて前記信頼度を補正する、信頼度算出部(108)と、を有する、前記攻撃経路推定部と、
前記予測攻撃経路候補及び前記信頼度を前記攻撃経路として示す攻撃情報を出力する攻撃情報出力部(106)と、を有する、
攻撃分析装置(100、200)。
【請求項6】
前記予測攻撃経路は、予測攻撃起点、予測攻撃対象、及び前記予測攻撃起点から前記予測攻撃対象の間に経由する電子制御装置で特定される、請求項1~5のいずれかに記載の攻撃分析装置。
【請求項7】
前記電子制御システム及び当該攻撃分析装置は、移動体に搭載されている、請求項1~6のいずれかに記載の攻撃分析装置。
【請求項8】
前記電子制御システムは、移動体に搭載されており、当該攻撃分析装置は、前記移動体の外部に設置されたサーバ装置である、
請求項1~6のいずれかに記載の攻撃分析装置。
【請求項9】
攻撃分析装置で実行される攻撃分析方法であって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析方法は、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記故障情報を用いて前記予測攻撃経路候補の確からしさを示す信頼度を求めるとともに、前記故障が発生した前記電子制御装置が経路に含まれる前記予測攻撃経路候補の信頼度を上げる処理を行い(S105)、
前記予測攻撃経路候補及び前記信頼度を攻撃経路として示す攻撃情報を出力する(S106)、
攻撃分析方法。
【請求項10】
攻撃分析装置で実行される攻撃分析方法であって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析方法は、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記故障情報が示す前記故障の内容に応じて、前記故障が発生した前記電子制御装置が経路に含まれる前記予測攻撃経路候補の確からしさを示す信頼度を求め(S105)、
前記予測攻撃経路候補及び前記信頼度を攻撃経路として示す攻撃情報を出力する(S106)、
攻撃分析方法。
【請求項11】
攻撃分析装置で実行される攻撃分析方法であって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析方法は、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記予測攻撃経路候補のうち、前記故障が発生した前記電子制御装置が経路に含まれる予測攻撃経路候補にフラグを付与し(S201)、
前記予測攻撃経路候補及び前記フラグを攻撃経路として示す攻撃情報を出力する(S106)、
攻撃分析方法。
【請求項12】
攻撃分析装置で実行される攻撃分析方法であって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析方法は、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記セキュリティログに含まれる前記異常検知信号及び故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部において、前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記予測攻撃経路候補に含まれる電子制御装置に対して、前記故障情報を要求する要求信号を送信し(S103)、
前記要求信号の送信先である前記電子制御装置から、前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記予測攻撃経路候補を攻撃経路として示す攻撃情報を出力する(S106)、
攻撃分析方法。
【請求項13】
攻撃分析装置で実行される攻撃分析方法であって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析方法は、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記異常検知信号と前記予測異常検知信号とを比較することにより、前記予測攻撃経路候補の確からしさを示す信頼度を求めるとともに、前記故障情報を用いて前記信頼度を補正し(S105)、
前記予測攻撃経路候補及び前記信頼度を攻撃経路として示す攻撃情報を出力する(S106)、
攻撃分析方法。
【請求項14】
攻撃分析装置で実行可能な攻撃分析プログラムであって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析プログラムは、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記故障情報を用いて前記予測攻撃経路候補の確からしさを示す信頼度を求めるとともに、前記故障が発生した前記電子制御装置が経路に含まれる前記予測攻撃経路候補の信頼度を上げる処理を行い(S105)、
前記予測攻撃経路候補及び前記信頼度を攻撃経路として示す攻撃情報を出力する(S106)、
処理を前記攻撃分析装置に実行させる攻撃分析プログラム。
【請求項15】
攻撃分析装置で実行可能な攻撃分析プログラムであって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析プログラムは、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記故障情報が示す前記故障の内容に応じて、前記故障が発生した前記電子制御装置が経路に含まれる前記予測攻撃経路候補の確からしさを示す信頼度を求め(S105)、
前記予測攻撃経路候補及び前記信頼度を攻撃経路として示す攻撃情報を出力する(S106)、
処理を前記攻撃分析装置に実行させる攻撃分析プログラム。
【請求項16】
攻撃分析装置で実行可能な攻撃分析プログラムであって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析プログラムは、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記予測テーブルを読み出し、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定し(S102、S105)、
前記予測攻撃経路候補のうち、前記故障が発生した前記電子制御装置が経路に含まれる予測攻撃経路候補にフラグを付与し(S201)、
前記予測攻撃経路候補及び前記フラグを攻撃経路として示す攻撃情報を出力する(S106)、
処理を前記攻撃分析装置に実行させる攻撃分析プログラム。
【請求項17】
攻撃分析装置で実行可能な攻撃分析プログラムであって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析プログラムは、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記セキュリティログに含まれる前記異常検知信号及び故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部において、前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記予測攻撃経路候補に含まれる電子制御装置に対して、前記故障情報を要求する要求信号を送信し(S103)、
前記要求信号の送信先である前記電子制御装置から、前記電子制御装置で発生した故障を示す前記故障情報を取得し(S104)、
前記予測攻撃経路候補を攻撃経路として示す攻撃情報を出力する(S106)、
処理を前記攻撃分析装置に実行させる攻撃分析プログラム。
【請求項18】
攻撃分析装置で実行可能な攻撃分析プログラムであって、前記攻撃分析装置は、電子制御システムにおける予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有し、当該攻撃分析プログラムは、
前記電子制御システムを構成する電子制御装置に搭載された前記セキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得し(S101)、
前記予測テーブルを用いて、前記異常検知信号と前記予測異常検知信号とを比較することにより前記予測攻撃経路から予測攻撃経路候補を選択し(S102)、
前記電子制御装置で発生した故障を示す故障情報を取得し(S104)、
前記異常検知信号と前記予測異常検知信号とを比較することにより、前記予測攻撃経路候補の確からしさを示す信頼度を求めるとともに、前記故障情報を用いて前記信頼度を補正し(S105)、
前記予測攻撃経路候補及び前記信頼度を攻撃経路として示す攻撃情報を出力する(S106)、
処理を前記攻撃分析装置に実行させる攻撃分析プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主に自動車をはじめとする移動体に搭載された電子制御システムに対する攻撃を分析する装置であって、攻撃分析装置、攻撃分析方法、及び攻撃分析プログラムに関する。
【背景技術】
【0002】
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。
【0003】
車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献1には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め特定された異常検出パターンとを照合して、異常に対応する攻撃の種類を特定することが記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2020-123307号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ここで、本発明者は、以下の課題を見出した。
車両に搭載される電子制御システムに対しサイバー攻撃を受けた場合、電子制御システムを構成するセキュリティセンサで生成されたセキュリティログに基づき、攻撃経路の推定を行うことができる。しかし、セキュリティログの情報だけを用いる場合、攻撃経路の推定の精度には限界がある。
車両に搭載される電子制御システムに対しサイバー攻撃を受けた場合、電子制御システムを構成するセキュリティセンサで生成されたセキュリティログに基づき、攻撃経路の推定を行うことができる。しかし、セキュリティログの情報だけを用いる場合、攻撃経路の推定の精度には限界がある。
【0006】
そこで、本発明は、電子制御システムに対するサイバー攻撃を受けた場合に、より高い精度で攻撃経路の推定を行う攻撃分析装置等を実現することを目的とする。
【課題を解決するための手段】
【0007】
本開示の攻撃分析装置(100)は、
電子制御システムを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得するセキュリティログ取得部(101)と、
前記電子制御装置で発生した故障を示す故障情報を取得する故障情報取得部(102)と、
前記電子制御システムにおける予測攻撃経路と、前記セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)と、
前記予測テーブルを用いて、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部(104)と、
前記攻撃経路を示す攻撃情報を出力する攻撃情報出力部(106)と、を有する。
電子制御システムを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得するセキュリティログ取得部(101)と、
前記電子制御装置で発生した故障を示す故障情報を取得する故障情報取得部(102)と、
前記電子制御システムにおける予測攻撃経路と、前記セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)と、
前記予測テーブルを用いて、前記セキュリティログに含まれる前記異常検知信号及び前記故障情報から、前記電子制御システムが受けた攻撃の攻撃経路を推定する攻撃経路推定部(104)と、
前記攻撃経路を示す攻撃情報を出力する攻撃情報出力部(106)と、を有する。
【0008】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0009】
上述のような構成により、本開示の攻撃分析装置は、電子制御システムに対するサイバー攻撃を受けた場合に、より高い精度で攻撃経路の推定を行うことが可能となる。
【図面の簡単な説明】
【0010】
【図1】実施形態1の攻撃分析装置の配置を説明する説明図
【図2】実施形態1の電子制御システムの構成例を説明するブロック図
【図3】実施形態1の攻撃分析装置の構成例を示すブロック図
【図4】実施形態1の攻撃分析装置の予測テーブル保存部に保存された予測テーブルを説明する説明図
【図5】実施形態1の実施例1における信頼度算出部の信頼度算出方法を説明する説明図
【図6】実施形態1の実施例1における信頼度算出部の信頼度算出方法を説明する説明図
【図7】実施形態1の攻撃分析装置の動作を示すフローチャート
【図8】実施形態2の攻撃分析装置の構成例を示すブロック図
【図9】実施形態2におけるフラグ付与部のフラグ付与方法を説明する説明図
【図10】実施形態2の攻撃分析装置の動作を示すフローチャート
【発明を実施するための形態】
【0011】
以下、本発明の実施形態について、図面を参照して説明する。
【0012】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0013】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0014】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0015】
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
【0016】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0017】
1.第1の実施形態
(1)攻撃分析装置100と電子制御システムSの配置
図1は、本実施形態の攻撃分析装置100の配置を説明する図である。攻撃分析装置100は、電子制御システムSに対するサイバー攻撃を検知し、電子制御システムSが受けたサイバー攻撃の攻撃経路を推定する。攻撃分析装置100は、電子制御システムSから必要な情報を取得することができる任意の配置をとりうる。
以下、サイバー攻撃を、攻撃と略して記載する。また、攻撃により影響を受ける電子制御システムS側からの視点に基づき、攻撃を異常と記載することがある。
(1)攻撃分析装置100と電子制御システムSの配置
図1は、本実施形態の攻撃分析装置100の配置を説明する図である。攻撃分析装置100は、電子制御システムSに対するサイバー攻撃を検知し、電子制御システムSが受けたサイバー攻撃の攻撃経路を推定する。攻撃分析装置100は、電子制御システムSから必要な情報を取得することができる任意の配置をとりうる。
以下、サイバー攻撃を、攻撃と略して記載する。また、攻撃により影響を受ける電子制御システムS側からの視点に基づき、攻撃を異常と記載することがある。
【0018】
例えば、図1(a)に示すように、電子制御システムS及び攻撃分析装置100が、「移動体」である車両に「搭載」される場合と、図1(b)に示すように、電子制御システムSは「移動体」である車両に「搭載」され、攻撃分析装置100は、車両の外部に設置されたサーバ装置で実現する場合と、が想定される。
【0019】
ここで、
「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
【0020】
図1(a)の場合、攻撃分析装置100と電子制御システムSとは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった車載ネットワークで接続されている。あるいは、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、有線無線を問わず任意の通信方式を用いて接続することができる。別の例として、電子制御システムSを構成する電子制御装置の少なくとも一つに攻撃分析装置100の機能を内蔵することもできる。
【0021】
図1(a)の場合、攻撃分析装置100は、電子制御システムSが攻撃を受けると遅滞なく、サイバー攻撃を分析することができ、ひいてはサイバー攻撃に対する対応を迅速に行うことが可能である。
【0022】
図1(b)の場合、攻撃分析装置100と電子制御システムSとは、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等の無線通信方式からなる通信手段を用いて接続することができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
【0023】
図1(b)の場合、サーバ装置は、車両に搭載された電子制御システムSが攻撃を受けると、無線通信ネットワークを介して、電子制御システムSを構成する電子制御装置に搭載されたセキュリティセンサで生成されたセキュリティログを車両から受信する。そのため、攻撃分析装置100が車両に搭載される場合と比較して、攻撃を分析し分析結果を車両にフィードバックするまでに時間を要する反面、車両側の処理負荷を軽減することが可能である。また、サーバ装置の豊富なリソースを用いることができるので、複雑かつ大量の演算を実行することが可能である。
【0024】
その他の配置として、以下の例が考えられる。
電子制御システムSが車両に搭載されず、静止体に搭載されていてもよい。
また、電子制御システムSと攻撃分析装置100が異なる車両に搭載され、直接又は基地局等を介して間接的に通信を行うようにしてもよい。
電子制御システムSが車両に搭載されず、静止体に搭載されていてもよい。
また、電子制御システムSと攻撃分析装置100が異なる車両に搭載され、直接又は基地局等を介して間接的に通信を行うようにしてもよい。
【0025】
(2)電子制御システムSの構成
(a)全体構成
図2は、電子制御システムSの構成例を説明する図である。電子制御システムSは、TCU11、IVI12、CGW13、ECU14、ECU15、ECU16、ECU17を有する。
(a)全体構成
図2は、電子制御システムSの構成例を説明する図である。電子制御システムSは、TCU11、IVI12、CGW13、ECU14、ECU15、ECU16、ECU17を有する。
【0026】
TCU11(Telematics Control Unit)は、通信機能を有する電子制御装置(ECU:Electric Control Unit)であり、外部の情報蓄積サーバやインターネットを介した通信を行うことにより、情報の送受信を行う。TCU11は電子制御システムSの外部と通信を行うことで、外部からの攻撃の入り口となりうることから、エントリーポイントと呼ばれる。
【0027】
IVI12(In-Vehicle Infotainment system)は、情報と娯楽を提供する機能を有するECUであるが、TCU11と同様通信機能を有し、外部の情報蓄積サーバやインターネットを介した通信を行うことにより、情報の送受信を行う。IVI12も電子制御システムSの外部と通信を行うので、外部からの攻撃の入り口となりうることから、エントリーポイントと呼ばれる。
【0028】
CGW13(Central GateWay)は、主にゲートウェイ(GW)機能を有する。例えば、TCU11やIVI12で受信した情報を、CANやLINをはじめとする車載ネットワークや、イーサネット(ETH)等の通信ネットワークを介して接続されたECU14~17に転送する。また、ECU14~17から送信された情報を、TCU11やIVI12に転送する。
CGW13には、ゲートウェイ機能以外の機能を搭載することもできる。
また、後述の攻撃分析装置100を、CGW13の機能として搭載することもできる。
CGW13には、ゲートウェイ機能以外の機能を搭載することもできる。
また、後述の攻撃分析装置100を、CGW13の機能として搭載することもできる。
【0029】
ECU14~17は、CGW13とネットワークを介して接続されるECUである。図2では、ECU14及びECU15はイーサネットを介して接続されている。ECU16及びECU17は車載ネットワークであるCANを介して接続されている。ECU14~ECU17は、車両の各機能を実現する任意のECUであるが、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が例として挙げられる。
【0030】
以下の説明では、上述のTCU11、IVI12、CGW13、ECU14、ECU15、ECU16、ECU17の固有の特徴に着目しない場合は、それぞれを各ECU、あるいは単にECUと呼ぶ。
【0031】
(b)多層防御と層
多くの電子制御システムSでは、攻撃に対するセキュリティ性を高めるために多層防御が採用されている。多層防御によれば、攻撃に対する対策としてセキュリティ機能を階層的・多層的に設けることで、攻撃を受けた場合に一の対策(すなわち、一層目)が突破されても、次の対策(すなわち、二層目)が攻撃を防御することができるため、電子制御システムの防御力を高めることができる。そのため、多層防御を採用した電子制御システムSでは、セキュリティレベルが異なる複数の層が存在することとなる。そこで、電子制御システムSをセキュリティレベルに応じて複数の層に分割し、各ECUをそれぞれいずれかの層に分類する。
多くの電子制御システムSでは、攻撃に対するセキュリティ性を高めるために多層防御が採用されている。多層防御によれば、攻撃に対する対策としてセキュリティ機能を階層的・多層的に設けることで、攻撃を受けた場合に一の対策(すなわち、一層目)が突破されても、次の対策(すなわち、二層目)が攻撃を防御することができるため、電子制御システムの防御力を高めることができる。そのため、多層防御を採用した電子制御システムSでは、セキュリティレベルが異なる複数の層が存在することとなる。そこで、電子制御システムSをセキュリティレベルに応じて複数の層に分割し、各ECUをそれぞれいずれかの層に分類する。
【0032】
図2に示す電子制御システムSは三層の防御層を有する。この例では、TCU11及びIVI12が第一層に属し、CGW13が第二層に属し、ECU14~17が第三層に属している。
TCU11及びIVI12は外部との通信機能を有するECUであり、これらのECUには車両外部から車両内部に入ってくるデータを監視するセキュリティ機能が搭載されている。このようなセキュリティ機能を有するECUによって監視される領域を第一層としている。
CGW13は、例えば、車両外部に接続されるECUへのネットワークと車両制御を行うECUへのネットワークとの間で通信されるデータを監視するセキュリティ機能が搭載された、ゲートウェイ機能を有するECUである。CGW13は、TCU11及びIVI12とは異なるセキュリティ対策を行うものであり、CGW13によって監視される領域は、TCU11及びIVI12によって防御される領域である第一層とは異なるセキュリティレベルを有する領域といえる。そこで、CGW13によって監視される領域を第二層としている。
ECU14~17は、CGW13のセキュリティ機能を通過したデータのみが通信され、第二層とは異なるセキュリティレベルを有する領域といえる。そこで、ECU14~17が属している領域を第三層としている。
TCU11及びIVI12は外部との通信機能を有するECUであり、これらのECUには車両外部から車両内部に入ってくるデータを監視するセキュリティ機能が搭載されている。このようなセキュリティ機能を有するECUによって監視される領域を第一層としている。
CGW13は、例えば、車両外部に接続されるECUへのネットワークと車両制御を行うECUへのネットワークとの間で通信されるデータを監視するセキュリティ機能が搭載された、ゲートウェイ機能を有するECUである。CGW13は、TCU11及びIVI12とは異なるセキュリティ対策を行うものであり、CGW13によって監視される領域は、TCU11及びIVI12によって防御される領域である第一層とは異なるセキュリティレベルを有する領域といえる。そこで、CGW13によって監視される領域を第二層としている。
ECU14~17は、CGW13のセキュリティ機能を通過したデータのみが通信され、第二層とは異なるセキュリティレベルを有する領域といえる。そこで、ECU14~17が属している領域を第三層としている。
【0033】
なお、図2の電子制御装置システムSは三層の防御層を有しているが、四層以上の防御層を設けてもよい。例えば、サブゲートウェイECUを介して接続されているECUを第四層としてもよい。
【0034】
また、本実施例で説明した階層はエントリーポイントを始点とした物理的な階層であるが、この全部または一部に代えて機能的な階層を用いてもよい。例えば、ECU間でマスタースレーブ関係が設定されている場合が挙げられる。
【0035】
(c)セキュリティセンサ
電子制御システムSを構成する各ECUには、ECU内部やECUが接続されたネットワークを監視する単数又は複数のセキュリティセンサが搭載される。セキュリティセンサがECU内部又はネットワークに発生した異常を検知すると、セキュリティログを生成・出力する。セキュリティログには、セキュリティセンサが異常を検知したことを示す異常検知信号が含まれる。
電子制御システムSを構成する各ECUには、ECU内部やECUが接続されたネットワークを監視する単数又は複数のセキュリティセンサが搭載される。セキュリティセンサがECU内部又はネットワークに発生した異常を検知すると、セキュリティログを生成・出力する。セキュリティログには、セキュリティセンサが異常を検知したことを示す異常検知信号が含まれる。
【0036】
セキュリティセンサの例としては、ファイアウォール、プロキシ、CAN-IDS、CANフィルタ、TLS、MAC検証、ファイルアクセス監視、セキュアブート、セキュアリプロ、CFI、サンドボックス、認証などが挙げられる。
【0037】
なお、セキュリティログには、異常検知信号の他、セキュリティセンサが検知した異常が発生した位置を示す異常位置情報、電子制御システムSを特定する識別情報、セキュリティセンサが搭載されたECUを特定する識別情報、異常を検知したセキュリティセンサの識別情報、異常を検知した時刻、異常を検知した回数、異常を検知した順番、異常の検知前に受信したデータの内容やIPアドレス(送信元及び送信先)の情報、等を含んでもよい。
【0038】
(d)故障診断装置
電子制御システムSを構成する各ECUにはさらに、各ECUで発生した故障を検知する故障診断装置が搭載される。上述したセキュリティセンサが、車や車載システムのセキュリティ性に着目して異常を検知するものであるのに対し、故障診断装置は、セキュリティ性によらずにECU自体及びECUに搭載されたソフトウェアに発生した不具合を検知するものである。そのため、セキュリティセンサは、セキュリティの観点では異常であると判断されない不具合を検知しない可能性があるが、故障診断装置はセキュリティソフトでは検知されなかった不具合も検知できることがある。
電子制御システムSを構成する各ECUにはさらに、各ECUで発生した故障を検知する故障診断装置が搭載される。上述したセキュリティセンサが、車や車載システムのセキュリティ性に着目して異常を検知するものであるのに対し、故障診断装置は、セキュリティ性によらずにECU自体及びECUに搭載されたソフトウェアに発生した不具合を検知するものである。そのため、セキュリティセンサは、セキュリティの観点では異常であると判断されない不具合を検知しない可能性があるが、故障診断装置はセキュリティソフトでは検知されなかった不具合も検知できることがある。
【0039】
故障診断装置は、例えば、車載診断装置(OBD:On-Board Diagnostics)である。OBDが故障を検知すると、検知した故障に応じてDTC(Diagnostic Trouble Code)と呼ばれる故障コードを記録する。OBDは例えば、予め設定された上限又は下限値を超えたデータ値が入出力されたこと、通信途絶が発生したこと、ECUのメモリ読出しが正常に行われなかったこと等を検知して、これらの故障に対応する故障コードを記録する。
【0040】
本実施形態では、各ECUは、後述する攻撃分析装置100から故障情報を要求する要求信号を受信すると、ECUで発生した故障を示す故障情報を攻撃分析装置100に送信する。もっとも、ECUは、故障診断装置がECUで発生した故障を検知すると直ちに、故障情報を攻撃分析装置100に送信してもよい。
【0041】
各ECUは、故障診断装置が記録した故障コードをそのまま故障情報として送信してもよく、あるいは故障が発生したことを示す情報を故障情報として送信してもよい。
【0042】
(3)攻撃分析装置100の構成
図3を参照して、本実施形態の攻撃分析装置100を説明する。攻撃分析装置100は、前述の電子制御システムSに対する攻撃を検知し、分析する装置である。攻撃分析装置100は、セキュリティログ取得部101、故障情報取得部102、予測テーブル保存部103、攻撃経路推定部104、要求信号送信部105、及び攻撃情報出力部106を有する。また、攻撃経路推定部104は、予測攻撃経路候補選択部107及び信頼度算出部108からなる。
図3を参照して、本実施形態の攻撃分析装置100を説明する。攻撃分析装置100は、前述の電子制御システムSに対する攻撃を検知し、分析する装置である。攻撃分析装置100は、セキュリティログ取得部101、故障情報取得部102、予測テーブル保存部103、攻撃経路推定部104、要求信号送信部105、及び攻撃情報出力部106を有する。また、攻撃経路推定部104は、予測攻撃経路候補選択部107及び信頼度算出部108からなる。
【0043】
攻撃分析装置100は、車両に設ける場合、電子制御システムSに車載ネットワークで接続して設けるようにしてもよい。あるいは、電子制御システムSの内部に設けるようにしてもよい。例えば、CGW13やTCU11の一機能として設けるようにしてもよい。
【0044】
攻撃分析装置100は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図3に記載の各機能ブロックの機能を発揮させるように構成することができる。
もちろん、攻撃分析装置100を、LSI等の専用のハードウェアで実現してもよい。
もちろん、攻撃分析装置100を、LSI等の専用のハードウェアで実現してもよい。
【0045】
攻撃分析装置100は、本実施形態では半完成品としての電子制御装置(ECU(Electric Control Unit)、以下ECUと略する。)の形態を想定しているが、これに限らない。例えば、部品の形態としては、半導体回路や半導体モジュール、半完成品の形態としては、電子制御装置、電子制御ユニット、システムボード、完成品の形態としては、サーバ、ワークステーション、パーソナルコンピュータ(PC)、タブレット、スマートフォン、携帯電話、ナビゲーションシステムが挙げられる。
なお、攻撃分析装置100は、単一のECUの他、複数のECUで構成されてもよい。
なお、攻撃分析装置100は、単一のECUの他、複数のECUで構成されてもよい。
【0046】
セキュリティログ取得部101は、電子制御システムSを構成するECUに搭載された「セキュリティセンサ」で生成されるとともにセキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得する。例えば、図1(a)の配置の場合は、電子制御システムSのTCU11、CGW13、又はECU14~17等に搭載されたセキュリティセンサが車載ネットワークに出力したセキュリティログを、車載ネットワークに接続されたセキュリティログ取得部101で受信することにより取得する。図1(b)の配置の場合は、電子制御システムSのTCU11、CGW13、又はECU14~17等に搭載されたセキュリティセンサが車載ネットワークに出力し、TCU11から無線通信を用いて送信されたセキュリティログを、インターネット等のネットワークに接続されたセキュリティログ取得部101で受信することにより取得する。
【0047】
ここで、「セキュリティセンサ」とは、電子制御システムを構成する電子制御装置(ECU)やネットワークを監視し、セキュリティイベント発生時にセキュリティログを出力する機能をいい、実現手段は問わない。
【0048】
故障情報取得部102は、電子制御システムSを構成するECUに搭載された故障診断装置が検知した「故障」を示す故障情報を取得する。例えば、図1(a)の配置の場合は、電子制御システムSのTCU11、CGW13、又はECU14~17等に搭載された故障診断装置が車載ネットワークに出力した故障情報を、車載ネットワークに接続された故障情報取得部102で受信することにより取得する。図1(b)の配置の場合は、電子制御システムSのTCU11、CGW13、又はECU14~17等に搭載された故障診断装置が車載ネットワークに出力し、TCU11から無線通信を用いて送信された故障情報を、インターネット等のネットワークに接続された故障情報取得部102で受信することにより取得する。
【0049】
ここで、「故障」とは、ハードウェアに発生した物理的な不具合はもちろん、ハードウェアに搭載されたソフトウェアに発生した不具合も含む。
【0050】
なお、セキュリティログ取得部101と故障情報取得部102は、1つの取得部で実現してもよい。
【0051】
予測テーブル保存部103は、電子制御システムSにおける予測攻撃起点、予測攻撃対象、及び予測攻撃起点から予測攻撃対象までの間に経由するECUである関連ECUで特定される予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存している。予測テーブルは、パターンマッチングテーブル、あるいはマッチングテーブルと呼ばれることもある。
【0052】
図4は、予測テーブルの一例を示す図である。図4の予測テーブルは、予測攻撃起点から予測攻撃対象に対する攻撃があった場合に、各ECUに搭載されたどのセキュリティセンサが異常を検知するかどうかを関係付けたものである。図4では、1が異常を検知している状態、0が異常を検知していない状態を表している。すなわち、図4の予測攻撃起点、予測攻撃対象、及び関連ECUが「予測攻撃経路」に相当し、各セキュリティセンサの0又は1が「予測異常検知信号」に相当している。
例えば、事象E1は、予測攻撃起点を外部、予測攻撃対象をCGW13とする予測攻撃経路である場合に、TCU11のセキュリティセンサA、Bが異常を検知すること、すなわち予測異常検知信号を出力することを示している。事象E2及び事象E3も同様のルールで予測攻撃経路と予測異常検知信号とが関連付けられている。
例えば、事象E1は、予測攻撃起点を外部、予測攻撃対象をCGW13とする予測攻撃経路である場合に、TCU11のセキュリティセンサA、Bが異常を検知すること、すなわち予測異常検知信号を出力することを示している。事象E2及び事象E3も同様のルールで予測攻撃経路と予測異常検知信号とが関連付けられている。
【0053】
なお、本実施形態では、予測攻撃経路は、予測攻撃起点、予測攻撃対象、及び関連ECUで定められているが、関連ECUは予測攻撃起点及び予測攻撃対象から特定することが可能であるため、予測攻撃経路は予測攻撃起点と予測攻撃対象とによって定められてもよい。あるいは、予測攻撃経路は、予め設定された識別情報で定められてもよい。この場合、攻撃分析装置100は、予測テーブルとは別に、識別情報と、予測攻撃起点、予測攻撃対象及び関連ECUとが関連付けられたテーブルを有する。
【0054】
本実施形態では、TCU11、CGW13、及びECU14のセキュリティセンサの予測異常検知信号のパターンを用いているが、その他の各ECUに搭載されたセキュリティセンサの予測異常検知信号のパターンも用いるようにしてもよい。
【0055】
図3に戻り、攻撃経路推定部104は、予測テーブルを用いて、セキュリティログに含まれる異常検知信号及び故障情報から、電子制御システムが受けた攻撃の攻撃経路を推定する。
【0056】
望ましくは、攻撃経路推定部104は、予測攻撃経路候補選択部107を有する。
さらに望ましくは、攻撃経路推定部104は、信頼度算出部108を有する。
さらに望ましくは、攻撃経路推定部104は、信頼度算出部108を有する。
【0057】
本実施形態の攻撃経路推定部104は主に、攻撃経路の推定として2つの処理を行う。1つ目は、予測攻撃経路候補選択部107による予測攻撃経路候補の選択である。2つ目は、信頼度算出部108による、1つ目の処理で選択された予測攻撃経路候補の信頼度の算出である。これらの2つの処理はいずれも攻撃経路の推定に含まれる。これらの処理は、その間に他の処理を挟んで実行されてもよく、時間的に連続して行われてもよい。
【0058】
予測攻撃経路候補選択部107は、予測テーブルを用いて、異常検知信号と予測異常検知信号とを比較することにより予測攻撃経路から予測攻撃経路候補を選択する。
信頼度算出部108は、故障情報を用いて、予測攻撃経路候補の確からしさを示す「信頼度」を求める。
信頼度算出部108は、故障情報を用いて、予測攻撃経路候補の確からしさを示す「信頼度」を求める。
【0059】
ここで、「信頼度」とは、確からしさの程度を示すものであれば足り、数値で示される場合の他、規格化された値や、記号や集合で示される場合も含む。
【0060】
要求信号送信部105は、予測攻撃経路候補選択部107が選択した予測攻撃経路候補の経路に含まれるECUに対して、故障情報の送信を要求する要求信号を送信する。
【0061】
要求信号によって要求された場合にのみ、各ECUが故障情報を送信する構成とすることにより、故障情報が送受信される機会は電子制御システムに対する攻撃が発生したタイミングに限定される。さらに、攻撃に関連する可能性があるECUに対してのみ要求信号を送信することで、攻撃されていないECUの故障情報は送受信されないことになる。そのため、故障情報の送受信によって生じるネットワークの負荷を抑制することができる。
【0062】
攻撃情報出力部106は、攻撃経路推定部104で推定した攻撃経路を示す攻撃情報を出力する。
望ましくは、攻撃情報出力部105は、予測攻撃経路候補選択部107で選択した予測攻撃経路候補を推定した攻撃経路として、攻撃情報を出力する。
さらに望ましくは、攻撃情報出力部105は、予測攻撃経路候補選択部107で選択した予測攻撃経路候補及び信頼度算出部108で求めた信頼度を推定した攻撃経路として、攻撃情報を出力する。
望ましくは、攻撃情報出力部105は、予測攻撃経路候補選択部107で選択した予測攻撃経路候補を推定した攻撃経路として、攻撃情報を出力する。
さらに望ましくは、攻撃情報出力部105は、予測攻撃経路候補選択部107で選択した予測攻撃経路候補及び信頼度算出部108で求めた信頼度を推定した攻撃経路として、攻撃情報を出力する。
【0063】
なお、本実施形態では、予測攻撃経路候補選択部107で選択された予測攻撃経路候補の全てを攻撃経路として攻撃情報出力部106から出力しているが、予測攻撃経路候補の一部のみを攻撃経路として出力してもよい。例えば、信頼度の高い方から3番目までの予測攻撃経路候補を攻撃経路として出力してもよい。
【0064】
以下に、実施例として、具体的な攻撃経路推定部104の推定方法及び攻撃情報出力部106が出力する攻撃情報の内容を、図5及び図6を用いて説明する。図5及び図6は、図4の予測テーブルを用いた予測攻撃経路候補の選択方法及び信頼度の算出方法を説明する図である。
【0065】
(a)実施例1
本実施例は、予測テーブルから求めた信頼度を、故障情報を用いて補正する例である。以下、図5を用いてその処理を説明する。
本実施例は、予測テーブルから求めた信頼度を、故障情報を用いて補正する例である。以下、図5を用いてその処理を説明する。
【0066】
TCU11のセキュリティセンサAが異常検知信号を出力し、セキュリティログ取得部101がこの異常検知信号を受信したとする。このとき、予測攻撃経路候補選択部107は、予測テーブルの中から、セキュリティセンサAが予測異常検知信号を検出する事象を、異常検知信号と予測異常検知信号とを比較することにより選択する。図5の場合、セキュリティセンサAが予測異常検知信号を検出する事象は、事象E1、E2、及びE3であるから、事象E1、E2、及びE3を予測攻撃経路候補として選択する。
【0067】
要求信号送信部105は、事象E1、E2、及びE3の予測攻撃経路候補に含まれるECUに対して、故障情報を要求する要求信号を送信する。図5の例では、TCU11、CGW13、及びECU14に対して要求信号を送信する。一例として、要求信号に対してCGW13が故障情報を出力し、故障情報取得部102がこの故障情報を受信したとする。
【0068】
信頼度算出部108は、予測攻撃経路候補選択部107で選択した予測攻撃経路候補の信頼度を求める。例えば、信頼度算出部108は、各予測攻撃経路候補の異常検知信号と予測異常検知信号の割合を考慮して信頼度を求める。例えば、今回の事例では、セキュリティセンサAのみが異常検知信号を出力している。そして、異常検知信号が出力されたECUと同一ECUの予測異常検知信号が、事象E1、E2では、セキュリティセンサA、Bの2つであるのに対し、事象E3では、セキュリティセンサAのみであり、事象E3に相当する攻撃が行われた可能性の方が高いと考えられる。そこで、事象E1、E2の信頼度よりも事象E3の信頼度の方が高くなるように信頼度を求める。図5の例では、一例として、事象E1、E2の信頼度を0.5とし、事象E3の信頼度を0.6としているが、この数字は一例にすぎず、任意の数値又演算式を以って算出することができる。なお、上述した信頼度の算出例では、異常検知信号が出力されたECUと同一のECUの予測異常検知信号のみを考慮して信頼度を算出しているが、異常検知信号が出力されていないECUの予測異常検知信号も考慮して信頼度を求めてもよい。
【0069】
さらに、CGW13で故障が発生したことを示す故障情報を取得しているため、信頼度算出部108は、故障が発生したECUであるCGW13が経路に含まれる予測攻撃経路候補の信頼度を上げる処理を行う。図5の場合、予測攻撃起点から予測攻撃対象までの間にCGW13が含まれる予測攻撃経路候補は、事象E2、E3であるので、事象E2、E3の信頼度に予め定めた値、本実施例ではαを加え、これを新たな信頼度とする。αは、定数でもよいし、条件により変化する変数でもよい。
【0070】
攻撃情報出力部106は、攻撃情報として、予測攻撃経路候補である事象E1、E2及びE3を出力する。この際、事象E1、E2、E3の信頼度を攻撃経路として攻撃情報を出力してもよい。
【0071】
次に、図6を用いて、複数のECUで故障が発生し、これらのECUそれぞれから故障情報を取得した場合に、信頼度を求める例を説明する。この例では、CGW13に加えて、ECU14においても故障が発生しているとする。
【0072】
この場合、図5の例と同様、CGW13が経路に含まれる予測攻撃経路候補の信頼度を上げる処理を行うべく、事象E2、E3の信頼度にαを加える。さらに、ECU14が経路に含まれる予測攻撃経路候補の信頼度を上げる処理を行う。この例では、予測攻撃起点から予測攻撃対象までの間にECU14が含まれる予測攻撃経路候補は、事象E3のみであるため、事象E3の信頼度に更にβを加える処理を行う。なお、複数のECUで故障が発生したときに信頼度に加算される値(α、β)は同じ値であってもよく、ECU毎に異なる値が定められていてもよい。
【0073】
なお、本実施例の説明では、まず故障情報を用いずに信頼度を求め、次に故障情報を用いて信頼度の補正を行っているが、これをまとめて信頼度を求めるようにしてもよい。後述の実施例も同様である。
【0074】
本実施例によれば、従来の異常検知信号に加えて故障情報を用いて信頼度を求めているので、攻撃経路推定部104の推定の精度を上げることができる。
【0075】
(b)実施例2
本実施例は、故障情報が示す故障の内容に応じて、信頼度を求める例である。
本実施例は、故障情報が示す故障の内容に応じて、信頼度を求める例である。
【0076】
実施例1と同様、TCU11のセキュリティセンサAが異常検知信号を出力し、セキュリティログ取得部101がこの異常検知信号を受信したとする。また、CGW13の故障診断装置がCGW13で発生した故障を検知して故障情報を出力し、故障情報取得部102がこの故障情報を受信したとする。
【0077】
ここで、故障情報が示す故障が、経年劣化によって発生するハードウェアの故障である場合や、通信途絶の故障が発生した原因が通信相手のECUによるものである場合、これらの故障は攻撃によって発生したものではない可能性が高い。このように、故障情報が示す故障が、攻撃によって発生したものではないことが明らかな場合は、信頼度演算部108は、故障情報を用いて信頼度にαを加える処理を行わない。つまり、この場合には、図5、6に示す信頼度(0.5、0.6)が、それぞれの予測攻撃経路候補の信頼度となる。あるいは、これらの信頼度の値から予め定めた値を減算して、新たな信頼度としてもよい。
【0078】
別の例として、故障情報が示す故障の内容に応じて、信頼度に加える値を変化させてもよい。実施例1では、故障が発生したECUが経路に含まれる予測攻撃経路候補に予め定めた値(α)を加えて新たな信頼度を求めたが、このαの値が故障の内容に応じて様々な値に変化する。
【0079】
例えば、故障情報が示す故障の内容が、攻撃によって生じる可能性が高い故障である場合には、信頼度に加算する値を高い値に設定して信頼度を求める。一方、故障の内容が攻撃によって生じる可能性が低い故障である場合には、信頼度に加算する値を低い値に設定して信頼度を求める。
【0080】
本実施例によれば、従来の異常検知信号に加えて、故障情報が示す故障の内容に応じて信頼度を求めているので、攻撃経路推定部104の推定の精度を上げることができる。
【0081】
(4)攻撃分析装置100の動作
図7を参照して、攻撃分析装置100の動作を説明する。図7は、攻撃分析装置100で実行される攻撃分析方法を示すだけでなく、攻撃分析装置100で実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図7に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以下、第2の実施形態における図10も同様である。
図7を参照して、攻撃分析装置100の動作を説明する。図7は、攻撃分析装置100で実行される攻撃分析方法を示すだけでなく、攻撃分析装置100で実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図7に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以下、第2の実施形態における図10も同様である。
【0082】
攻撃分析装置100は、電子制御システムSにおける予測攻撃起点及び予測攻撃対象で特定される予測攻撃経路と、セキュリティセンサで生成されることが予測される予測異常検知信号との対応関係を示す予測テーブルを保存する予測テーブル保存部(103)を有している。
【0083】
電子制御システムSを構成する電子制御装置に搭載されたセキュリティセンサで生成されるとともに前記セキュリティセンサが異常を検知したことを示す異常検知信号を含むセキュリティログを取得する(S101)。
【0084】
予測テーブルを予測テーブル保存部103から読み出し、S101で取得したセキュリティログに含まれる異常検知信号から電子制御システムSが受けた攻撃の攻撃経路を推定する、第1の攻撃経路の推定を行う(S102)。具体的には、予測テーブルに保存されている予測攻撃経路の中から予測攻撃経路候補を選択する。
【0085】
S102で選択した予測攻撃経路候補に含まれるECUに対して、故障情報を要求する要求信号を送信する(S103)。そして、S103で送信した要求信号に対して各ECUから送信された故障情報を取得する(S104)。なお、各ECUに搭載された故障診断装置が故障を検知していない場合、各ECUからは故障情報が送信されずに、S104が行われない場合もある。
【0086】
第2の攻撃経路の推定として信頼度を算出する(S105)。ここで、S104で故障情報を取得している場合、信頼度算出部108は故障情報を用いて信頼度を算出する。これに対し、S104で故障情報が取得されていない場合、信頼度算出部108は、故障情報を用いずに信頼度を算出する。
【0087】
S102で選択した予測攻撃経路候補及びS105で算出した信頼度を推定した攻撃経路として、攻撃情報を出力する(S106)。
【0088】
なお、図7では、各ECUが要求信号を受信した場合に限り故障情報を送信する場合を例に挙げて説明しているため、2つの攻撃経路の推定(S102、S105)が行われている。しかしながら、ECUが故障を検知すると直ちに故障情報を送信する構成では、要求信号を送信することなく、攻撃分析装置100内のメモリから故障情報を取得することができる。そのため、攻撃分析装置100は例えば、セキュリティログを取得(S101)した後、メモリから故障情報を取得(S104)して、その後に、S102及びS105の攻撃経路の推定をまとめて実施することができる。
【0089】
また、本実施形態では、S105の第2の攻撃経路の推定で信頼度を算出する例を挙げて説明したが、S102の第1の攻撃経路の推定において信頼度を算出し、S105の第2の攻撃経路の推定において、S102で算出した信頼度から故障情報を用いて新たな信頼度を求める処理を行ってもよい。
【0090】
(5)小括
以上、本実施形態の攻撃分析装置100によれば、電子制御システムSがサイバー攻撃を受けた場合に、電子制御システムSを構成する電子制御装置から出力された故障情報を用いて、推定した攻撃経路の信頼度を求めている。故障情報は、セキュリティセンサによって検知されなかった故障を示している可能性があるため、故障情報を攻撃経路の信頼性の評価に用いることにより、従来の異常検知信号のみを用いた場合に比べ、より正確に攻撃経路を推定することができる。
また、故障情報は、攻撃による被害状況の推定にも用いることができる。例えば、攻撃により、セキュリティセンサでは検知されていない故障が発生しているという状況や、攻撃によりECUが攻撃者に操作されているという状況を推定することができる。
以上、本実施形態の攻撃分析装置100によれば、電子制御システムSがサイバー攻撃を受けた場合に、電子制御システムSを構成する電子制御装置から出力された故障情報を用いて、推定した攻撃経路の信頼度を求めている。故障情報は、セキュリティセンサによって検知されなかった故障を示している可能性があるため、故障情報を攻撃経路の信頼性の評価に用いることにより、従来の異常検知信号のみを用いた場合に比べ、より正確に攻撃経路を推定することができる。
また、故障情報は、攻撃による被害状況の推定にも用いることができる。例えば、攻撃により、セキュリティセンサでは検知されていない故障が発生しているという状況や、攻撃によりECUが攻撃者に操作されているという状況を推定することができる。
【0091】
2.第2の実施形態
第2の実施形態は、故障情報を用いて信頼度を求める代わりに、予測攻撃経路候補にフラグを付与する。以下、第1の実施形態と共通する構成の説明は省略し、第1の実施形態との相違点を中心に説明する。
第2の実施形態は、故障情報を用いて信頼度を求める代わりに、予測攻撃経路候補にフラグを付与する。以下、第1の実施形態と共通する構成の説明は省略し、第1の実施形態との相違点を中心に説明する。
【0092】
【0093】
フラグ付与部201は、故障情報取得部102が故障情報を取得すると、予測攻撃経路候補選択部107が選択した予測攻撃経路候補のうち、故障情報が示す故障が発生したECUが経路に含まれる予測攻撃経路候補に故障フラグを付与する。
【0094】
図9を用いて、予測攻撃経路候補に故障フラグを付与する方法を説明する。第1の実施形態の実施例1、2と同様、CGW13の故障診断装置がCGW13で発生した故障を検知して故障情報を出力し、故障情報取得部102がこの故障情報を受信したとする。この場合、CGW13が経路に含まれる予測攻撃経路候補である事象E2、E3に故障フラグを付与する。図9では、1は故障フラグが付与された状態、0は故障フラグが付与されていない状態を表している。
【0095】
図9では、それぞれの予測攻撃経路候補に対して1つの故障フラグが付与される例を示しているが、1つの予測攻撃経路候補に対して複数の故障フラグが付与されてもよい。例えば、CGW13及びECU14で故障が発生し、これらのECUそれぞれから出力された故障情報を取得した場合、CGW13が経路に含まれる予測攻撃経路候補に1つの故障フラグが、ECU14が経路に含まれる予測攻撃経路候補に1つの故障フラグが、それぞれ付与される。この場合、CGW13及びECU14が経路に含まれる予測攻撃経路候補である事象E3には、2つの故障フラグが付与されることになる。
【0096】
攻撃情報出力部106は、予測攻撃経路候補及び故障フラグを攻撃経路として攻撃情報を出力する。なお、攻撃情報出力部106は、信頼度を攻撃経路として加えた攻撃情報を出力してもよい。
【0097】
なお、本実施形態では、故障フラグを付与する場合には故障情報を用いて信頼度を演算しない構成を説明した。しかしながら、本実施形態においても、信頼度算出部108は、故障情報を用いて信頼度を求める処理を行ってもよい。
【0098】
本実施形態では、故障フラグが付与されているか否かにかかわらず、予測攻撃経路候補を攻撃経路として攻撃情報出力部106から出力しているが、故障フラグが付与された予測攻撃経路候補のみを攻撃経路として出力してもよい。
【0099】
(2)攻撃分析装置200の動作
図10に示すS101~S106の処理は、第1の実施形態の図7と同様である。ただし、上述したとおり、S105における第2の攻撃経路の推定では、第1の実施形態と同様に故障情報を用いて信頼度を算出してもよく、あるいは、故障情報を用いずに信頼度を算出してもよい。
図10に示すS101~S106の処理は、第1の実施形態の図7と同様である。ただし、上述したとおり、S105における第2の攻撃経路の推定では、第1の実施形態と同様に故障情報を用いて信頼度を算出してもよく、あるいは、故障情報を用いずに信頼度を算出してもよい。
【0100】
さらに、第2の実施形態では、S104で故障情報を取得すると、故障情報が示す故障が発生したECUが経路に含まれる予測攻撃経路候補に故障フラグを付与する(S201)。
【0101】
そして、S102で選択した予測攻撃経路候補、S105で算出した信頼度、及びS201で付与された故障フラグを攻撃経路として、攻撃情報を出力する(S106)。
【0102】
(3)小括
以上、本実施形態の攻撃分析装置200によれば、電子制御システムSがサイバー攻撃を受けた場合に、予測攻撃経路候補に含まれるECUに故障が発生したことを示す故障フラグを出力することにより、攻撃のより詳細な分析が攻撃分析装置200の下流で実行される場合に、攻撃経路のみを提供する場合に比べ、詳細分析に有用な情報を提供することができる。
以上、本実施形態の攻撃分析装置200によれば、電子制御システムSがサイバー攻撃を受けた場合に、予測攻撃経路候補に含まれるECUに故障が発生したことを示す故障フラグを出力することにより、攻撃のより詳細な分析が攻撃分析装置200の下流で実行される場合に、攻撃経路のみを提供する場合に比べ、詳細分析に有用な情報を提供することができる。
【0103】
3.総括
以上、本発明の各実施形態における攻撃分析装置等の特徴について説明した。
以上、本発明の各実施形態における攻撃分析装置等の特徴について説明した。
【0104】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0105】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0106】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0107】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0108】
各実施形態は、車両に搭載される電子制御システムに対する攻撃を分析するための車両用攻撃分析装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
【0109】
また、本発明の攻撃分析装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0110】
また攻撃分析装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
【0111】
本発明の攻撃分析装置は、特にサーバ側で用いられることにより、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明の攻撃分析装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
【0112】
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0113】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0114】
本発明の攻撃分析装置は、主として自動車に搭載された電子制御システムが受けたサイバー攻撃を分析する装置を対象としているが、自動車に搭載されない通常のシステムに対する攻撃を分析する装置を対象としてもよい。
【符号の説明】
【0115】
100,200 攻撃分析装置、101 セキュリティログ取得部、102 故障情報取得部、103 予測テーブル保存部、104 攻撃経路推定部、105 要求信号送信部、106 攻撃情報出力部、107 予測攻撃経路候補選択部、108 信頼度算出部、201 フラグ付与部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
