2018 Volume 60 Issue 10 Pages 690-700
近年,自動車はさまざまな機器と接続されることにより,新しい価値を生み出すことが期待されている。今後は自動運転に向けて,V2Xと呼ばれる通信機能の搭載が予想されており,ますますIoTとしての重要な位置づけとなる。しかしながら,一方で現在販売されている自動車の多くが,セキュリティー対策が不十分であることが指摘されている。このため,今後はセキュリティー強化が必要とされている。本論では,自動車を取り巻くIoTと情報セキュリティーの課題について概説する。
近年,自動車は利便性や快適性を向上させるため,急激な電子化が進められ,先進的な自動車のアプリケーションがさまざま登場してきた。特に,近年では多くの車両に安全運転支援機能と呼ばれる前車追従,自動ブレーキなどが広く搭載されている。また,近い将来には自動運転が一般にまで普及されることが予想されており,交通事故の低減などの社会問題を解決することが期待されている。さらに,自動車はIoTの一つとして,さまざまな機器と接続されることも期待されている。より具体的には,コネクテッドカーと呼ばれ,車車間通信(Vehicle-to-Vehicle: V2V)や家庭用充電通信(Vehicle-to-Home)などの通信注1)を介して,さまざまな社会インフラと接続され,新しい価値や利便性を創出することが期待されている。
一方,サイバーセキュリティーの観点では,現在販売されている自動車の多くはセキュリティー強化が十分ではないことが多数指摘されている。近い将来発売される自動運転車がセキュリティー上脆弱(ぜいじゃく)であると,安心して社会生活が送れないことが課題となりうる。さらに,電気自動車が充電スタンドへ通信する際に課金情報が改ざんされると過剰な請求が起こることもありうる。このように自動車ではさまざまな機能やサービスを搭載することに伴い,多くの脅威が存在しており,攻撃経路も多様である(図1)。このような背景を踏まえ,本論では「つながるクルマ」のサイバーセキュリティーの現状と今後について議論する。
自動車の電子制御システムは,Electronic Control Unit(ECU)と呼ばれる制御用のコンピューターが自動車1台当たり数十個搭載されており,それらのECUが車載制御プロトコルを介して,データを交換することで自動車の運動制御を実現する分散制御システムである1)(図2)。近年,特に,自動車はさまざまな機器とつながることで新しい価値を生み出している。たとえば,スマートフォンと連携することにより鍵の解錠や走行データを取得したり,自車両の位置情報を共有することで家族の車両位置を共有したり,さらには電気自動車の蓄電池を用いて家庭電力を補うなどの非常用電源として使用したりできる。今後は自動運転技術や電気自動車の発展により,さまざまな通信プロトコルやセンサーを用いて,車両周辺環境の情報を収集することにより,IoTの一部として多種多様な機器と連携することが想定されている。
しかしながら,自動車の分散制御システムは,厳しいリアルタイム性を満たす必要がある。より具体的には,運手者の操縦に対して,制御の反応が遅れる場合には安全性や信頼性が問題となるシステムである。このため,近年,安全性を担保するために自動車の機能安全規格であるISO26262注2)に適合することがすすめられている。しかしながら,高い安全性を実現する制御システムでも,セキュリティー上の施策が施されていなければ,セキュリティー攻撃には脆弱であることが後述するさまざまな脅威事例で指摘されている。
2010年,Koscherらワシントン大学の研究者により,自動車の制御システムで広く使用されるCAN(Controller Area Network:車載LAN)プロトコルを悪用し,自動車のさまざまな制御を乗っ取れることが示された2)。この事例では,自動車の車室内に設置される車両の診断通信用コネクターであるOBD-IIコネクターに接続されるPCから車載制御ネットワークに流れるパケットを解析し,それを任意のタイミングで送り付けることにより制御が乗っ取られることを示した事例である。この事例では,OBD-IIポートには何らかの認証などの機構は入っておらず,誰でも手軽に購入できる市販ツールを使用して,車両の設計情報をリバースエンジニアリング注3)できることを示した。
また,2011年には,Checkowayらが,車載制御ネットワークで使用されるCAN以外の経路からの攻撃や脅威について指摘している3)。より具体的には,車両でさまざまに使用される無線通信プロトコル(Wi-Fi, Bluetooth)やIVI(In-Vehicle Infotainment)ユニットで使用されるCDやUSBなどのメディアを用いることにより,多くの脅威が実現できる可能性を示した。特に,コンピューターセキュリティーの分野で攻撃者がよく用いる手法であるファジング注4)などを用いて,自動車のセキュリティーや乗員のプライバシーを侵害できることを指摘した。さらに,無線による遠隔操作,位置追尾,車内の音の盗聴などの可能性についても指摘した。
次に,Francillonらにより,スマートキー(PKES: Passive Keyless Entry and Start)の脆弱性として,LF帯の電波信号を中継することで,自動車のスマートキーが自動車から離れた場所にあっても,第三者が自動車のドアの開錠やエンジンのスタートができることを指摘した4)。これはスマートキーの信号が途切れる距離に移動したことを検知することにより,ドアがロックされる設計上の課題をついた攻撃手法であり,さまざまな自動車で適用可能であることを示した。
さらに,自動車の制御を乗っ取る脅威として,2014年にValasekらがFord EscapeやToyota Priusに対して,車両内に流れるCANメッセージをリバースエンジニアリングすることにより,不正に偽造されたCANメッセージを送信することにより,さまざまな脅威が実現されることを指摘した5)。特に,本研究では,その詳細な攻撃手法が100ページ近いレポートとして公開されており,特定の車両に対してではあるものの,既存する研究事例よりもより具体的に攻撃の実現性を示した。また,この実験を通じて,セキュリティー強度が自動車メーカーによって異なることを指摘しており,ある車両では,ECUファームウェアの書き換えを容易に実現できたことを指摘している。また,パワーステアリング(ECUによるステアリングを切る条件など)が大きく異なることも明らかとなり,車両メーカーごとの設計方針の違いを明らかにした。
また,車両に対する脅威だけではなく,サイバーセキュリティーの視点でもいくつかのインシデントが発生している。2010年,米国にて100台以上の自動車のエンジンがかからなくなり,警告ホーンが鳴り続けるなどの事件が発生した。この事件では,米国の自動車販売店がローンの支払いが滞っている車両を動かせなくするための措置として設置された遠隔イモビライザー注5)を,自動車販売店を解雇された従業員が,別の従業員のIDとパスワードを入手し,不正に起動したことが原因とされた。さらに別の事件として,2010年イモビライザーを解除する装置「イモビカッター」を悪用し,特定車種の窃盗を繰り返した容疑者グループを愛知県警が逮捕している。通常,電子キーは複製できないようになっており,ユーザーが電子キーを紛失した場合に,ディーラーの整備工場にて新しい電子キーを再登録できる仕組みを悪用した事例である。
また,2015年以降,自動運転で使用されるさまざまなセンサーに対する攻撃事例が報告されている6)。これらの攻撃の多くは,自動運転を実現するために搭載される超音波センサー,LIDAR注6)やカメラなどのセンサー類を誤認識させるために,さまざまな攻撃手法が提示されている。より具体的には,カメラでは標識の付け替えなどのソーシャル攻撃の実現可能性が指摘されている。また,超音波センサーやLIDARなどはシグナルジェネレーターなどを用いて,反射波を遅らせたり,吸収させたりすることにより,近くにある物体の検知を遅らせたり,早めたりすることができる可能性を示した。
さらに,乗員のプライバシーが脅かされているとの指摘も存在する。2015年,米国のMarkey上院議員が自動車メーカー20社に対して,どのようなセキュリティー強化を実施しているか,走行履歴のデータを収集しているかなどに関する質問状を送付した結果の報告書が公表されている7)。その後,米国において,Ford,GM,トヨタに対して脆弱性をもつ自動車を販売していることに対する集団訴訟も起こっている8)。また,2015年の世界最大のハッカーのイベントであるDEF CON23注7)では,MillerらがJeep Cherokeeに対して携帯電話網を通じて,ECUのファームウェアを書き換えたうえ,自動車の操舵(そうだ)を完全に遠隔で実行する脅威事例が報告されている9)。この結果,この脆弱性をもつ自動車に対して140万台にも及ぶリコールが発生し,製造者責任を取る事態になっている。
3.1.2 連携機器へのアタック,プライバシー問題さらに近年では自動車と連携する各種機器によりだまされる事例も報告されている。2016年,自動車メーカーが提供するスマートフォンのアプリケーションの脆弱性を利用することにより,所有者ではない第三者が他人の電気自動車のファンを遠隔で操作できることが示された10)。本事例では,2015年に発生したJeep Cherokeeのように自動車の制御自体を乗っ取ることはできないとされるが,攻撃者が遠隔で電気自動車のバッテリー内の電気を枯渇させ,走行不能にさせることができる可能性を示した。
次に,適切なセキュリティー強化がなされていない事例を示す。2017年,IVIと呼ばれる車載情報端末の脆弱性が侵入口として狙われており,ある自動車会社の事例では,USBがさされると認証することなくシェルスクリプトを実行する脆弱性が報告されている11)。この脆弱性を利用して,走行中の映像表示が制限されるTVやDVDの動画再生の制限を解除する方法が多数のWebサイトに掲載されている。また同時に,開発時に用いられるコマンドを悪用した事例も発生している。テストモードと呼ばれるデバッグ用の画面に遷移するための隠しコマンドと呼ばれる操作手順が動画サイトなどで暴露されており,走行中のTVやDVDなどの映像再生の制限を解除する方法がアップロードされている。この事例が示すように,一部の開発者だけが知りえた隠しコマンドも発売後秘密にしておくことが難しいという現状がある。
自動車の場合,製造からメンテナンスサービスなどの運用に関わるステークホルダーが多岐にわたるため,サイバー攻撃が発生すると,各ステークホルダーに被害が発生する可能性がある。まず,自動車メーカーや部品サプライヤーは,リコールの事例にも挙げられるとおり,脆弱性を改修するために自動車をリコールしなければならない可能性がある。本来は,攻撃者(ブラックハッカー)が自動車を攻撃すること自体が問題ではあるのだが,前述する事例では製造者責任を取らされる可能性があることを示している。しかしながら,脆弱性が見つかるたびにリコール費用が発生すると自動車メーカーや部品サプライヤーにとっては相当なコスト負担となることが予想されるため,今後は,自動車の設計時に適切なセキュリティー強化を行うことが望ましいといえる。また,脆弱性をもつ自動車が販売されると,米国での訴訟事例などでも挙げられるとおり,所有者からの損害賠償請求などに対応するコストがかかるなどの懸念もある。
さらに,サイバー攻撃により事故が発生した場合には,事故の発生原因が運転手の操作ミスなのか,故障によるものなのか,それともサイバー攻撃によるものなのかの判断がつかない可能性がある。要人の自動車でもない限り,一般の所有者は自宅のガレージや公共の駐車場に自動車を止めなければならず,攻撃者が攻撃する自動車に容易に物理的に接触することが可能である。このため,前述するような不正な機器を取り付けるなどの脅威を造作なく実現できる。この場合,攻撃が発生した際の証拠や履歴を十分に取っておかないと事故の発生原因が分析できず,たとえ攻撃による事故が発生したとしてもログが適切に残されていなければ,製造者の過失が追及される可能性がある。これは,自動車の運転者や所有者だけに限らず,自動車保険会社も同様のリスクを抱えることになる。
4.2 自動車の攻撃経路自動車では攻撃経路もさまざまである。自動車ではIVIのような情報端末から自動車の電子制御システムまで多様な要素が存在しており,攻撃経路の幅も広い。さらに今後は,制御通信用プロトコルとして使用されているCANなどの通信の他に,V2Vのような自動車特有の無線通信プロトコルも活用されることが予想されている。さらに,物理的な脅威として,機器の設置や改ざんが容易などの環境的な要因も存在している。このような状況から,自動車のセキュリティー強化は多岐にわたる。より具体的には,自動車業界において,図3に示すようなセキュリティー強化手段が検討されている。この図に示すように,自動車の構造をECU,車載ネットワーク,車両レベル(システムアーキテクチャー),車車間通信レベルの4段階に分類したうえで,各階層にてそれぞれのセキュリティー強化を行うことにより,多層的にセキュリティー強化することを示している。
自動車が接続する多くの機器にだまされないようにするために,さまざまな施策が必要とされている。しかしながら,以下に示すような課題が存在する。
自動車業界でも自動車メーカーを超えて脆弱性情報を共有し,活用しようという動きがある。情報セキュリティーの分野では,金融やコンピューターセキュリティーなどの各分野において,Information Sharing and Analysis Center(ISAC)と呼ばれる情報共有の仕組みが導入されている。自動車についても,自動車版のISACとして,Auto-ISACが米国や日本において活動が開始されている注8)。今後は,このような取り組みにより,早期の脆弱性情報の共有が実現され,攻撃手法の分析がより迅速に進められることが期待されている。
5.2 安全性とセキュリティーの両立自動運転などを実現する場合には,安全性とセキュリティーを両立することが必須となる。前述したように,現状のセキュリティー対策技術の多くは,セキュリティー攻撃検出時には,電子制御を停止することで,安全に停車するという目標を達成するものである。しかしながら,自動運転の場合には電子制御を突然停止しユーザーに制御権を委譲すると事故を引き起こす可能性があり,制御の可用性を維持する必要がある。このため,今後はセキュリティー攻撃検出技術だけではなく,回復技術についても議論する必要がある。
近い将来,自動車に適用される回復技術として,Over the Air(OTA)注9)によるECUのプログラムの更新機能がある。これまでにも,OTAの技術は,携帯電話やパソコンなどで実現されてきた。しかしながら,これまでの仕組みの多くは各OTAベンダーやOSプラットフォーマーにより提供されるサービスが中心であり,いずれもブラックボックスとして実装されている。しかしながら,高い安全性が要求される自動車の制御システムでは,より自動車に最適化されたOTA技術について議論しようという流れがあり,最近ではUptane注10)などの技術が注目されている。よりオープンに議論され,より透明性を高めた技術が自動車には適用されることが期待されている。
5.3 車載LANのセキュリティー強化技術現在,車載LAN上で広く使用されるCANプロトコルでは,セキュリティー機能が定義されていないため,さまざまなセキュリティー強化技術の適用が検討されている。
まず1つ目に,CANメッセージにメッセージ認証子(Message Authentication Code: MAC)を付与することにより,攻撃者からのなりすましメッセージを棄却する技術である。この技術は自動車のソフトウェアプラットフォームを策定しているAUTOSAR注11)でも,Secure Onboard Communication(SecOC)という仕様で言及されており,セキュリティーの観点で重要度の高いCANメッセージに対してMACが付与されることが検討されている。
一方,MACを付与しないCANメッセージに対しても,侵入検知システム(Intrusion Detection System: IDS)を用いることにより,なりすましメッセージを検出しようという技術が提案されている。CANメッセージのIDSでは,CANメッセージの送信頻度や各メッセージの内容の相関解析などにより,異常を検出する方法である。その中には,たとえば,機械学習や確率密度関数を用いることにより,攻撃者から送信されたなりすましメッセージであることを判断する手法である。今後は,このようなIDSの機能がゲートウェイなどを中心として,車載制御システムにも導入されることが予想されている。
5.4 開発プロセスとガイドライン北米自動車技術会(Society of Automotive Engineers: SAE)では,既存する自動車の開発プロセスであるISO26262に適合する形で,セキュリティーガイドラインJ3061の策定が進められている。J3061では,セーフティークリティカルなシステムはセキュリティークリティカルであるという方針であり,前述したような安全性能を侵害する脅威を防がなければならないことが明言されている。また,セキュリティー文化についても触れられており,セキュリティー文化を根づかせるために,教育やトレーニングから監視までを組織的に実施するべきであることが明言されている。
また,日本の自動車技術会(Society of Automotive Engineers of Japan, Inc.: JSAE)では,自動車の情報セキュリティー分析ガイド(JASO TP-15002)を策定している。本分析ガイドは,脅威分析に着目し,自動車特有の脅威の識別とリスク評価を行う手法について提示されており,今後はこのような自動車に特化した手法を活用することが検討されている。
5.5 車車間連携に関する取り組みCar 2 Car Communication Consortium(C2C-CC)注12)では,車車間および路車間通信におけるセキュリティーについて議論されている。その中で,表1に示される信用保証レベル(Trust Assurance Levels: TAL)を定義し,レベルごとのセキュリティー要件を定義している12)。このTALのコンセプトは,各自動車の信用保証レベルの必要性を訴えるものであり,自動運転技術などでも使用される自動車間の連携においても必要とされるものである。
たとえば,車車間や路車間通信で,他の自動車やロードサイドユニットから得られた情報をどれだけ信じてよいかを考える場合,信頼できる自動車からの情報を優先して使いたい,あるいは,信用できない自動車からの情報を使いたくないなどのユースケースが想定される。このとき,情報を発信している自動車の信頼レベルを示すTALを用いることにより,情報の発信源が確かに信頼できるレベルを満たすことを確認できる。さらに,公開鍵基盤(PKI)を利用することにより,自動車メーカーの枠を超えて,互いの自動車が信頼し合う方法なども検討されている。しかしながら,車車間通信の方式については欧州,北米,日本では異なる方式が議論されるなど,地域単位で異なる仕様で実装する必要があるなどの課題がある。
自動車の電子制御システムと情報セキュリティーの両方がわかる人材を育成するために,北米ではCyberAuto Challenge注13)という取り組みがここ数年,毎年行われている。このイベントでは,学生を教育する場として合宿を行い,自動車の電子制御技術などを教えたうえで,自動車に対してハッキングを行う。この取り組みで発見された脆弱性は車両を提供した自動車メーカーのみに知らされることで,学生を教育しながら自動車の脆弱性を見つける取り組みである。なお,ここ数年は北米自動車技術会やさまざまな自動車メーカーがスポンサーになるなど,学生の青田買いの場としても利用されており,日本でも同様の取り組みが求められている。
近年,ハッキングを中心とするカンファレンスにて自動車メーカーがブースを設ける事例がある注14)。さらに,Bugcrowdのようなバグや脆弱性を見つけ報奨金を払うBug Bountyプログラムに参加している自動車メーカーも存在する13)。これらの取り組みは,ホワイトハッカーと連携することにより,自社では見つけられない不具合や脆弱性を第三者に見つけてもらう目的で行われている。さらに,ホワイトハッカーと仲良くすることにより,自身の自動車を攻撃目標とされないように誘導する目的もあると考えられており,今後はさまざまな自動車メーカーが参加することが予想される。
さらに,前述の脅威事例にあるように,自動車出荷後のハッカーによる攻撃だけが脅威とは限らない。遠隔イモビライザーの事例にあるように,サービス時に関係者が不正を働く場合や自動車の製造工程でも不正が発生する可能性もある。また,設計開発工程においても,ソフトウェア開発者が意図せず脆弱性を作りこんでしまうこともあるなど,セキュリティーレベルの高い自動車を作るためには,設計開発から製造,メンテナンスやサービスに関わるすべての関係者に対するセキュリティー教育が必要となる。 安全が文化であるのと同様に,セキュリティーも文化である。これまで自動車業界において広く根づいている安全文化と同様に,セキュリティー文化を根づかせるためにも,今後は設計・製造・運用の各プロセスにセキュリティーの観点を取り込むことが求められている。
本論では,自動車のセキュリティーの現状を概説したうえで,近い将来および少し先の将来についても言及した。今後数年で大きく様変わりすることが予想される自動車のサイバーセキュリティーに対して,その脅威,攻撃事例,あるいは対策技術のすべてにおいて現状議論が不足している。特に,現在販売されている自動車に対するセキュリティー強化技術を中心に議論されているものの,自動運転を見据えた将来の自動車に対するセキュリティー強化については十分議論されていない。自動車のサイバーセキュリティーはまだ始まった段階であり,まだまだ課題が山積みである。まずは,直近の課題から確実に解決していくことが自動車のサイバーセキュリティー強化のためには重要と考えられる。
名古屋大学 大学院情報学研究科附属組込みシステム研究センター 特任准教授。リアルタイムスケジューリング理論,車載制御システムの設計技術等の研究に従事。近年は自動車のセキュリティー強化手法の研究に注力。博士(情報科学)。
