攻撃手法 2

DRIVE_C2X

攻撃手法 1 攻撃手法 2

攻撃目標

攻撃手法 1 攻撃手法 2

自動車内の通信ユニットに盗聴、介入、改ざん、

注入を行う

攻撃の対象機器

防護が必要なシステム/要素

次ページでピンク枠のみ抽出

EVITA - 車車間通信における脅威の事例

「認められていないブレーキ操作」の攻撃ツリー例

一般的な情報セキュリティでの脅威

攻撃のねらい攻撃対象攻撃手法攻撃の動機保護対象

個人への危害 ^{運転者または同乗者} ^{特定自動車の安全}_{機能への干渉}

犯罪またはテロ行為

安全プライバシ集団への危害

自動車または交通を通じての都市または国家経済

多数の自動車または交通の管理システムの安全機能への干渉

安全操作性能

個人的な利益

運転者または同乗者

自動車情報と運転者情報の窃盗、自動車の窃盗、商取引詐欺

プライバシ財産自動車自動車機能の操作へ

の干渉

ハッカーの名声獲得(ハッカーツールの宣伝)

操作性能プライバシ交通システム、自動車

ネットワーク、課金システム

交通管理システムまたは課金システムへの干渉

通行特権の拡大、料金不払い

操作性能プライバシ

財産

組織的な利益

運転者または同乗者

交通事故責任または運転者と自動車の追尾責任の放棄

詐欺、犯罪またはテロ行為、状態監視

プライバシ財産自動車

自動車機能の操作への干渉、自動車設計情報の入手

産業スパイまたは妨害行為

プライバシ操作性能

安全

車車間通信の脅威は「個人の利益」から「経済への打撃」まで多様

黄色：安全に関連

EVITA – 車車間 / 路車間通信のセキュリティ

情報セキュリティ上の脅威と保護対象

まとめ

・欧州では自動車の情報セキュリティについて具体的な検討が進んでいる。

・車車間通信等の高度化した自動車の情報システムが安全に機能するよう、予め情報システムへの攻撃を想定し、機能的な面だけでなく情報セキュリティを考慮したシステム設計を進める取組みが行われている。

日本の自動車業界でも

参考にすべき取組みと考えられる

欧州動向のまとめ

・ ECU 書換ツールの例： EcuFlash

－ OBD-II インターフェースを経由して、

ECU を書換・編集する無料のソフトウェア。

－画面例は燃料噴射制御のタイミング調整機能

－対応 ECU は限られるが、

ツールの改造や悪用も考えられる。

http://openecu.org/

自動車業界への情報セキュリティ啓発に向けて

「共通化」による脅威（ ECU ）

「 ECU は書換できない」という

考え方の転換が必要

フォーティーンフォーティ・組込みシステムのセキュリティ http://www.fourteenforty.jp/research/research_papers/Embedded.pdf

チップのラベルから型番を特定しデバッグ (JTAG) ピンや

シリアルピンを特定する

デバッガを直接またはリモート (RDI) で接続し特権的操作を実行する

チップの「共通化」を選択する際はセキュリティ面の配慮が必要

自動車業界への情報セキュリティ啓発に向けて

「共通化」による脅威（車載チップ）

・車載 ECU の汎用チップ化と攻撃の容易化に繋がる事例

－汎用チップの仕様は

公開されている物も多い

－攻撃者が直接解析・攻撃を実施する可能性がある。

－テスト用のピン等が製品に

残っている可能性も …

OBU AU

インターネット

ゲートウェイ

路側装置

アクセスネットワーク

自動車内ドメインアドホックドメインインフラドメイン

無線LAN スポット OBU: 車載器: On Board Unit

AU: 応用機器: Application Unit IEEE 802.1p

IEEE 802.11a/b/g その他の広域無線通信

OBU AU

C2C-CCで想定されたCar2Xネットワークアーキテクチャ

自動車業界への情報セキュリティ啓発に向けて

「共通化」による脅威（ネットワーク）

悪意ある攻撃者

リスクとして攻撃者の存在する可能性を考える事が必要

http://www.m-system.co.jp/mstoday/plan/mame/2006-2007/0712/index.html

※E/E/PES

（Electrical/Electronic/Programmable Electronic Systems）

1 概念

全対象範囲の定義 2

リスク分析 3

すべての安全要求事項

安全要求事項の割当

運用保全計画

検証計画

設置引渡計画

8 安全関連系実現

E/E/PES

9 _その他の

安全実現

外的脅威軽減実現

設置、引渡し

安全妥当性確認(検証)

運用保全、修理

使用終了、廃棄

部分回収、改造

適切な安全ライフサイクルフェーズへ

情報セキュリティでは、ハザードに悪意を持った攻撃が含まれるようになり、さらにネットワークを超

えて影響が広がるようになる

IEC 61508では範囲外

今後、情報セキュリティに対応していく場合、従来の製品のライフサイクルの中で、機能安全の確保をベースとしながら、情報セキュリティを取り入れていく必要がある

「3-リスク分析」のステップが重要であり、さらに「10-その他の安全実現」や

「11-外的脅威の軽減の実現」のステップを実行することで、システムの安全性に関する情報セキュリティの対策が可能になると期待

自動車業界への情報セキュリティ啓発に向けて

「セキュリティ」を「いつ」考えるか（機能安全との両立）

今後の検討課題

• 利用者、メーカ、サービス事業者等の情報リテラシー向上

– 利用者の情報セキュリティのリテラシー向上、対策コストの必要性の理解促進。

– リテラシー向上が難しい利用者を誰がどのように保護するかの方策検討。

– 自動車関係企業に対するガイドライン、利用者向け説明資料の整備、配布。

• 状況の可視化と役割分担の明確化

– 不正な機器の接続や不正利用の発見・対策を行う可視化のしくみの実現。

– セキュリティ上の脅威に対する役割分担や、自動車や家の「物理的なバリア」と「

ネットワーク上のバリア」のあり方の明確化。

• ライフサイクルを通じた検討

– 設計段階からのセキュリティ検討、廃棄時の個人情報やセキュリティ機能の適切な消去などライフサイクルを通じた検討。

• 協力および提言の場の確立

– 利用者、メーカ、サービス事業者、セキュリティ技術者が協力し、セキュリティ対策を検討するとともに、法制度の整備について国に提言していく場の設置。

• ネットワークの両側でのセキュリティ対策の実施

– 機器側（メーカ側）とサービス側（サービス提供企業側）の双方でのセキュリティ

対策による、より確実な脅威の解消。

ご清聴ありがとうございました！

本成果は IPA の Web サイトでダウンロードする事ができます。

http://www.ipa.go.jp/security/index.html

Contact：

IPA（独立行政法人情報処理推進機構）

セキュリティセンター

情報セキュリティ技術ラボラトリー

ＴＥＬ０３（５９７８）７５２７

ドキュメント内 02.情報家電と自動車の情報セキュリティの脅威と対策 (ページ 31-40)

DRIVE_C2X

攻撃手法 1 攻撃手法 2

攻撃手法 1 攻撃手法 2

攻撃の 対象機器

EVITA - 車車間通信における脅威の事例

「認められていないブレーキ操作」の攻撃ツリー例

一般的な情報セキュリティでの脅威

攻撃のねらい 攻撃対象 攻撃手法 攻撃の動機 保護対象

車車間通信の脅威は「個人の利益」から「経済への打撃」まで多様

EVITA – 車車間 / 路車間通信のセキュリティ

情報セキュリティ上の脅威と保護対象

まとめ

・欧州では自動車の情報セキュリティについて 具体的な検討が進んでいる。

・車車間通信等の高度化した自動車の情報シ ステムが安全に機能するよう、予め情報システ ムへの攻撃を想定し、機能的な面だけでなく情 報セキュリティを考慮したシステム設計を進める 取組みが行われている。

日本の自動車業界でも

参考にすべき取組みと考えられる

欧州動向のまとめ

・ ECU 書換ツールの例： EcuFlash

－ OBD-II インターフェースを経由して、

ECU を書換・編集する無料のソフトウェア。

－画面例は燃料噴射制御の タイミング調整機能

－対応 ECU は限られるが、

ツールの改造や悪用も 考えられる。

自動車業界への情報セキュリティ啓発に向けて

「共通化」による脅威（ ECU ）

「 ECU は書換できない」という

考え方の転換が必要

チップのラベルから型番を特定し デバッグ (JTAG) ピンや

シリアルピンを特定する

デバッガを直接または リモート (RDI) で接続し 特権的操作を実行する

チップの「共通化」を選択する際は セキュリティ面の配慮が必要

自動車業界への情報セキュリティ啓発に向けて

「共通化」による脅威（車載チップ）

・ 車載 ECU の汎用チップ化と 攻撃の容易化に繋がる事例

－汎用チップの仕様は

公開されている物も多い

－攻撃者が直接解析・攻撃を 実施する可能性がある。

－テスト用のピン等が製品に

残っている可能性も …

インターネット

アクセス ネットワーク

自動車内ドメイン アドホックドメイン インフラ ドメイン

自動車業界への情報セキュリティ啓発に向けて

「共通化」による脅威（ネットワーク）

悪意ある 攻撃者

リスクとして攻撃者の存在する可能性を考える事が必要

自動車業界への情報セキュリティ啓発に向けて

「セキュリティ」を「いつ」考えるか（機能安全との両立）

今後の検討課題

• 利用者、メーカ、サービス事業者等の情報リテラシー向上

– 利用者の情報セキュリティのリテラシー向上、対策コストの必要性の理解促進。

– リテラシー向上が難しい利用者を誰がどのように保護するかの方策検討。

– 自動車関係企業に対するガイドライン、利用者向け説明資料の整備、配布。

• 状況の可視化と役割分担の明確化

– 不正な機器の接続や不正利用の発見・対策を行う可視化のしくみの実現。

– セキュリティ上の脅威に対する役割分担や、自動車や家の「物理的なバリア」と「

ネットワーク上のバリア」のあり方の明確化。

• ライフサイクルを通じた検討

– 設計段階からのセキュリティ検討、廃棄時の個人情報やセキュリティ機能の適切 な消去などライフサイクルを通じた検討。

• 協力および提言の場の確立

– 利用者、メーカ、サービス事業者、セキュリティ技術者が協力し、セキュリティ対 策を検討するとともに、法制度の整備について国に提言していく場の設置。

• ネットワークの両側でのセキュリティ対策の実施

– 機器側（メーカ側）とサービス側（サービス提供企業側）の双方でのセキュリティ

対策による、より確実な脅威の解消。

ご清聴ありがとうございました！

本成果は IPA の Web サイトでダウンロードする事ができます。

http://www.ipa.go.jp/security/index.html

Contact：

IPA（独立行政法人 情報処理推進機構）

セキュリティセンター

情報セキュリティ技術ラボラトリー

ＴＥＬ ０３（５９７８）７５２７

攻撃の対象機器

攻撃のねらい攻撃対象攻撃手法攻撃の動機保護対象

・欧州では自動車の情報セキュリティについて具体的な検討が進んでいる。

・車車間通信等の高度化した自動車の情報システムが安全に機能するよう、予め情報システムへの攻撃を想定し、機能的な面だけでなく情報セキュリティを考慮したシステム設計を進める取組みが行われている。

－画面例は燃料噴射制御のタイミング調整機能

ツールの改造や悪用も考えられる。

チップのラベルから型番を特定しデバッグ (JTAG) ピンや

デバッガを直接またはリモート (RDI) で接続し特権的操作を実行する

チップの「共通化」を選択する際はセキュリティ面の配慮が必要

・車載 ECU の汎用チップ化と攻撃の容易化に繋がる事例

－攻撃者が直接解析・攻撃を実施する可能性がある。

アクセスネットワーク

自動車内ドメインアドホックドメインインフラドメイン

悪意ある攻撃者

– 設計段階からのセキュリティ検討、廃棄時の個人情報やセキュリティ機能の適切な消去などライフサイクルを通じた検討。

– 利用者、メーカ、サービス事業者、セキュリティ技術者が協力し、セキュリティ対策を検討するとともに、法制度の整備について国に提言していく場の設置。

IPA（独立行政法人情報処理推進機構）

ＴＥＬ０３（５９７８）７５２７