JP2019125344A - 車両用システム及び制御方法 - Google Patents

車両用システム及び制御方法 Download PDF

Info

Publication number
JP2019125344A
JP2019125344A JP2018202629A JP2018202629A JP2019125344A JP 2019125344 A JP2019125344 A JP 2019125344A JP 2018202629 A JP2018202629 A JP 2018202629A JP 2018202629 A JP2018202629 A JP 2018202629A JP 2019125344 A JP2019125344 A JP 2019125344A
Authority
JP
Japan
Prior art keywords
vehicle
ecu
log
attack
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018202629A
Other languages
English (en)
Other versions
JP2019125344A5 (ja
JP7113337B2 (ja
Inventor
健人 田村
Taketo Tamura
健人 田村
安齋 潤
Jun Anzai
潤 安齋
吉治 今本
Yoshiharu Imamoto
吉治 今本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to CN201980069725.7A priority Critical patent/CN112889051A/zh
Priority to EP19877807.8A priority patent/EP3859577A4/en
Priority to PCT/JP2019/022977 priority patent/WO2020090146A1/ja
Publication of JP2019125344A publication Critical patent/JP2019125344A/ja
Publication of JP2019125344A5 publication Critical patent/JP2019125344A5/ja
Priority to US17/239,187 priority patent/US20210237665A1/en
Application granted granted Critical
Publication of JP7113337B2 publication Critical patent/JP7113337B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Traffic Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】攻撃に対して適応的な制御を行うことができる車両用システム等を提供する。【解決手段】車両用システム100は、車両に対して用いられる車両用システムであって、車両に搭載される複数の車載装置110と、複数の車載装置110に対する不正な攻撃の侵入の深度に従って、車両の外部への通信方法と、不正な攻撃に対する防御方法と、複数の車載装置110に関するログの保存方法とのうち少なくとも1つを変更する制御器120とを備える。【選択図】図1

Description

本発明は、車両用システム等に関する。
特許文献1には、車載通信ネットワークにセキュリティを提供するためのシステムが提案されている。また、特許文献2には、車載ネットワークに不当に接続された装置を検出する車載システムが提案されている。特許文献3には、時系列データの動向を反映した異常の検知を可能とするネットワーク異常判定装置が提案されている。特許文献4には、セキュリティを向上させる車載ネットワークが提案されている。
特開2015−136107号公報 特開2016−151871号公報 特開2008−146157号公報 特開2016−129314号公報
しかしながら、車両に対して用いられる車両用システムにおいて、攻撃に対する制御が攻撃の影響によって適切に行われない可能性がある。
そこで、本発明は、攻撃に対して適応的な制御を行うことができる車両用システム等を提供することを目的とする。
本発明の一態様に係る車両用システムは、車両に対して用いられる車両用システムであって、前記車両に搭載される複数の車載装置と、前記複数の車載装置に対する不正な攻撃の侵入の深度に従って、前記車両の外部への通信方法と、前記不正な攻撃に対する防御方法と、前記複数の車載装置に関するログの保存方法とのうち少なくとも1つを変更する制御器と、を備える。
なお、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なCD−ROMなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。
本発明の一態様に係る車両用システム等は、攻撃に対して適応的な制御を行うことができる。
図1は、実施の形態1における車両用システム等の構成を示すブロック図である。 図2は、実施の形態1における車両用システムの機能ブロックを示す模式図である。 図3は、実施の形態1における侵入の深度を示す概念図である。 図4は、実施の形態1における車両用システムの動作を示すフローチャートである。 図5は、実施の形態1における車両用システムの第1具体例を示すブロック図である。 図6は、実施の形態1における第1侵入例を示す概念図である。 図7は、第1侵入例において監視ECU又は監視ブロックが制御を行う場合の制御例を示すテーブル図である。 図8は、第1侵入例においてGWが制御を行う場合の制御例を示すテーブル図である。 図9は、第1侵入例においてADAS ECUが制御を行う場合の制御例を示すテーブル図である。 図10は、第1侵入例においてV2X ECUが制御を行う場合の制御例を示すテーブル図である。 図11は、第1侵入例においてIVIが制御を行う場合の制御例を示すテーブル図である。 図12は、実施の形態1における第2侵入例を示す概念図である。 図13は、第2侵入例において監視ECU又は監視ブロックが制御を行う場合の制御例を示すテーブル図である。 図14は、第2侵入例においてGWが制御を行う場合の制御例を示すテーブル図である。 図15は、実施の形態1における車両用システムの第2具体例を示すブロック図である。 図16は、実施の形態1における第3侵入例を示す概念図である。 図17は、第3侵入例においてADAS ECUが制御を行う場合の制御例を示すテーブル図である。 図18は、実施の形態2における車両用システム等の構成を示すブロック図である。 図19は、実施の形態2における異常検知部の機能ブロックを示す模式図である。 図20は、実施の形態2における車両用システムの動作を示すフローチャートである。 図21は、実施の形態2における不正な攻撃の判定処理を示すフローチャートである。 図22は、実施の形態2における車両用システム等の構成の変形例を示すブロック図である。 図23は、実施の形態2における車両用システムの機能ブロックの変形例を示す模式図である。 図24は、実施の形態2における車両用システムの具体例を示すブロック図である。 図25は、実施の形態2における記憶済みの複数の異常検知結果を示すテーブル図である。 図26は、実施の形態2における新たな異常検知結果及び抽出対象の複数の異常検知結果を示すテーブル図である。 図27は、実施の形態2における異常情報と攻撃情報との比較処理を示す模式図である。 図28は、実施の形態2における所定の攻撃順序の第1例を示す模式図である。 図29は、実施の形態2における所定の攻撃順序の第2例を示す模式図である。
(本発明の基礎となった知見)
インターネットへの常時接続機能を具備した自動車は、コネクテッドカーと呼ばれる。コネクテッドカーは、ハッキングの脅威があるため、防御機能を搭載する。しかし、コネクテッドカーは、10年以上の長期間において使用される可能性があり、防御機能が陳腐化する可能性がある。そのため、例えばサーバが継続的にコネクテッドカーを(遠隔)監視することで、コネクテッドカーに搭載された防御機能の陳腐化、及び、コネクテッドカーの出荷時に想定されていなかった新たな攻撃を検知するシステムが検討されている。
このような検知システムでは、例えば、定期的なタイミング又は特定のタイミングで、ログがコネクテッドカーからサーバに送信される。そして、サーバで、ハッキング又は攻撃等がログによって検知される。
一方、ハッキング、攻撃又は通信状況等によって、コネクテッドカーがログを送信することが困難な場合がある。これに関して、送信可能でない状態において通信バッファにログを蓄積し、送信可能な状態においてログを送信する方法が用いられ得る。
しかしながら、攻撃によって送信が阻害される可能性もある。また、攻撃者が送信内容を傍受する可能性もある。
そこで、本発明の一態様に係る車両用システムは、車両に対して用いられる車両用システムであって、前記車両に搭載される複数の車載装置と、前記複数の車載装置に対する不正な攻撃の侵入の深度に従って、前記車両の外部への通信方法と、前記不正な攻撃に対する防御方法と、前記複数の車載装置に関するログの保存方法とのうち少なくとも1つを変更する制御器と、を備える。
これにより、車両用システムは、攻撃の状況に従って、通信方法、防御方法又は保存方法等を変更することができる。すなわち、車両用システムは、攻撃に対して適応的な制御を行うことができる。
例えば、前記制御器は、前記侵入の深度に従って、前記複数の車載装置のうち、前記車両の外部への通信に用いられる車載装置を変更することにより、前記通信方法を変更してもよい。
これにより、車両用システムは、攻撃の状況に従って、通信に用いられる車載装置を適応的に変更することができる。したがって、車両用システムは、攻撃によって受ける影響を抑制することができる。
また、例えば、前記複数の車載装置は、テレマティクス通信ユニットを含み、前記制御器は、前記侵入の深度が前記テレマティクス通信ユニットに到達した場合、前記テレマティクス通信ユニットを介した第1通信方法から、前記テレマティクス通信ユニットを介さない第2通信方法に、前記通信方法を変更してもよい。
これにより、車両用システムは、攻撃されたテレマティクス通信ユニットを介さずに、通信を適切に行うことができる。
また、例えば、前記複数の車載装置は、車載インフォテインメントを含み、前記制御器は、前記侵入の深度が前記テレマティクス通信ユニットに到達した場合、前記テレマティクス通信ユニットを介した前記第1通信方法から、前記車載インフォテインメントを介した前記第2通信方法に、前記通信方法を変更してもよい。
これにより、車両用システムは、攻撃されたテレマティクス通信ユニットを介さずに、車載インフォテインメントを介して、通信を適切に行うことができる。
また、例えば、前記制御器は、前記侵入の深度が前記車載インフォテインメントに到達した場合、前記車載インフォテインメントを介さない第3通信方法に、前記通信方法を変更してもよい。
これにより、車両用システムは、攻撃された車載インフォテインメントを介さずに、通信を適切に行うことができる。
また、例えば、前記制御器は、前記侵入の深度に従って、前記複数の車載装置のうち前記ログの保存先として用いられる車載装置を変更することにより、前記保存方法を変更してもよい。
これにより、車両用システムは、攻撃の状況に従って、ログの保存先を適応的に変更することができる。したがって、車両用システムは、攻撃によって受ける影響を抑制することができる。
また、例えば、前記制御器は、前記侵入の深度が前記複数の車載装置に含まれる1以上の車載装置に到達した場合、前記1以上の車載装置のそれぞれのログを保存対象ログに含めることにより、前記保存方法を変更してもよい。
これにより、車両用システムは、1以上の車載装置が攻撃された場合、攻撃された1以上の車載装置のログを保存対象ログに含めることができる。
また、例えば、前記複数の車載装置は、テレマティクス通信ユニットを含み、前記制御器は、前記侵入の深度が前記テレマティクス通信ユニットに到達した場合、前記テレマティクス通信ユニットのログを前記保存対象ログに含めることにより、前記保存方法を変更してもよい。
これにより、車両用システムは、テレマティクス通信ユニットが攻撃された場合、攻撃されたテレマティクス通信ユニットのログを保存対象ログに含めることができる。
また、例えば、前記複数の車載装置は、車載インフォテインメントを含み、前記制御器は、前記侵入の深度が前記車載インフォテインメントに到達した場合、前記車載インフォテインメントのログを前記保存対象ログに含めることにより、前記保存方法を変更してもよい。
これにより、車両用システムは、車載インフォテインメントが攻撃された場合、攻撃された車載インフォテインメントのログを保存対象ログに含めることができる。
また、例えば、前記制御器は、前記侵入の深度が前記複数の車載装置に含まれる第1車載装置に到達した場合、前記複数の車載装置に含まれる第2車載装置であって、前記侵入の深度が前記第1車載装置の次に到達すると推定される第2車載装置のログを保存対象ログに含めることにより、前記保存方法を変更してもよい。
これにより、車両用システムは、次に攻撃される可能性を有する車載装置のログを保存対象ログに含めることができる。
また、例えば、前記複数の車載装置の少なくとも一部は、2つの通信路で通信を行い、前記制御器は、前記侵入の深度が前記2つの通信路のうちの一方に到達した場合、前記2つの通信路のうちの他方で前記複数の車載装置の少なくとも一部が行う通信を継続させ、前記侵入の深度が前記2つの通信路のうちの両方に到達した場合、自動運転の停止、前記車両の走行の停止、又は、フェールセーフの制御を行うことにより、前記防御方法を変更してもよい。
これにより、車両用システムは、2つの通信路のうち、1つの通信路が攻撃された場合と、2つの通信路が攻撃された場合とで、異なる防御方法を用いることができる。そして、車両用システムは、攻撃の状況に従って、防御方法を適切に変更することができる。
また、例えば、前記複数の車載装置は、車載インフォテインメントを含み、前記車載インフォテインメントは、前記制御器を備えてもよい。
これにより、車両用システムは、車両に搭載される車載インフォテインメントによって、攻撃に対して適応的な制御を行うことができる。
また、例えば、前記複数の車載装置は、ゲートウェイを含み、前記ゲートウェイは、前記制御器を備え、前記制御器は、前記複数の車載装置のうち、前記ゲートウェイとは異なる車載装置に、前記ログの一部又は全部を保存してもよい。
これにより、車両用システムは、車両に搭載されるゲートウェイによって、攻撃に対して適応的な制御を行うことができる。そして、車両用システムは、ゲートウェイのメモリ容量が少ない場合にも、他の車載装置にログを保存することができる。
また、例えば、前記車両用システムは、さらに、前記複数の車載装置における異常発生順序に従って、前記不正な攻撃が行われているか否かを判定する判定器を備えてもよい。
これにより、車両用システムは、不正な攻撃が行われているか否かを適切に判定することができる。そして、車両用システムは、不正な攻撃が行われているか否かに従って、適切な制御を行うことができる。
また、例えば、前記判定器は、前記異常発生順序が所定の順序に整合する場合、前記不正な攻撃が行われていると判定し、前記所定の順序は、前記複数の車載装置のうち少なくとも2つの車載装置が、所定の侵入経路に沿って、より浅い方からより深い方へ並べられた順序であってもよい。
これにより、車両用システムは、所定の侵入経路に沿って発生する異常を不正な攻撃として適切に判定することができる。
また、本発明の一態様に係る制御方法は、車両に対して用いられる車両用システムの制御方法であって、前記車両に搭載される複数の車載装置に対する不正な攻撃の侵入の深度に従って、前記車両の外部への通信方法と、前記不正な攻撃に対する防御方法と、前記複数の車載装置に関するログの保存方法とのうち少なくとも1つを変更する、制御方法であってもよい。
これにより、この制御方法を用いる車両用システム等は、攻撃の状況に従って、通信方法、防御方法又は保存方法等を変更することができる。すなわち、この制御方法を用いる車両用システム等は、攻撃に対して適応的な制御を行うことができる。
また、本発明の一態様に係るプログラムは、上記の制御方法をコンピュータに実行させるためのプログラムであってもよい。
これにより、このプログラムを実行するコンピュータ等は、攻撃の状況に従って、通信方法、防御方法又は保存方法等を変更することができる。すなわち、このプログラムを実行するコンピュータ等は、攻撃に対して適応的な制御を行うことができる。
さらに、これらの包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム、又は、コンピュータ読み取り可能なCD−ROMなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム、及び、記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態について図面を参照しながら具体的に説明する。なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、請求の範囲を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態1)
図1は、本実施の形態における車両用システム等の構成を示すブロック図である。図1に示された車両用システム100は、複数の車載装置110、及び、制御器120を備える。基本的には、車両用システム100は、車両用システム100に含まれる構成要素の全て又は一部が車両130に搭載される車載システムである。また、少なくとも1つの車載装置110が、外部ネットワーク140を介して、外部装置150に接続される。
各車載装置110は、車両130に搭載される装置である。例えば、複数の車載装置110は、1以上の電子制御ユニット(ECU:Electronic Control Unit)を含んでいてもよい。
また、複数の車載装置110は、テレマティクス通信ユニット(TCU:Telematics Communication Unit)を含んでいてもよい。また、複数の車載装置110は、車載インフォテインメント(IVI:In−Vehicle Infotainment)を含んでいてもよい。また、複数の車載装置110は、ゲートウェイ(GW:Gateway)を含んでいてもよい。
例えば、複数の車載装置110は、車載ネットワークを介して、互いに通信する。また、複数の車載装置110における第1車載装置110は、複数の車載装置110における第2車載装置110を介して、複数の車載装置110における第3車載装置110と通信してもよい。
制御器120は、複数の車載装置110を制御する制御器である。制御器120は、各車載装置110に直接接続する場合に限られず、車載装置110を介して、他の車載装置110に接続してもよい。そして、制御器120は、車載装置110を介して、他の車載装置110を制御してもよい。
また、制御器120は、複数の車載装置110のいずれかに含まれていてもよい。具体的には、制御器120は、複数の車載装置110におけるTCUに含まれていてもよい。あるいは、制御器120は、複数の車載装置110におけるIVIに含まれていてもよい。あるいは、制御器120は、複数の車載装置110におけるGWに含まれていてもよい。あるいは、制御器120は、その他の車載装置110に含まれていてもよい。
また、制御器120は、複数の車載装置110に対する不正な攻撃の侵入の深度に従って、車両130の外部への通信方法と、不正な攻撃に対する防御方法と、複数の車載装置110に関するログの保存方法とのうち少なくとも1つを変更する。例えば、制御器120は、侵入の深度の変更に従って、通信方法と防御方法と保存方法とのうち少なくとも1つを変更する。
車両130への不正な攻撃の侵入の深度は、例えば、攻撃の結果としてECU等の車載装置110において攻撃者が意図するようにプログラムが動作する状態になった段階で、進んだと判断される。ただし、攻撃されたECU等の車載装置110におけるプログラムの動作が複数の機能又は複数のECU等に影響を及ぼす状態において、攻撃されたECU等のみに深度が進んでいると判断され、その他の関連するECU等(影響が及ぶECU等)に深度は進んでいないと判断される。
車両130は、路上を走る車両である。基本的には、車両用システム100が車両130に搭載される。車両130は、ガソリン自動車であってもよいし、電気自動車であってもよいし、ハイブリッド自動車であってもよいし、その他の自動車であってもよい。
外部ネットワーク140は、車両130の外部の通信ネットワークである。例えば、外部ネットワーク140は、インターネットである。少なくとも1つの車載装置110は、無線で、外部ネットワーク140に接続される。
外部装置150は、車両130の外部の装置である。例えば、外部装置150は、サーバである。外部装置150とは、少なくとも1つの車載装置110とは、外部ネットワーク140を介して、互いに通信する。
図2は、図1に示された車両用システム100の機能ブロックを示す模式図である。例えば、車両用システム100は、異常検知部201、保存制御部202、1以上の保存部203、情報収集部204、被害検知部205、送信制御部206、及び、1以上の送信部207を備える。
これらの構成要素は、図1に示された制御器120に含まれていてもよいし、図1に示された複数の車載装置110に含まれていてもよい。あるいは、異常検知部201、保存制御部202、情報収集部204、被害検知部205、及び、送信制御部206が、制御器120に含まれていてもよい。そして、1以上の保存部203、及び、1以上の送信部207が、複数の車載装置110に含まれていてもよい。
異常検知部201は、車載装置110又は車載ネットワークの異常を検知する情報処理部である。例えば、異常検知部201は、車載装置110に含まれ、その車載装置110を監視することにより、その車載装置110の異常を検知してもよい。また、異常検知部201は、ネットワーク経由で、車載装置110を監視することにより、その車載装置110の異常を検知してもよい。異常検知部201は、車載ネットワークを監視し、車載ネットワークの異常を検知してもよい。
また、例えば、異常検知部201は、車載装置110又は車載ネットワークのログ等に従って、車載装置110又は車載ネットワークの異常を検知してもよい。
被害検知部205は、車両130、車載装置110又は車載ネットワークの被害を検知する情報処理部である。例えば、被害検知部205は、正常な動作が行われない状態を検知する。被害検知部205は、車両130、車載装置110又は車載ネットワークの動作異常、動作停止、反応低下又は反応過剰等を検知してもよい。また、異常検知部201が行う検知と、被害検知部205が行う検知とは、部分的に重複していてもよい。また、異常が被害を包括していてもよいし、被害が異常を包括していてもよい。
また、例えば、被害検知部205は、車載装置110又は車載ネットワークのログ等に従って、車両130、車載装置110又は車載ネットワークの被害を検知してもよい。
保存制御部202は、情報の保存を制御する情報処理部である。例えば、保存制御部202は、異常検知部201及び被害検知部205における検知結果に従って、保存先、保存形式、保存タイミング、及び、保存対象情報等を制御する。
具体的には、GW、TCU及びIVIのそれぞれが、保存部203を備えている場合、保存制御部202は、GW、TCU及びIVIに含まれる複数の保存部203のうち、どの保存部203に保存するかを制御してもよい。また、保存制御部202は、保存対象情報のセキュリティレベルを制御してもよい。例えば、保存制御部202は、保存対象情報に署名を付与するか否かを制御してもよい。また、保存制御部202は、保存頻度を制御してもよい。
また、保存制御部202は、異常発生時を含む一定期間の範囲の全ログを保存対象情報として決定してもよいし、全ログ、異常ログ、正常ログ及びサンプリングログ等の中から保存対象情報を決定してもよい。また、保存制御部202は、情報収集部204を介して、車載装置110及び車載ネットワーク等から、情報を収集し、収集された情報を保存部203へ保存してもよい。
保存部203は、情報を保存する情報処理部である。例えば、保存部203は、メモリ等の記憶部である。保存制御部202が情報を保存部203に保存することにより、保存部203に情報が保存される。
また、車両用システム100は、1つの保存部203を備えていてもよいし、複数の保存部203を備えていてもよい。また、1つの車載装置110が、複数の保存部203を備えていてもよいし、複数の車載装置110のそれぞれが、1つ以上の保存部203を備えていてもよい。また、制御器120が、保存部203を備えていてもよい。
送信制御部206は、情報の送信を制御する情報処理部である。例えば、送信制御部206は、異常検知部201及び被害検知部205における検知結果に従って、送信先、送信経路、送信タイミング、及び、送信対象情報等を制御する。
具体的には、送信制御部206は、サーバ、インフラ、情報端末及び他の車両等から、送信先を選択してもよい。また、送信制御部206は、携帯電話網、WiFi(登録商標)、DSRC(Dedicated Short Range Communications)、及び、V2V等から、送信経路を選択してもよい。また、送信制御部206は、送信頻度を制御してもよい。
また、送信制御部206は、異常発生時を含む一定期間の範囲の全ログを送信対象情報として決定してもよいし、全ログ、異常ログ、正常ログ及びサンプリングログ等の中から、送信対象情報を決定してもよい。また、送信制御部206は、情報収集部204を介して、車載装置110及び車載ネットワーク等から、情報を収集し、収集された情報を送信部207に送信させてもよい。
送信部207は、情報を送信する情報処理部である。例えば、送信部207は、無線で情報を送信するためのアンテナを備えていてもよい。送信制御部206が情報を送信部207に送信させることにより、送信部207が情報を送信する。
また、車両用システム100は、1つの送信部207を備えていてもよいし、複数の送信部207を備えていてもよい。また、1つの車載装置110が、複数の送信部207を備えていてもよいし、複数の車載装置110のそれぞれが、1つ以上の送信部207を備えていてもよい。また、制御器120が、送信部207を備えていてもよい。
情報収集部204は、情報を収集する情報処理部である。例えば、情報収集部204は、複数の車載装置110及び車載ネットワーク等から、保存対象情報及び送信対象情報等を収集する。情報収集部204は、車載装置110から車載ネットワークを介して保存対象情報及び送信対象情報等を収集してもよい。また、情報収集部204は、1つの車載装置110から、車載ネットワーク及び他の車載装置110等を介して、保存対象情報及び送信対象情報等を収集してもよい。
例えば、制御器120は、保存制御部202及び送信制御部206等を備え、複数の車載装置110に対する不正な攻撃の侵入の深度に従って、ログの保存方法、及び、ログの送信方法等を変更してもよい。なお、図2の構成は、一例であって、車両用システム100の構成は、図2の例に限られない。
図3は、図1に示された車両用システム100における侵入の深度を示す概念図である。車両用システム100は、外部ネットワーク140に接続されている。そのため、不正な攻撃が、外部ネットワーク140から、車両用システム100に侵入する可能性がある。
例えば、車両用システム100における複数の車載装置110は、外部ネットワーク140に直接的に接続される車載装置110、及び、他の車載装置110を介して外部ネットワーク140に接続される車載装置110を含む。さらに、車両用システム100における複数の車載装置110は、2以上の他の車載装置110を介して外部ネットワーク140に接続される車載装置110を含み得る。
これにより、車両用システム100における複数の車載装置110は、通信経路上、外部ネットワーク140から近い車載装置110、及び、外部ネットワーク140から遠い車載装置110を含み得る。基本的に、車両用システム100に対する不正な攻撃は、外部ネットワーク140から近い車載装置110から行われ、順次、外部ネットワーク140から遠い車載装置110に対して行われる。
また、基本的に、外部ネットワーク140から近い車載装置110は、車両130の駆動制御との関係が浅い情報系の車載装置であり、外部ネットワーク140から遠い車載装置110は、車両130の駆動制御との関係が深い制御系の車載装置である。すなわち、不正な攻撃は、車両130の駆動制御との関係が浅い情報系の車載装置110から行われ、順次、車両130の駆動制御との関係が深い制御系の車載装置110に対して行われる。
例えば、情報系の車載装置110が、不正な攻撃を受けて、攻撃者に乗っ取られ、次に、より車両130の駆動制御に近い車載装置110が、不正な攻撃を受ける。そして、最終的に、車両130の駆動制御との関係が深い制御系の車載装置110が、不正な攻撃を受けて、攻撃者に乗っ取られ、車両130が攻撃者に制御される可能性がある。
上記のように、車両用システム100に対する不正な攻撃は、例えば、外部ネットワーク140から近い車載装置110から遠い車載装置110へ順次行われる。また、車両用システム100に対する不正な攻撃は、例えば、情報系の車載装置110から制御系の車載装置110へ順次行われる。また、車両用システム100に対する不正な攻撃は、複数の車載装置110に対する侵入経路を辿って、行われる。
不正な攻撃が、車両用システム100に対して、どの程度侵入しているかは、侵入の深度として表現され得る。侵入が外部ネットワーク140から近い位置である場合、侵入は浅いと表現され得る。侵入が外部ネットワーク140から遠い位置である場合、侵入は深いと表現され得る。
侵入の深度は、他の侵入態様との比較によって相対的に評価されてもよい。例えば、想定される所定の侵入経路に基づいて、複数の車載装置110に対して順序が規定される。具体的には、1番目の車載装置110及び2番目の車載装置110等が規定される。そして、1番目の車載装置110に対する不正な攻撃の侵入は、2番目の車載装置110に対する不正な攻撃の侵入よりも浅いと評価されてもよい。
あるいは、侵入の深度は、絶対的な数値によって規定されてもよい。例えば、侵入の深度は、想定される所定の侵入経路において、攻撃された車載装置110に到達するまでに経由する車載装置110の数によって規定されてもよい。
また、侵入の深度は、複数の車載装置110のうち、不正な攻撃を受けた車載装置110に対応して規定されることに限られず、各車載装置110に対する侵入の度合いによって規定されてもよい。
例えば、車載装置110が不正な攻撃を受けている状態における侵入の深度は、車載装置110が不正な攻撃によって既に乗っ取られている状態における侵入の深度よりも浅いと評価されてもよい。また、車載装置110が複数の機能を有する場合、不正な攻撃を受けた機能数、又は、乗っ取られた機能数等に従って規定されてもよい。例えば、不正な攻撃を受けた機能数、又は、乗っ取られた機能数が多いほど、攻撃の侵入の深度が深いと規定されてもよい。
より具体的には、車載装置110が、2つの通信路で通信を行うための2つの通信機能を有する場合がある。この場合、1つの通信機能が攻撃された状態、又は、1つの通信機能が乗っ取られた状態における侵入の深度よりも、2つの通信機能が攻撃された状態、又は、2つの通信機能が乗っ取られた状態における侵入の深度が深いと規定されてもよい。
また、侵入の深度は、車両用システム100の多層防御における複数のレイヤに基づいていてもよい。例えば、多層防御の複数のレイヤのうち、不正な攻撃を受けたレイヤが何層目に該当するかに従って、侵入の深度が特定されてもよい。
なお、侵入の深度は、度合いとも表現され得る。この場合、侵入の深度が深いほど、侵入の度合いは大きい。また、侵入の深度は、侵入の進行度とも表現され得る。この場合、侵入の深度が深いほど、侵入の進行度は大きい。また、侵入の深度は、侵入の達成度とも表現され得る。この場合、侵入の深度が深いほど、侵入の達成度は高い。
車載装置110又はその機能が攻撃され乗っ取られた場合、車載装置110又はその機能が正常に動作しない状態に陥る。車載装置110又はその機能が攻撃され乗っ取られた状態は、攻撃が成功した状態と表現され得る。一方、車載装置110又はその機能が攻撃されていても乗っ取られることなく正常に動作する状態は、攻撃が失敗した状態と表現され得る。攻撃が成功した状態における侵入の深度は、攻撃が失敗した状態における侵入の深度よりも深いと規定されてもよい。
図4は、図1に示された車両用システム100が行う基本的な動作を示すフローチャートである。
制御器120は、複数の車載装置110に対する不正な攻撃の侵入の深度に従って、車両130の外部への通信方法と、不正な攻撃に対する防御方法と、複数の車載装置110に関するログの保存方法とのうち少なくとも1つを変更する(S101)。ここで、不正な攻撃の侵入の深度は、複数の車載装置110のそれぞれに対する不正な攻撃の侵入の深度であってもよいし、複数の車載装置110の全体に対する不正な攻撃の侵入の深度であってもよい。
具体的には、制御器120は、通信先、通信経路、どの車載装置110が通信に用いられるか、通信頻度、通信タイミング、及び、通信内容のうち、少なくとも1つを変更することにより、通信方法を変更してもよい。また、制御器120は、車両130又は1以上の車載装置110等の動作モードを変更することにより、防御方法を変更してもよい。
また、制御器120は、保存先、どの車載装置110が保存に用いられるか、保存頻度、保存タイミング、保存内容、保存内容の署名の有無、及び、保存内容の暗号化の有無のうち、少なくとも1つを変更することにより、保存方法を変更してもよい。
例えば、制御器120は、侵入が深い場合に、侵入が浅い場合とは異なる通信経路を通信に用いてもよい。また、制御器120は、侵入が深い場合に、侵入が浅い場合とは異なる動作を攻撃に対する防御として複数の車載装置110に行わせてもよい。また、制御器120は、侵入が深い場合に、侵入が浅い場合とは異なる保存先にログを保存してもよい。
また、制御器120は、不正な攻撃の侵入の深度に従って、侵入経路上の車載装置110のログを収集して、侵入経路上の車載装置110のログを送信又は保存してもよい。
また、侵入が深い場合と、侵入が浅い場合とで、車両用システム100における複数の車載装置110のうち、利用可能な車載装置110が異なる。制御器120は、侵入の深度に従って、利用可能な車載装置110を選択し、利用可能な車載装置110が用いられるように、通信、防御又は保存の制御を行ってもよい。すなわち、制御器120は、攻撃されている車載装置110が用いられないように、通信、防御又は保存の制御を行ってもよい。
これにより、制御器120は、攻撃の状況に従って、通信方法、防御方法又は保存方法等を変更することができる。すなわち、制御器120は、攻撃に対して適応的な制御を行うことができる。
また、制御器120は、複数の車載装置110のそれぞれにおける異常を検知してもよい。例えば、制御器120は、複数の車載装置110のうちの1つの車載装置110において異常が発生した場合、1つの車載装置110において発生した異常を検知する。制御器120は、複数の車載装置110のそれぞれのログを収集し、ログに基づいて異常を検知してもよいし、複数の車載装置110に対してコマンドを送信し、その応答に基づいて異常を検知してもよい。
そして、制御器120は、検知された異常に従って、不正な攻撃の侵入の深度を推定してもよい。例えば、制御器120は、異常が検知された車載装置110まで、侵入の深度が到達していると推定してもよい。そして、制御器120は、推定された深度に従って、通信方法、防御方法又は保存方法等を変更してもよい。
また、侵入の深度が車載装置110に到達するとは、侵入が車載装置110に到達する、又は、攻撃が車載装置110に到達するとも表現され得る。
以下、図5〜図17を用いて、上述した車両用システム100のより具体的な例を説明する。
図5は、図1に示された車両用システム100の第1具体例を示すブロック図である。図5に示された車両用システム100は、車両310に搭載され、E−call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320等を備える。例えば、TCU312及びIVI313は、USB(ユニバーサルシリアルバス)によって接続される。
また、E−call311、TCU312、IVI313、及び、GW315は、CAN(Controller Area Network)又はイーサネット(登録商標)によって接続される。また、GW315、ADAS ECU317、及び、V2X ECU318は、CAN又はイーサネット(登録商標)によって接続される。また、GW315、1以上のECU319、及び、1以上の制御系ECU320は、CAN又はイーサネット(登録商標)によって接続される。
また、車両用システム100の少なくとも一部の構成要素間は、CAN及びイーサネット(登録商標)の両方で接続されてもよく、CAN及びイーサネット(登録商標)の両方で通信可能であってもよい。
ここでは、ADAS ECU317、及び、V2X ECU318が接続するバスと、1以上のECU319、及び、1以上の制御系ECU320が接続するバスとが互いに異なっている。しかしながら、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320が共通のバスに接続してもよい。
また、E−call311、及び、TCU312は、携帯電話網を介してインターネット302に接続され、インターネット302を介して、サーバ301に接続される。また、IVI313は、Bluetooth(登録商標)、USB又はWiFi(登録商標)によってAP303又は端末装置304等に接続される。そして、IVI313は、AP303又は端末装置304等を介してインターネット302に接続され、インターネット302を介してサーバ301に接続される。
また、V2X ECU318は、DSRC又はWiFi(登録商標)によって車両305又はインフラ306に接続される。車両305及びインフラ306は、インターネット302に接続され、インターネット302を介して、サーバ301に接続される。
E−call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320は、図1に示された複数の車載装置110の例である。また、サーバ301は、図1に示された外部装置150の例である。また、インターネット302は、図1に示された外部ネットワーク140の例である。
E−call311は、事故発生時に情報を自動的に送信する情報処理部である。E−call311は、自動緊急通報装置とも表現され得る。例えば、E−call311は、携帯電話網を介して無線でインターネット302に接続し、インターネット302を介して情報をサーバ301へ送信する。E−call311は、無線で通信を行うためのアンテナを含んでいてもよい。また、E−call311は、TCU312と一体化されていてもよい。
TCU(テレマティクス通信ユニット)312は、通信を行う情報処理部である。例えば、TCU312は、携帯電話網を介して無線でインターネット302に接続し、インターネット302を介してサーバ301と通信する。TCU312は、無線で通信を行うためのアンテナを含んでいてもよい。また、TCU312は、E−call311と一体化されていてもよい。
IVI(車載インフォテインメント)313は、情報及び娯楽等の提供を行う情報処理部である。IVI313は、情報提供装置とも表現され得る。例えば、IVI313は、カーナビ、カーオーディオ又はテレビチューナー等として用いられる。
例えば、IVI313は、Bluetooth(登録商標)又はWiFi(登録商標)等の通信機能を有しており、AP303又は端末装置304等に接続してもよい。さらに、IVI313は、AP303又は端末装置304等を介してインターネット302に接続し、インターネット302を介してサーバ301と通信してもよい。また、IVI313は、無線で通信を行うためのアンテナを含んでいてもよい。
GW(ゲートウェイ)315は、複数のネットワークを接続する情報処理部であって、1つのネットワークから他のネットワークへ情報を転送する。例えば、GW315は、E−call311とTCU312とIVI313とのネットワークと、ADAS ECU317とV2X ECU318とのネットワークと、1以上のECU319と1以上の制御系ECU320とのネットワークとを接続する。
また、GW315は、車両310における他の各構成要素と複数の通信路で通信可能であってもよい。例えば、GW315は、主通信路としてCANの通信路で通信を行い、副通信路としてイーサネット(登録商標)の通信路で通信を行ってもよい。そして、GW315は、通信路毎に独立したハードウェア及びソフトウェアを備えていてもよい。これにより、GW315は、一方の通信路が利用不可であっても、他方の通信路を利用できる場合がある。一方の通信路のみで最低限の制御を行う動作モードをセーフモードと呼ぶ。
ADAS(先進運転支援システム:Advanced Driver Assistant System) ECU317は、車両310のドライバーの運転操作を支援する情報処理部である。例えば、ADAS ECU317は、車両310を運転するための信号を制御系ECU320へ送信することにより、レーンキープ又は自動ブレーキ等の運転支援を行う。すなわち、ADAS ECU317は、車両310の運転の自動化を支援するための制御を行う。
V2X ECU318は、他の車両305又はインフラ306等と通信する情報処理部である。他の車両305との通信は、車車間通信(V2V)とも呼ばれる。インフラ306との通信は、路車間通信(V2I)とも呼ばれる。また、V2X ECU318は、V2X通信部とも表現され得る。例えば、V2X ECU318は、無線で、他の車両305又はインフラ306等と接続し、他の車両305又はインフラ306等と通信する。V2X ECU318は、無線で通信を行うためのアンテナを含んでいてもよい。
ECU319は、車両310の電子制御を行う情報処理部である。ECU319は、車両310の駆動制御とは異なる制御を行う。ECU319は、窓の開閉を制御してもよいし、ドアロックを制御してもよい。
制御系ECU320は、ECU319と同様に、車両310の電子制御を行う情報処理部である。制御系ECU320は、車両310の駆動制御を行う。制御系ECU320は、車両310の走行を制御してもよいし、車両310の停止を制御してもよい。また、制御系ECU320は、車両310の走行速度を制御してもよいし、車両310の走行方向(ステアリング)を制御してもよい。
サーバ301は、情報処理を行う情報処理装置である。サーバ301は、インターネット302等を介して、車両310と通信する。例えば、サーバ301は、車両310からログ等の情報を収集し、ログ等の情報を解析することにより不正な攻撃等の情報を取得し、車両310へ不正な攻撃等の情報を提供する。
インターネット302は、情報通信を行うための通信ネットワークである。サーバ301及び車両310等が、インターネット302を介して、通信を行う。
AP(アクセスポイント)303は、無線通信を行う情報処理装置である。AP303は、無線基地局とも呼ばれる。例えば、AP303は、IVI313と無線で通信を行う。また、AP303は、無線又は有線でインターネット302に接続し、インターネット302を介して、サーバ301と通信を行う。これにより、AP303は、IVI313とサーバ301との間の通信を中継する。
端末装置304は、通信を行う情報処理装置である。端末装置304は、携帯情報端末であってもよいし、携帯電話であってもよいし、スマートフォンであってもよいし、タブレットであってもよい。例えば、端末装置304は、無線又は有線でIVI313と通信を行う。また、端末装置304は、無線でインターネット302に接続し、インターネット302を介して、サーバ301と通信を行う。これにより、端末装置304は、IVI313とサーバ301との間の通信を中継する。
車両305は、車両310とは別の車両である。車両305は、車両310と車車間通信を行う。また、車両305は、インターネット302に接続し、インターネット302を介してサーバ301と通信可能であってもよい。また、車両305は、車両310と同様に構成されていてもよい。
インフラ306は、道路又は信号機等の設備である。インフラ306は、車両310と路車間通信を行う。また、インフラ306は、インターネット302に接続し、インターネット302を介してサーバ301と通信可能であってもよい。
車両用システム100は、さらに、制御器120の役割を果たす監視ECU316を備えてもよい。
監視ECU316は、車両用システム100に含まれるE−call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320等を監視する。また、監視ECU316は、複数の車載ネットワークに接続され、複数の車載ネットワークを監視する。ここで、複数の車載ネットワークは、例えば、CANで通信を行うための複数のバスを含む。
監視ECU316は、1以上の車載ネットワークを介して、E−call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320等を監視してもよい。例えば、監視ECU316は、各構成要素からログを取得して、ログに従って不正な動作を検知してもよい。あるいは、監視ECU316は、各構成要素へ指示信号を送信し、その応答信号に従って不正な動作を検知してもよい。
車両用システム100は、監視ECU316の代わりに、IVI313において、監視ECU316と同様の役割を果たす監視ブロック314を備えてもよい。例えば、監視ブロック314は、IVI313において、IVI313の基本機能の実装部分と隔離して実装されてもよい。監視ブロック314の実装には、ハイパーバイザ、マルチCPU、マルチコア、又は、TrustZone(登録商標)等が用いられてもよい。
例えば、サーバ301に対する正常ログ及び異常ログの常時送信又は緊急送信が、不正な攻撃によって阻害される場合がある。また、事故検証用ログを車両310に保存することが困難な場合がある。また、TCU312又はGW315が不正な攻撃で乗っ取られ、不正な攻撃に対する防御が困難な場合がある。
これに対して、例えば、IVI313が、車両用システム100のディペンダビリティの向上に用いられてもよい。具体的には、IVI313は、常時ログを保存し、通信可能時に送信を行ってもよい。また、IVI313は、緊急時に、IVI313のリソースを用いて、車両310の状態を特定し、ADASの無効化を行ってもよい。
また、IVI313は、セキュリティチップを用いて、事故発生時のログを署名付きで保存してもよい。また、IVI313は、セキュリティチップを用いて完全性を保証することで、TCU312又はGW315の乗っ取りを監視してもよい。
また、IVI313が、仮想化技術、又は、CPUの二重化等によって、2つ以上のブロックに分離されてもよい。そして、上述したように、1つのブロック(監視ブロック314)に、監視機能が配置されてもよい。そして、監視ブロック314は、TCU312及びGW315等を監視し、異常及び被害の状態を特定してもよい。
また、TCU312は、正常ログの定期アップロード、及び、異常発生時の緊急通知を行ってもよい。一方で、IVI313は、TCU312が正常ログの定期アップロードを行えない場合、正常ログの一時保存及び再アップロードを行ってもよい。
また、IVI313は、異常時の分析に必要なログの収集、選別、保存及びアップロードを行ってもよい。また、IVI313は、TCU312の乗っ取りを検知してもよい。また、TCU312が乗っ取られた場合、IVI313は、WiFi(登録商標)等の別の通信経路で通信を行ってもよい。また、IVI313は、エビデンスログを保存してもよい。
また、IVI313の代わりに、GW315が監視を行ってもよいし、ADAS ECU317が監視を行ってもよいし、V2X ECU318が監視を行ってもよい。また、GW315が二重化されてもよいし、ADAS ECU317が二重化されてもよいし、V2X ECU318が二重化されてもよい。すなわち、監視ブロック314が、GW315に配置されてもよいし、ADAS ECU317に配置されてもよいし、V2X ECU318に配置されてもよい。
図6は、図5に示された車両用システム100における第1侵入例を示す概念図である。例えば、車両用システム100に対して、TCU312、IVI313、GW315、ADAS ECU317、及び、制御系ECU320の順で、攻撃が行われると想定される。
なお、TCU312への攻撃はスキップされる場合もある。例えば、TCU312が土管のように用いられている場合、TCU312が乗っ取られることなく、IVI313が攻撃される可能性がある。また、ADAS ECU317への攻撃はスキップされる場合がある。例えば、GW315が乗っ取られた場合、ADAS ECU317へ攻撃されることなく、制御系ECU320が攻撃される可能性がある。
図7は、図5に示された車両用システム100における第1侵入例において監視ECU316又は監視ブロック314が制御を行う場合の制御例を示すテーブル図である。図7には、第1侵入例における侵入の各深度において、監視ECU316又は監視ブロック314が行う制御が示されている。この例において、監視ECU316は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。なお、通知と同様の通信方法で、保存されたログがサーバ301へ送信されてもよい。
例えば、TCU312に対する攻撃が失敗した場合、監視ECU316は、TCU312で攻撃の情報をサーバ301へ通知する。また、TCU312に対する攻撃が成功した場合、監視ECU316は、IVI313で攻撃の情報をサーバ301へ通知する。
また、TCU312が攻撃された場合、監視ECU316は、TCU312を停止し、TCU312を介さない通信系へ、外部との通信系を切り替える。なお、TCU312に対する攻撃が失敗していれば、監視ECU316は、TCU312で攻撃の情報をサーバ301へ通知してから、TCU312を介さない通信系へ、外部との通信系を切り替えてもよい。
また、TCU312が攻撃された場合、監視ECU316は、TCU312のログ、及び、TCU312が接続している車載ネットワークのログを収集し、これらのログに署名を付与して、これらのログを監視ECU316において保存する。具体的には、監視ECU316は、監視ECU316が備えるメモリにログを保存する。その際、監視ECU316は、GPS(Global Positioning System)及びGPS時間を用いて、位置情報及びタイムスタンプをログに付加してもよい。
また、IVI313が攻撃された場合において、TCU312が利用可能なら、監視ECU316は、TCU312で攻撃の情報をサーバ301へ通知する。TCU312が利用不可なら、監視ECU316は、V2X ECU318又はE−call311で攻撃の情報をサーバ301へ通知する。全てが利用不可なら、監視ECU316は、攻撃の情報をユーザへ通知する。
IVI313よりも深くに侵入が到達した場合も、同様の通信経路で通知が行われる。監視ECU316は、通知する情報を深度に従って変更してもよい。
また、IVI313が攻撃された場合、監視ECU316は、IVI313を停止し、IVI313を介さない通信系へ、外部との通信系を切り替える。また、IVI313が攻撃された場合、監視ECU316は、保存対象のログに、IVI313のログ、及び、IVI313が接続している車載ネットワークのログを追加する。つまり、この場合、監視ECU316は、IVI313のログ、及び、IVI313が接続している車載ネットワークのログを新たに保存する。
また、2つの通信路のそれぞれの通信機能を有するGW315の一方の通信路の通信機能に対する攻撃が成功した場合、監視ECU316は、利用可能な他方の通信路を介して、GW315の動作モードをセーフモードに切り替える。これにより、2つの通信路のうち利用可能な他方の通信路のみが通信に利用される。GW315の全通信路に対する攻撃が成功した場合、監視ECU316は、自動運転を停止する。あるいは、この場合、監視ECU316は、自動運転をフェールセーフへ移行する。あるいは、この場合、監視ECU316は、車両310の走行を停止させるよう指示してもよい。
また、GW315の一方の通信路が攻撃された場合、監視ECU316は、攻撃された通信路の情報等をADAS ECU317及び制御系ECU320等へ通知する。これにより、監視ECU316は、ADAS ECU317及び制御系ECU320等が、攻撃された通信路から信号を受信しないように制御する。
また、GW315が攻撃された場合、監視ECU316は、CANにおける不正コマンドをエラーフレームで上書きする。例えば、監視ECU316は、GW315から出力されるコマンドを検知した場合、エラーフレームを出力することで、GW315から出力されるコマンドをエラーフレームで上書きする。
また、GW315が攻撃された場合、監視ECU316は、保存対象のログに、GW315のログを追加する。監視ECU316は、GW315のログを通信路毎に保存してもよい。
また、ADAS ECU317又は制御系ECU320が攻撃された場合、監視ECU316は、CANにおける不正コマンドをエラーフレームで上書きしてもよい。例えば、監視ECU316は、ADAS ECU317又は制御系ECU320から出力されるコマンドを検知した場合、エラーフレームを出力してもよい。これにより、ADAS ECU317又は制御系ECU320から出力されるコマンドがエラーフレームで上書きされる。
また、ADAS ECU317又は制御系ECU320が攻撃された場合、監視ECU316は、保存対象のログに、ADAS ECU317又は制御系ECU320のログを追加する。この場合、監視ECU316は、保存対象のログに、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320のログを追加してもよい。そして、監視ECU316は、これらのログをECU毎に保存してもよい。
また、ADAS ECU317又は制御系ECU320が攻撃された場合、監視ECU316は、保存対象のログに、ADAS ECU317又は制御系ECU320が接続する車載ネットワークのログを追加してもよい。また、この場合、監視ECU316は、保存対象のログに、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320が接続する複数のバスのログを追加してもよい。そして、監視ECU316は、これらのログをバス毎に保存してもよい。
侵入が深くなるほど、ログの情報量が大きくなる。監視ECU316は、セキュリティをより高めるため、現在の侵入の深度よりも深い侵入の深度に従って、ログを保存してもよいし、ログを送信してもよい。例えば、IVI313が攻撃された場合、監視ECU316は、保存対象のログに、GW315のログを含めてもよい。
また、上記では、監視ECU316の動作が示されているが、IVI313における監視ブロック314が、監視ECU316の代わりに、同様の動作を行ってもよい。図5に示された構成において、GW315が攻撃された場合、監視ブロック314は、GW315を介して、制御系ECU320等のログを収集することが困難になる可能性がある。しかしながら、GW315の2つの通信路のうち一方が利用可能なら、監視ブロック314は、利用可能な通信路を介して、制御系ECU320等のログを収集してもよい。
また、監視ブロック314は、監視ブロック314の内部のメモリにログを保存してもよいし、IVI313が監視ブロック314の外部に備えるメモリにログを保存してもよい。また、GW315の2つの通信路のうち一方が利用可能なら、監視ブロック314は、利用可能な通信路を介して、ECU319等に対して、攻撃された構成要素から出力されるコマンドをエラーフレームで上書きするように指示してもよい。
図8は、図5に示された車両用システム100における第1侵入例においてGW315が制御を行う場合の制御例を示すテーブル図である。図8には、第1侵入例における侵入の各深度において、監視ECU316又は監視ブロック314の代わりに、GW315が行う制御が示されている。この例において、GW315は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。
侵入の深度がTCU312又はIVI313に対応する場合、GW315が行う制御は、監視ECU316等が行う制御と同じであって、図7に示された制御と同じである。したがって、侵入の深度がTCU312又はIVI313に対応する場合、図7の説明における監視ECU316をGW315に置き換えることが可能である。
また、GW315の2つの通信路のうち一方の通信路に対する攻撃が成功した場合、GW315は、利用可能な他方の通信路を用いて、侵入の深度がTCU312又はIVI313に対応する場合と同様の通信経路でサーバ301へ通知を行う。GW315よりも侵入が深くに到達した場合も、GW315は、利用可能な他方の通信路を用いて、同様の通信経路でサーバ301へ通知を行う。GW315は、通知する情報を深度に従って変更してもよい。
また、GW315は、攻撃のコマンドを検知した場合、そのコマンドの転送を禁止する。また、GW315の2つの通信路のうち一方の通信路に対する攻撃が成功した場合、GW315は、その通信路の通信機能を停止して、動作モードをセーフモードに切り替える。また、GW315の全通信路が攻撃される前に、GW315は、自動運転を停止する。あるいは、GW315の全通信路が攻撃される前に、GW315は、自動運転をフェールセーフへ移行する。あるいは、この場合、GW315は、車両310の走行を停止させるよう指示してもよい。
また、GW315は、攻撃された通信路をADAS ECU317及び制御系ECU320等へ通知することにより、ADAS ECU317及び制御系ECU320等が、攻撃された通信路から信号を受信しないように制御する。
また、GW315が攻撃された場合、GW315は、保存対象のログに、GW315のログを追加する。GW315は、GW315のログを通信路毎に保存してもよい。
また、ADAS ECU317又は制御系ECU320が攻撃された場合において、GW315の一方の通信路が利用可能なら、GW315は、保存対象のログに、ADAS ECU317又は制御系ECU320のログを追加する。
すなわち、ADAS ECU317又は制御系ECU320が攻撃された場合、GW315は、利用可能な通信路を介して、ADAS ECU317又は制御系ECU320のログを収集し、収集されたログを保存する。また、この場合、GW315は、保存対象のログに、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320のログを追加してもよい。そして、GW315は、これらのログをECU毎に保存してもよい。
また、ADAS ECU317又は制御系ECU320が攻撃された場合、GW315の一方の通信路が利用可能なら、GW315は、保存対象のログに、ADAS ECU317又は制御系ECU320が接続する車載ネットワークのログを追加してもよい。
すなわち、ADAS ECU317又は制御系ECU320が攻撃された場合、GW315は、利用可能な通信路を介して、ADAS ECU317又は制御系ECU320が接続する車載ネットワークのログを収集し、収集されたログを保存する。また、この場合、GW315は、保存対象のログに、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320が接続する複数のバスのログを追加してもよい。そして、GW315は、バス毎にログを保存してもよい。
侵入が深くなるほど、ログの情報量が大きくなる。GW315は、セキュリティをより高めるため、現在の侵入の深度よりも深い侵入の深度に従って、ログを保存してもよいし、ログを送信してもよい。IVI313が攻撃された場合、GW315は、保存対象のログに、GW315のログを含めてもよい。
GW315が備えるメモリの容量は基本的に小さい。そのため、GW315は、GW315が備えるメモリに最小限のログを保存し、IVI313が備えるメモリに残りのログを保存してもよい。また、GW315は、IVI313が攻撃されていない場合に、IVI313が備えるメモリに残りのログ等を保存してもよい。
また、IVI313における監視ブロック314と同様に、GW315が監視ブロックを含み、GW315における監視ブロックが上述した制御を行ってもよい。これにより、GW315における監視ブロックは、監視ECU316と同等の制御を行うことができる。
図9は、図5に示された車両用システム100における第1侵入例においてADAS ECU317が制御を行う場合の制御例を示すテーブル図である。図9には、第1侵入例における侵入の各深度において、監視ECU316又は監視ブロック314の代わりに、ADAS ECU317が行う制御が示されている。この例において、ADAS ECU317は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。
侵入の深度がTCU312、IVI313及びGW315のいずれかに対応する場合、ADAS ECU317が行う制御は、監視ECU316等が行う制御と同じであって、図7に示された制御と同じである。したがって、侵入の深度がTCU312、IVI313及びGW315のいずれかに対応する場合、図7の説明における監視ECU316をADAS ECU317に置き換えることが可能である。
ただし、ADAS ECU317は、TCU312及びIVI313等のログを収集する際、GW315の利用可能な通信路を介してログを収集する。また、ADAS ECU317は、GW315を介して、TCU312及びIVI313の不正な動作の検知等を行う。
一方で、侵入の深度が、ADAS ECU317と同じ、又は、ADAS ECU317よりも深い場合、ADAS ECU317が攻撃によって適切に動作しない可能性があるため、この例では制御が規定されていない。
図10は、図5に示された車両用システム100における第1侵入例においてV2X ECU318が制御を行う場合の制御例を示すテーブル図である。図10には、第1侵入例における侵入の各深度において、監視ECU316又は監視ブロック314の代わりに、V2X ECU318が行う制御が示されている。この例において、V2X ECU318は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。
V2X ECU318が行う制御は、監視ECU316等が行う制御と同じであって、図7に示された制御と同じである。したがって、図7の説明における監視ECU316をV2X ECU318に置き換えることが可能である。
ただし、V2X ECU318は、TCU312、IVI313及び制御系ECU320等のログを収集する際、GW315の利用可能な通信路を介してログを収集する。また、V2X ECU318は、GW315を介して、TCU312及びIVI313の不正な動作の検知等を行う。
図11は、図5に示された車両用システム100における第1侵入例においてIVI313が制御を行う場合の制御例を示すテーブル図である。図11には、第1侵入例における侵入の各深度において、監視ECU316又は監視ブロック314の代わりに、IVI313が行う制御が示されている。この例において、IVI313は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。
また、この例では、IVI313が監視ブロック314を備えていないことが想定されている。また、この例では、TCU312が攻撃された後、IVI313が攻撃されずに、GW315が攻撃されることが想定されている。
侵入の深度がTCU312に対応する場合、IVI313が行う制御は、監視ECU316等が行う制御と同じであって、図7に示された制御と同じである。したがって、侵入の深度がTCU312に対応する場合、図7の説明における監視ECU316をIVI313に置き換えることが可能である。
また、GW315が攻撃された場合において、TCU312が利用可能なら、IVI313は、TCU312で攻撃の情報をサーバ301へ通知する。また、この場合において、TCU312が利用不可なら、IVI313は、IVI313で攻撃の情報をサーバ301へ通知する。すなわち、TCU312が利用不可なら、IVI313は、TCU312を経由せずにIVI313からサーバ301へ接続する通信経路を介して、攻撃の情報をサーバ301へ通知する。
GW315よりも侵入が深くに到達した場合も、同様の通信経路で通知が行われる。IVI313は、通知する情報を深度に従って変更してもよい。
また、GW315の2つの通信路のうち一方の通信路に対する攻撃が成功した場合、IVI313は、他方の通信路を介して、GW315の動作モードをセーフモードに切り替える。また、IVI313は、攻撃された通信路をADAS ECU317及び制御系ECU320等へ利用可能な通信路を介して通知することにより、ADAS ECU317及び制御系ECU320等が、攻撃された通信路から信号を受信しないように制御する。
また、GW315が攻撃された場合、IVI313は、保存対象のログにGW315のログを追加する。また、ADAS ECU317又は制御系ECU320が攻撃された場合、IVI313は、保存対象のログにADAS ECU317又は制御系ECU320のログを追加する。これらの動作は、図7及び図8等で示された例と同様である。IVI313は、GW315の利用可能な通信路を介して、ログを収集してもよい。
図12は、図5に示された車両用システム100における第2侵入例を示す概念図である。図12には、図5に示された第1侵入例とは異なる第2侵入例が示されている。この例では、車両用システム100に対して、V2X ECU318、ADAS ECU317、GW315、及び、制御系ECU320の順で、攻撃が行われると想定されている。
なお、ADAS ECU317への攻撃はスキップされる場合がある。例えば、V2X ECU318が乗っ取られた場合、ADAS ECU317へ攻撃されることなく、GW315が攻撃される可能性がある。また、GW315への攻撃はスキップされる場合がある。例えば、ADAS ECU317が乗っ取られた場合、GW315へ攻撃されることなく、制御系ECU320が攻撃される可能性がある。さらに、ADAS ECU317、及び、GW315への攻撃はスキップされる場合がある。
図13は、図5に示された車両用システム100における第2侵入例において監視ECU316又は監視ブロック314が制御を行う場合の制御例を示すテーブル図である。図13には、第2侵入例における侵入の各深度において、監視ECU316又は監視ブロック314が行う制御が示されている。この例において、監視ECU316は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。
例えば、V2X ECU318が攻撃された場合、監視ECU316は、TCU312、IVI313又はE−call311で攻撃の情報をサーバ301へ通知する。全てが利用不可なら、監視ECU316は、攻撃の情報をユーザへ通知する。V2X ECU318よりも侵入が深くに到達した場合も、同様の通信経路で通知が行われる。監視ECU316は、通知する情報を深度に従って変更してもよい。
また、V2X ECU318が攻撃された場合、監視ECU316は、V2X ECU318を停止し、V2X ECU318を介さない通信系へ、外部との通信系を切り替える。また、この場合、監視ECU316は、攻撃の情報をADAS ECU317及び制御系ECU320等へ通知することにより、攻撃された通信路から信号を受信しないように、ADAS ECU317及び制御系ECU320等を制御する。
また、V2X ECU318が攻撃された場合、監視ECU316は、CANにおける不正コマンドをエラーフレームで上書きする。例えば、監視ECU316は、V2X ECU318から出力されるコマンドを検知した場合、エラーフレームを出力することで、V2X ECU318から出力されるコマンドをエラーフレームで上書きする。
また、V2X ECU318が攻撃された場合、監視ECU316は、V2X ECU318のログ、及び、V2X ECU318が接続している車載ネットワークのログを収集する。そして、監視ECU316は、これらのログに署名を付与して、これらのログを監視ECU316において保存する。具体的には、監視ECU316は、監視ECU316が備えるメモリにログを保存する。その際、監視ECU316は、GPS及びGPS時間を用いて、位置情報及びタイムスタンプをログに付加してもよい。
また、ADAS ECU317が攻撃された場合、監視ECU316は、CANにおける不正コマンドをエラーフレームで上書きする。例えば、監視ECU316は、ADAS ECU317から出力されるコマンドを検知した場合、エラーフレームを出力することで、ADAS ECU317から出力されるコマンドをエラーフレームで上書きする。また、ADAS ECU317が攻撃された場合、監視ECU316は、保存対象のログに、ADAS ECU317のログを追加する。
また、GW315の2つの通信路のうち一方の通信路に対する攻撃が成功した場合、監視ECU316は、他方の通信路を介して、GW315の動作モードをセーフモードに切り替える。GW315の全通信路に対する攻撃が成功した場合、監視ECU316は、自動運転を停止する。あるいは、この場合、監視ECU316は、自動運転をフェールセーフへ移行する。あるいは、この場合、監視ECU316は、車両310の走行を停止させるよう指示してもよい。
また、GW315が攻撃された場合、監視ECU316は、CANにおける不正コマンドをエラーフレームで上書きする。例えば、監視ECU316は、GW315から出力されるコマンドを検知した場合、エラーフレームを出力することで、GW315から出力されるコマンドをエラーフレームで上書きする。
また、GW315が攻撃された場合、監視ECU316は、保存対象のログに、GW315のログを追加する。監視ECU316は、GW315のログを通信路毎に保存してもよい。
また、制御系ECU320が攻撃された場合、監視ECU316は、CANにおける不正コマンドをエラーフレームで上書きする。例えば、監視ECU316は、制御系ECU320から出力されるコマンドを検知した場合、エラーフレームを出力することで、制御系ECU320から出力されるコマンドをエラーフレームで上書きする。
また、制御系ECU320が攻撃された場合、監視ECU316は、保存対象のログに、制御系ECU320のログを追加する。この場合、監視ECU316は、保存対象のログに、1以上のECU319、及び、1以上の制御系ECU320のログを追加してもよい。そして、監視ECU316は、これらのログをECU毎に保存してもよい。
また、制御系ECU320が攻撃された場合、監視ECU316は、保存対象のログに、制御系ECU320が接続する車載ネットワークのログを追加してもよい。また、この場合、監視ECU316は、保存対象のログに、1以上のECU319、及び、1以上の制御系ECU320が接続する複数のバスのログを追加してもよい。そして、監視ECU316は、これらのログをバス毎に保存してもよい。
侵入が深くなるほど、ログの情報量が大きくなる。監視ECU316は、セキュリティをより高めるため、現在の侵入の深度よりも深い侵入の深度に従って、ログを保存してもよいし、ログを送信してもよい。例えば、ADAS ECU317が攻撃された場合、監視ECU316は、保存対象のログに、GW315のログを含めてもよい。
また、上記では、監視ECU316の動作が示されているが、IVI313における監視ブロック314が、監視ECU316の代わりに、同様の動作を行ってもよい。図5に示された構成において、GW315が攻撃された場合、監視ブロック314は、GW315を介して、制御系ECU320等のログを収集することが困難になる可能性がある。しかしながら、GW315の2つの通信路のうち一方が利用可能なら、監視ブロック314は、利用可能な通信路を介して、制御系ECU320等のログを収集してもよい。
また、監視ブロック314は、監視ブロック314の内部のメモリにログを保存してもよいし、IVI313が監視ブロック314の外部に備えるメモリにログを保存してもよい。また、GW315の2つの通信路のうち一方が利用可能なら、監視ブロック314は、利用可能な通信路を介して、ECU319等に対して、攻撃された構成要素から出力されるコマンドをエラーフレームで上書きするように指示してもよい。
図14は、図5に示された車両用システム100における第2侵入例においてGW315が制御を行う場合の制御例を示すテーブル図である。図14には、第2侵入例における侵入の各深度において、監視ECU316又は監視ブロック314の代わりに、GW315が行う制御が示されている。この例において、GW315は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。
侵入の深度がV2X ECU318又はADAS ECU317に対応する場合、GW315が行う制御は、監視ECU316等が行う制御と同じであって、図13に示された制御と同じである。したがって、侵入の深度がV2X ECU318又はADAS ECU317に対応する場合、図13の説明における監視ECU316をGW315に置き換えることが可能である。
また、GW315の2つの通信路のうち一方の通信路に対する攻撃が成功した場合、GW315は、利用可能な他方の通信路を用いて、侵入の深度がV2X ECU318又はADAS ECU317に対応する場合と同様の通信経路でサーバ301へ通知を行う。また、GW315よりも侵入がより深く到達した場合も、同様の通信経路で通知が行われる。GW315は、通知する情報を深度に従って変更してもよい。
また、GW315は、攻撃のコマンドを検知した場合、そのコマンドの転送を禁止する。また、GW315の2つの通信路のうち一方の通信路に対する攻撃が成功した場合、GW315は、その通信路の通信機能を停止して、動作モードをセーフモードに切り替える。また、GW315の全通信路が攻撃される前に、GW315は、自動運転を停止する。あるいは、GW315の全通信路が攻撃される前に、GW315は、自動運転をフェールセーフへ移行する。あるいは、GW315の全通信路が攻撃される前に、GW315は、車両310の走行を停止させるよう指示してもよい。
また、GW315が攻撃された場合、GW315は、保存対象のログに、GW315のログを追加する。GW315は、GW315のログを通信路毎に保存してもよい。
また、制御系ECU320が攻撃された場合において、GW315の一方の通信路が利用可能なら、GW315は、保存対象のログに、制御系ECU320のログを追加する。
すなわち、制御系ECU320が攻撃された場合、GW315は、利用可能な通信路を介して、制御系ECU320のログを収集し、収集されたログを保存する。また、この場合、GW315は、保存対象のログに、1以上のECU319、及び、1以上の制御系ECU320のログを追加してもよい。そして、GW315は、これらのログをECU毎に保存してもよい。
また、制御系ECU320が攻撃された場合、GW315の一方の通信路が利用可能なら、GW315は、保存対象のログに、制御系ECU320が接続する車載ネットワークのログを追加してもよい。
すなわち、制御系ECU320が攻撃された場合、GW315は、利用可能な通信路を介して、制御系ECU320が接続する車載ネットワークのログを収集し、収集されたログを保存する。また、この場合、GW315は、保存対象のログに、1以上のECU319、及び、1以上の制御系ECU320が接続する複数のバスのログを追加してもよい。そして、GW315は、バス毎にログを保存してもよい。
侵入が深くなるほど、ログの情報量が大きくなる。GW315は、セキュリティをより高めるため、現在の侵入の深度よりも深い侵入の深度に従って、ログを保存してもよいし、ログを送信してもよい。IVI313が攻撃された場合、GW315は、保存対象のログに、GW315のログを含めてもよい。
GW315が備えるメモリの容量は基本的に小さい。そのため、GW315は、ADAS ECU317が備えるメモリにログの一部又は全部を保存してもよいし、IVI313が備えるメモリにログの一部又は全部を保存してもよい。また、GW315の2つの通信路のうち一方の通信路の攻撃が成功した場合、GW315は、他方の利用可能な通信路を介して、ADAS ECU317が備えるメモリ、又は、IVI313が備えるメモリに、ログを保存してもよい。
また、ADAS ECU317が攻撃されている場合、GW315は、IVI313が備えるメモリに、ログを保存してもよい。また、IVI313が攻撃されている場合、GW315は、ADAS ECU317が備えるメモリに、ログを保存してもよい。
図15は、図1に示された車両用システム100の第2具体例を示すブロック図である。図15に示された車両用システム100は、基本的に、図5に示された車両用システム100と同様に構成される。ただし、図15に示された車両用システム100では、ADAS ECU317とV2X ECU318とが、GW315を介して接続される。
図16は、図15に示された車両用システム100における侵入例を示す概念図である。この例では、車両用システム100に対して、V2X ECU318、GW315、ADAS ECU317、及び、制御系ECU320の順で、攻撃が行われると想定されている。
なお、GW315への攻撃はスキップされる場合がある。例えば、V2X ECU318が乗っ取られた場合、GW315へ攻撃されることなく、ADAS ECU317が攻撃される可能性がある。また、ADAS ECU317への攻撃はスキップされる場合がある。例えば、GW315が乗っ取られた場合、ADAS ECU317へ攻撃されることなく、制御系ECU320が攻撃される可能性がある。さらに、GW315、及び、ADAS ECU317への攻撃はスキップされる場合がある。
図17は、図15に示された車両用システム100における侵入例においてADAS ECU317が制御を行う場合の制御例を示すテーブル図である。図17には、図16に示された侵入例における侵入の各深度において、監視ECU316又は監視ブロック314の代わりに、ADAS ECU317が行う制御が示されている。この例において、ADAS ECU317は、侵入の深度に従って、通知、防御及び保存に関する制御を変更する。
例えば、V2X ECU318が攻撃された場合、ADAS ECU317は、TCU312、IVI313又はE−call311で攻撃の情報をサーバ301へ通知する。全てが利用不可なら、ADAS ECU317は、攻撃の情報をユーザへ通知する。
また、V2X ECU318が攻撃された場合、ADAS ECU317は、V2X ECU318を停止し、V2X ECU318を介さない通信系へ、外部との通信系を切り替える。また、この場合、ADAS ECU317は、攻撃の情報を制御系ECU320等へ通知することにより、攻撃された通信路から信号を受信しないように、制御系ECU320等を制御する。
また、V2X ECU318が攻撃された場合、ADAS ECU317は、V2X ECU318のログ、及び、V2X ECU318が接続している車載ネットワークのログを収集する。そして、ADAS ECU317は、これらのログに署名を付与して、これらのログを監視ECU316において保存する。
具体的には、ADAS ECU317は、ADAS ECU317が備えるメモリにログを保存する。その際、ADAS ECU317は、GPS及びGPS時間を用いて、位置情報及びタイムスタンプをログに付加してもよい。
また、GW315の2つの通信路のうち一方の通信路に対する攻撃が成功した場合、ADAS ECU317は、他方の通信路を介して、GW315の動作モードをセーフモードに切り替える。また、GW315の全通信路が攻撃される前に、ADAS ECU317は、自動運転を停止する。あるいは、GW315の全通信路が攻撃される前に、ADAS ECU317は、自動運転をフェールセーフへ移行する。あるいは、GW315の全通信路が攻撃される前に、ADAS ECU317は、車両310の走行を停止させるよう指示してもよい。
また、GW315が攻撃された場合、ADAS ECU317は、CANにおける不正コマンドをエラーフレームで上書きする。例えば、ADAS ECU317は、GW315から出力されるコマンドを検知した場合、エラーフレームを出力することで、GW315から出力されるコマンドをエラーフレームで上書きする。
また、GW315が攻撃された場合、ADAS ECU317は、保存対象のログに、GW315のログを追加する。ADAS ECU317は、GW315のログを通信路毎に保存してもよい。
図2及び図5〜図17等に示された車両用システム100の構成及び動作は、例であって、車両用システム100の構成及び動作は、このような例に限られない。車両用システム100が備える複数の車載装置110及び制御器120は、様々に構成され得る。
例えば、GW315は、他の装置と一体化されていてもよい。具体的には、GW315は、TCU312と一体化されていてもよい。あるいは、GW315は、いずれかのECU319と一体化されていてもよいし、いずれかの制御系ECU320と一体化されていてもよい。あるいは、GW315は、ADAS ECU317、又は、V2X ECU318と一体化されていてもよい。
また、例えば、車両用システム100は、複数のGW315を備えていてもよい。具体的には、車両用システム100は、CANに用いられるGW315と、イーサネット(登録商標)に用いられるGW315とを備えていてもよい。そして、2つの通信路の一方が攻撃されたか両方が攻撃されたかに基づく防御方法の変更と同様に、2つのGW315の一方が攻撃されたか両方が攻撃されたかに基づいて、防御方法が変更されてもよい。
また、例えば、監視ECU316等は、自装置にログを保存せずに、専用の記憶装置にログを保存してもよいし、別の装置にログを保存してもよい。また、監視ECU316等は、侵入の深度に従って、ログの保存先の装置を変更してもよい。そして、監視ECU316等は、侵入の深度に従って、ログの保存先の装置を変更すると共に、ログの取得対象の装置を変更してもよい。
図5等の例において、TCU312、IVI313、GW315、及び、ADAS ECU317等を経由して、車両310の駆動を制御する制御系ECU320が攻撃される可能性がある。一方、TCU312、IVI313、GW315、ADAS ECU317、及び、制御系ECU320のうち1つの装置のログで、攻撃を識別することが困難な場合がある。また、1つの装置のログで、攻撃の全体像を識別することは困難である。
具体的には、ADAS ECU317のログに異常なコマンドが含まれていても、異常なコマンドは、故障、又は、想定外の操作に起因している可能性がある。一方で、TCU312にも、異常が発生している場合、これらの異常は、不正な攻撃に起因している可能性が高い。
そこで、例えば、本実施の形態における車両用システム100は、1つの装置で攻撃(又は攻撃と想定される異常等)が検知された場合、その1つの装置に攻撃が到達するまでに経由する1以上の装置のログを通知又は保存する。また、車両用システム100は、攻撃された装置及び機能を用いずに、ログを通知又は保存する。これにより、適切にログが通知又は保存され、攻撃及びその全体像の識別が可能になる。
(実施の形態2)
本実施の形態において、不正な攻撃が行われているか否かを判定するための具体的な構成及び処理を説明する。本実施の形態における基本的な構成及び処理は、図1〜17を用いて説明された実施の形態1における構成及び処理と同じである。以下、主に、実施の形態1とは異なる部分を説明する。
図18は、本実施の形態における車両用システム100等の構成を示すブロック図である。実施の形態1と比較して、車両用システム100は、さらに、判定器160を備える。
判定器160は、不正な攻撃が行われているか否かを判定する情報処理器である。具体的には、判定器160は、複数の車載装置110における異常を示す情報を取得する。そして、判定器160は、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かを判定する。
例えば、判定器160は、異常発生順序が所定の順序に整合する場合、不正な攻撃が行われていると判定してもよい。所定の順序は、複数の車載装置110のうち少なくとも2つの車載装置110が、所定の侵入経路に沿って、より浅い方からより深い方へ並べられた順序であってもよい。
また、判定器160は、制御器120に含まれていてもよい。また、判定器160は、複数の車載装置110のいずれかに含まれていてもよい。また、判定器160は、制御器120と同様に、直接的又は間接的に、複数の車載装置110のそれぞれと接続されていてもよい。
また、本実施の形態における車両用システム100は、図2のように、異常検知部201、保存制御部202、1以上の保存部203、情報収集部204、被害検知部205、送信制御部206、及び、1以上の送信部207を備えていてもよい。これらの各構成要素は、図18に示された複数の車載装置110、制御器120又は判定器160に含まれ得る。
図19は、図2に示された異常検知部201の機能ブロックを示す模式図である。例えば、異常検知部201は、1以上の検知部401、取得部402、処理部403、記憶部404及び出力部405を備える。例えば、取得部402、処理部403、記憶部404及び出力部405が、判定器160に含まれていてもよい。そして、1以上の検知部401が、複数の車載装置110に含まれていてもよい。
検知部401は、車載装置110又は車載ネットワークの異常を検知する情報処理部である。例えば、検知部401は、車載装置110に含まれ、その車載装置110を監視することにより、その車載装置110の異常を検知してもよい。また、検知部401は、ネットワーク経由で、車載装置110を監視することにより、その車載装置110の異常を検知してもよい。検知部401は、車載ネットワークを監視し、車載ネットワークの異常を検知してもよい。
また、例えば、検知部401は、車載装置110又は車載ネットワークのログ等に従って、車載装置110又は車載ネットワークの異常を検知してもよい。
取得部402は、情報を取得する情報処理部である。具体的には、取得部402は、検知部401から異常検知結果を取得する。例えば、検知部401が異常検知結果を送信し、取得部402が異常検知結果を受信することにより、取得部402は、検知部401から異常検知結果を取得する。また、取得部402は、1以上の検知部401のそれぞれにおいて異常が検知される度に異常検知結果を取得することにより、1以上の検知部401から、逐次、複数の異常検知結果を取得する。
また、例えば、取得部402は、車載装置110又は車載ネットワークのログ等に従って、車載装置110又は車載ネットワークの異常を示す情報を異常検知結果として取得してもよい。
処理部403は、情報を処理する情報処理部である。具体的には、処理部403は、複数の異常検知結果に従って、不正な攻撃が行われているか否かを判定する。その際、処理部403は、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かを判定する。また、処理部403は、不正な攻撃が行われていると判定された場合、不正な攻撃の侵入経路、及び、不正な攻撃の侵入の深度を特定してもよい。なお、侵入経路は、攻撃経路とも表現され得る。
記憶部404は、情報が記憶される情報蓄積部である。記憶部404は、メモリ等であってもよい。記憶部404には、処理部403が情報を処理するための情報、つまり、不正な攻撃が行われているか否かを判定するための情報が記憶される。具体的には、記憶部404には、複数の異常検知結果が記憶されてもよいし、所定の攻撃情報が記憶されていてもよいし、不正な攻撃の判定結果が記憶されてもよい。
また、処理部403が、記憶部404に情報を記憶する記憶処理を行ってもよいし、取得部402等の他の構成要素が、記憶部404に情報を記憶する記憶処理を行ってもよい。また、処理部403が、記憶部404に記憶された情報を参照する参照処理を行ってもよいし、出力部405等の他の構成要素が、記憶部404に記憶された情報を参照する参照処理を行ってもよい。
出力部405は、情報を出力する情報処理部である。具体的には、出力部405は、処理部403における判定結果等を出力する。すなわち、出力部405は、不正な攻撃が行われているか否かの判定結果を含む情報を出力する。具体的には、出力部405は、不正な攻撃が行われているか否かの判定結果、不正な攻撃の侵入経路、不正な攻撃の侵入の深度、及び、異常検知結果等を出力してもよい。
例えば、出力部405から出力される情報は、異常検知部201から出力されて、図2に示された保存制御部202及び送信制御部206に入力される。保存制御部202及び送信制御部206は、入力された情報に従って、保存及び送信の制御を行う。
なお、出力部405は、不正な攻撃が行われていると判定された場合、異常検知結果を出力し、不正な攻撃が行われていないと判定された場合、異常検知結果を出力しなくてもよい。また、この場合、出力部405は、不正な攻撃が行われているか否かの判定結果を出力しなくてもよい。また、出力部405は、不正な攻撃が行われていると判定された場合、最も深い位置で発生した異常を示す異常検知結果のみを出力してもよい。
また、図19の構成は、一例であって、異常検知部201の構成は、図19の例に限られない。また、実施の形態1において、被害が異常とは別に説明されているが、被害は異常の一種として異常と同様に扱われてもよい。
図20は、図18に示された車両用システム100が行う基本的な動作を示すフローチャートである。
判定器160は、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かを判定する(S100)。
そして、制御器120は、不正な攻撃が行われていると判定器160によって判定された場合(S100でYes)、実施の形態1で示されたように、不正な攻撃の侵入の深度に従って、通信方法と防御方法と保存方法とのうち少なくとも1つを変更する(S101)。なお、制御器120は、不正な攻撃が行われていないと判定器160によって判定された場合(S100でNo)、既定の通信方法、既定の防御方法、及び、既定の保存方法を維持する。
図21は、図20に示された不正な攻撃の判定処理(S100)を示すフローチャートである。例えば、判定器160は、図19に示された取得部402、処理部403、記憶部404及び出力部405を備え、これらの構成要素が、図21に示された判定処理を行う。
まず、取得部402は、検知部401から異常検知結果を受信し、受信された異常検知結果を記憶部404に記憶する(S201)。そして、処理部403は、受信された異常検知結果と検知時刻が近い複数の異常検知結果を記憶部404から抽出する(S202)。そして、処理部403は、抽出された複数の異常検知結果を検知時刻順に整列する(S203)。
そして、処理部403は、整列された複数の異常検知結果が、所定の攻撃順序に整合するか否かを判定する(S204)。所定の攻撃順序を示す情報は、予め記憶部404に記憶されていてもよい。また、処理部403は、整列された複数の異常検知結果が、複数の所定の攻撃順序のうちの1つに整合するか否かを判定してもよい。
整列された複数の異常検知結果が、所定の攻撃順序に整合する場合(S204でYes)、処理部403は、これらの異常検知結果が不正な攻撃に対応すると判定する(S205)。つまり、処理部403は、不正な攻撃が行われていると判定する。そして、処理部403は、複数の異常検知結果、及び、所定の攻撃順序に従って、侵入経路、及び、侵入の深度を特定する(S206)。
整列された複数の異常検知結果が、所定の攻撃順序に整合しない場合(S204でNo)、処理部403は、これらの異常検知結果が不正な攻撃に対応しないと判定する(S207)。つまり、処理部403は、不正な攻撃が行われていないと判定する。
そして、出力部405は、不正な攻撃か否かの判定結果を含む情報を出力する(S208)。例えば、不正な攻撃が行われていると判定された場合、出力部405は、不正な攻撃が行われていること、侵入経路、及び、侵入の深度を示す情報を出力する。不正な攻撃が行われていないと判定された場合、出力部405は、不正な攻撃が行われていないことを示す情報を出力する。
図22は、図18に示された車両用システム100等の構成の変形例を示すブロック図である。本変形例において、判定器160は、外部装置150に含まれる。
例えば、制御器120は、車載装置110を介して、複数の車載装置110に関するログを外部装置150へ送信する。また、車載装置110において異常が発生した場合、制御器120は、車載装置110において不正な攻撃で異常が発生したと暫定的に定める。そして、制御器120は、暫定的に定められる不正な攻撃の侵入の深度に従って、外部との通信方法、不正な攻撃に対する防御方法、及び、ログの保存方法を変更する。そして、制御器120は、変更された通信方法に従って、ログを外部装置150へ送信する。
そして、例えば、外部装置150は、車両130から複数の車載装置110に関するログを受信する。判定器160は、複数の車載装置110に関するログに従って、複数の車載装置110における異常を示す情報を取得する。そして、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かを最終的に判定する。そして、外部装置150は、判定結果を含む情報を車両130へ送信する。
また、制御器120は、外部装置150から車載装置110を介して判定結果を含む情報を受信し、判定結果を含む情報に従って、外部との通信方法、不正な攻撃に対する防御方法、及び、ログの保存方法を変更又は維持する。
つまり、図18の例では、異常検知結果に従って不正な攻撃が行われているか否かが判定された後に、車両130における通知方法、防御方法又は保存方法等が制御される。一方、図22の例では、異常検知結果に従って車両130における通知方法、防御方法又は保存方法等が制御された後に、不正な攻撃が行われているか否かが判定され、判定結果が制御にフィードバックされる。
図23は、図22に示された車両用システム100の機能ブロックを示す模式図である。例えば、図19に示された異常検知部201の複数の構成要素のうち、取得部402、処理部403、記憶部404及び出力部405が、外部装置150に配置される。
例えば、車両130において、1以上の検知部401を含む異常検知部201が異常を検知する。保存制御部202及び送信制御部206は、異常により暫定的に推定される不正な攻撃の侵入の深度に従って、保存方法及び通信方法を変更する。そして、保存制御部202は、異常検知結果を含むログを保存部203へ保存する。また、送信制御部206は、送信部207を介してログを外部装置150へ送信する。
また、例えば、外部装置150において、取得部402が、車両130から異常検知結果を含むログを取得することにより、異常検知結果を取得し、取得された異常検知結果を記憶部404に記憶する。処理部403は、取得された異常検知結果と検知時刻が近い複数の異常検知結果を記憶部404から取得し、取得された複数の異常検知結果に従って不正な攻撃が行われているか否かを判定する。出力部405は、判定結果を含む情報を出力する。出力部405は、判定結果を含む情報を車両130へ送信する。
そして、車両130において、保存制御部202及び送信制御部206は、外部装置150から情報収集部204等を介して判定結果を含む情報を受信し、判定結果を含む情報に従って、制御を変更又は維持する。
図24は、図18及び図22に示された車両用システム100の具体例を示すブロック図である。図24に示された車両用システム100は、基本的に、図5に示された車両用システム100と同様に構成される。
ただし、監視ブロック314又は監視ECU316は、制御器120の役割を果たすとともに、判定器160の役割を果たす。あるいは、判定器160の役割を果たす監視ブロック324が、監視ブロック314又は監視ECU316とは別に、サーバ301に含まれていてもよい。つまり、車両用システム100は、車両310において、制御器120の役割を果たす監視ブロック314又は監視ECU316を備え、かつ、サーバ301において、判定器160の役割を果たす監視ブロック324を備えてもよい。
例えば、監視ECU316は、実施の形態1と同様に、E−call311、TCU312、IVI313、GW315、ADAS ECU317、V2X ECU318、1以上のECU319、及び、1以上の制御系ECU320等を監視する。そして、監視ECU316は、これらの異常を検知する。
また、監視ECU316は、異常発生順序に従って、不正な攻撃が行われているか否かを判定する。そして、監視ECU316は、不正な攻撃が行われている場合、不正な攻撃の侵入の深度に従って、通信方法、防御方法又は保存方法を変更する。
車両用システム100は、実施の形態1と同様に、監視ECU316の代わりに、監視ECU316と同様の役割を果たす監視ブロック314を備えてもよい。
また、上述した通り、車両用システム100は、サーバ301において、判定器160の役割を果たす監視ブロック324を備えてもよい。この場合、車両310における監視ECU316は、異常を検知し、検知された異常によって暫定的に定められる不正な攻撃の侵入の深度に従って、通信方法、防御方法又は保存方法を変更する。そして、監視ECU316は、異常検知結果を含むログをサーバ301へ送信する。
その後、サーバ301における監視ブロック324は、異常検知結果を含むログを取得する。そして、監視ブロック324は、蓄積された複数の異常検知結果に従って、不正な攻撃が行われているか否かを判定する。そして、監視ブロック324は、判定結果を含む情報を車両310へ送信する。車両310における監視ECU316は、判定結果を含む情報に従って、通信方法、防御方法又は保存方法を変更又は維持する。
また、監視ブロック314、監視ECU316又は監視ブロック324は、IVI313又は端末装置304等を介して、不正な攻撃が行われているか否かの判定結果を含む情報をユーザに通知してもよい。また、監視ブロック314、監視ECU316又は監視ブロック324は、サーバ301が有するユーザインタフェース、又は、インターネット302等を介して、不正な攻撃が行われているか否かの判定結果を含む情報をオペレータに通知してもよい。
不正な攻撃が行われているか否かの判定結果を含む情報は、上述したように、不正な攻撃が行われているか否かの判定結果、不正な攻撃の侵入経路、不正な攻撃の侵入の深度、及び、異常検知結果等を含んでいてもよい。また、不正な攻撃が行われているか否かの判定結果を含む情報は、侵入経路及び侵入箇所等を示す画像を含んでいてもよい。そして、このような情報が、ユーザ又はオペレータに通知されてもよい。
また、例えば、図24に示された監視ブロック314、監視ECU316又は監視ブロック324は、図19に示された取得部402、処理部403、記憶部404及び出力部405を備える。
図25は、図19に示された記憶部404に記憶された複数の異常検知結果を示すテーブル図である。記憶部404には、異常が検知された順に、複数の異常検知結果が記憶される。異常検知結果は、検知時刻と異常発生箇所とを含む。検知時刻は、異常が検知された日時である。ここでは、異常が検知された日時は、異常が発生した日時とみなされる。異常発生箇所は、異常が発生した箇所である。異常検知結果は、その他の情報を含んでいてもよい。
この例では、2018/08/01にIVI313で異常が検知されている。また、2018/08/03に制御系ECU320で異常が検知されている。また、ADAS ECU317で異常が検知されている。2018/08/10に、IVI313で異常が検知され、その後、GW315で異常が検知されている。これらの情報が、記憶部404に記憶される。
図26は、図19に示された記憶部404に記憶される新たな異常検知結果、及び、記憶部404から抽出される複数の異常検知結果を示すテーブル図である。
新たな異常が検知された場合、取得部402は、新たな異常検知結果を取得し、取得された新たな異常検知結果を記憶部404に記憶する。この例では、新たな異常検知結果は、2018/08/10にADAS ECU317で異常が検知されたことを示す。
そして、処理部403は、新たな異常検知結果と検知時刻が近い複数の異常検知結果を記憶部404から抽出する。この例では、処理部403は、新たな異常検知結果を含めて、新たな異常検知結果と同じ日に検知された3つの異常検知結果を抽出する。処理部403は、新たな異常検知結果の検知時刻から24時間以内の異常検知結果を抽出してもよいし、1時間以内の異常検知結果を抽出してもよいし、その他の範囲の異常検知結果を抽出してもよい。
図27は、図19に示された処理部403によって抽出された異常情報と、図19に示された記憶部404に予め記憶された攻撃情報との比較処理を示す模式図である。図19に示された処理部403によって抽出された異常情報は、図26において、処理部403によって抽出された複数の異常検知結果に対応する。
処理部403は、抽出された異常情報と、記憶された攻撃情報とを比較して、抽出された異常情報と、記憶された攻撃情報とが整合するか否かを判定する。すなわち、処理部403は、抽出された複数の異常検知結果によって示される異常発生順序と、所定の攻撃順序とが整合するか否かを判定する。処理部403は、抽出された異常情報と、記憶された攻撃情報とが整合する場合、不正な攻撃が行われていると判定する。つまり、処理部403は、不正な攻撃によって異常が発生していると判定する。
また、攻撃情報として、複数の所定の攻撃順序が、記憶部404に予め記憶されていてもよい。処理部403は、異常発生順序が複数の所定の攻撃順序のうちのいずれかに整合するか否かを判定してもよい。処理部403は、異常発生順序が複数の所定の攻撃順序のうちのいずれかに整合する場合、不正な攻撃が行われていると判定してもよい。その際、処理部403は、複数の所定の攻撃順序のうち異常発生順序が整合する所定の攻撃順序に沿って不正な攻撃が行われていると判定してもよい。
図28は、図19に示された記憶部404に予め記憶される所定の攻撃順序の第1例を示す模式図である。この攻撃順序は、図6のように想定される所定の侵入経路に基づいている。つまり、この攻撃順序では、図6のように想定される所定の侵入経路に基づいて、TCU312、IVI313、GW315、ADAS ECU317、及び、制御系ECU320が、より浅い方からより深い方へ(すなわち浅い順に)並べられている。
図29は、図19に示された記憶部404に予め記憶される所定の攻撃順序の第2例を示す模式図である。この攻撃順序は、図12のように想定される所定の侵入経路に基づいている。つまり、この攻撃順序では、図12のように想定される所定の侵入経路に基づいて、V2X ECU318、ADAS ECU317、GW315、及び、制御系ECU320が、より浅い方からより深い方へ(すなわち浅い順に)並べられている。
異常発生順序が、図28又は図29に示された攻撃順序に整合する場合、本実施の形態における車両用システム100は、異常発生順序が整合する攻撃順序に従って、不正な攻撃が行われていると判定され得る。
上記の通り、本実施の形態における車両用システム100は、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かを判定する。これにより、車両用システム100は、不正な攻撃が行われているか否かを適切に判定することができる。
例えば、異常は、不正な攻撃に限らず、故障、欠陥、外乱又は誤検知等によっても検知される。そのため、検知された全ての異常を不正な攻撃によって発生した異常とみなして、対策を行うことは適切ではない。したがって、不正な攻撃が行われているか否かを判定することは有用である。一方で、検知された1つの異常から、不正な攻撃が行われているか否かを判定することは容易ではない。また、不正な攻撃が行われているか否かの分析において、人、時間及び資源等に関する多大なコストが発生する可能性がある。
本実施の形態における車両用システム100は、不正な攻撃が行われているか否かをシンプルに特定することができるため、分析のコストを削減することができる。また、車両用システム100は、不正な攻撃が行われているか否かの判定結果を攻撃に対する対策に反映させることができる。
なお、ここでは、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かが判定されている。異常発生順序に、車載装置110の異常でなく、車載ネットワークの異常が含まれていてもよい。
例えば、車両130に複数の車載ネットワークが搭載される場合がある。また、複数の車載ネットワークは、外部ネットワーク140に近い車載ネットワークと、外部ネットワーク140から遠い車載ネットワークとを含む場合がある。外部ネットワーク140に近い車載ネットワークの異常が検知された後に、外部ネットワーク140から遠い車載ネットワークの異常が検知された場合に、不正な攻撃が行われていると判定されてもよい。
また、車載ネットワークの異常は、車載装置110に起因すると想定され、車載装置110に関連付けられる。そのため、車載ネットワークの異常は、車載ネットワークの異常が関連付けられる車載装置110の異常として扱われてもよい。そして、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かが判定されてもよい。
以上、本発明の一態様における車両用システム100について、実施の形態等に基づいて説明したが、本発明は、上記の実施の形態等に限定されない。上記の実施の形態等に対して当業者が思いつく変形を施して得られる形態、及び、上記の実施の形態等における複数の構成要素を任意に組み合わせて実現される別の形態も本発明に含まれる。
例えば、特定の構成要素が実行する処理を別の構成要素が実行してもよい。また、処理を実行する順番が変更されてもよいし、複数の処理が並行して実行されてもよい。
また、本発明は、車両用システム100として実現できるだけでなく、車両用システム100を構成する各構成要素が行うステップ(処理)を含む制御方法として実現できる。
例えば、それらのステップは、コンピュータによって実行されてもよい。このコンピュータは、車両用システム100が備えるコンピュータでもよい。そして、本発明は、それらの方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。さらに、本発明は、そのプログラムを記録したCD−ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
例えば、本発明が、プログラム(ソフトウェア)で実現される場合には、コンピュータのプロセッサ及びメモリ等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、プロセッサがデータをメモリ等から取得して演算したり、演算結果をメモリ等に出力したりすることによって、各ステップが実行される。
また、車両用システム100等に含まれる複数の構成要素は、それぞれ、専用又は汎用の回路として実現されてもよい。複数の構成要素が、1つの回路として実現されてもよいし、複数の回路として実現されてもよい。
また、車両用システム100等に含まれる複数の構成要素は、集積回路(IC:Integrated Circuit)であるLSI(Large Scale Integration)として実現されてもよい。これらの構成要素は、個別に1チップ化されてもよいし、一部又は全てを含むように1チップ化されてもよい。LSIは、集積度の違いにより、システムLSI、スーパーLSI又はウルトラLSIと呼称される場合がある。
また、集積回路はLSIに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。
さらに、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、車両用システム100等に含まれる複数の構成要素の集積回路化が行われてもよい。
上述したように、車両用システム100は、複数の車載装置110と、制御器120とを備える。制御器120は、複数の車載装置110に対する不正な攻撃の侵入の深度に従って、車両の外部への通信方法と、不正な攻撃に対する防御方法と、複数の車載装置110に関するログの保存方法とのうち少なくとも1つを変更する。
これにより、車両用システム100は、攻撃の状況に従って、通信方法、防御方法又は保存方法等を変更することができる。すなわち、車両用システム100は、攻撃に対して適応的な制御を行うことができる。
例えば、制御器120は、侵入の深度に従って、複数の車載装置110のうち、車両の外部への通信に用いられる車載装置110を変更することにより、通信方法を変更してもよい。これにより、車両用システム100は、攻撃の状況に従って、通信に用いられる車載装置110を適応的に変更することができる。したがって、車両用システム100は、攻撃によって受ける影響を抑制することができる。
また、例えば、複数の車載装置110は、テレマティクス通信ユニットを含んでいてもよい。そして、制御器120は、侵入の深度がテレマティクス通信ユニットに到達した場合、テレマティクス通信ユニットを介した第1通信方法から、テレマティクス通信ユニットを介さない第2通信方法に、通信方法を変更してもよい。これにより、車両用システム100は、攻撃されたテレマティクス通信ユニットを介さずに、通信を適切に行うことができる。
また、例えば、複数の車載装置110は、車載インフォテインメントを含んでいてもよい。そして、制御器120は、侵入の深度がテレマティクス通信ユニットに到達した場合、テレマティクス通信ユニットを介した第1通信方法から、車載インフォテインメントを介した第2通信方法に、通信方法を変更してもよい。これにより、車両用システム100は、攻撃されたテレマティクス通信ユニットを介さずに、車載インフォテインメントを介して、通信を適切に行うことができる。
また、例えば、制御器120は、侵入の深度が車載インフォテインメントに到達した場合、車載インフォテインメントを介さない第3通信方法に、通信方法を変更してもよい。これにより、車両用システム100は、攻撃された車載インフォテインメントを介さずに、通信を適切に行うことができる。
また、例えば、制御器120は、侵入の深度に従って、複数の車載装置110のうちログの保存先として用いられる車載装置110を変更することにより、保存方法を変更してもよい。これにより、車両用システム100は、攻撃の状況に従って、ログの保存先を適応的に変更することができる。したがって、車両用システム100は、攻撃によって受ける影響を抑制することができる。
また、例えば、制御器120は、侵入の深度が複数の車載装置110に含まれる1以上の車載装置110に到達した場合、1以上の車載装置110のそれぞれのログを保存対象ログに含めることにより、保存方法を変更してもよい。これにより、車両用システム100は、1以上の車載装置110が攻撃された場合、攻撃された1以上の車載装置110のログを保存対象ログに含めることができる。
また、例えば、複数の車載装置110は、テレマティクス通信ユニットを含んでいてもよい。そして、制御器120は、侵入の深度がテレマティクス通信ユニットに到達した場合、テレマティクス通信ユニットのログを保存対象ログに含めることにより、保存方法を変更してもよい。これにより、車両用システム100は、テレマティクス通信ユニットが攻撃された場合、攻撃されたテレマティクス通信ユニットのログを保存対象ログに含めることができる。
また、例えば、複数の車載装置110は、車載インフォテインメントを含んでいてもよい。そして、制御器120は、侵入の深度が車載インフォテインメントに到達した場合、車載インフォテインメントのログを保存対象ログに含めることにより、保存方法を変更してもよい。これにより、車両用システム100は、車載インフォテインメントが攻撃された場合、攻撃された車載インフォテインメントのログを保存対象ログに含めることができる。
また、例えば、制御器120は、侵入の深度が複数の車載装置110に含まれる第1車載装置110に到達した場合、第2車載装置110のログを保存対象ログに含めてもよい。ここで、第2車載装置110は、複数の車載装置110に含まれる車載装置110であって、侵入の深度が第1車載装置110の次に到達すると推定される車載装置110である。そして、制御器120は、第2車載装置110のログを保存対象ログに含めることにより、保存方法を変更してもよい。
これにより、車両用システム100は、次に攻撃される可能性を有する車載装置110のログを保存対象ログに含めることができる。
また、例えば、複数の車載装置110の少なくとも一部は、2つの通信路で通信を行ってもよい。そして、制御器120は、侵入の深度が2つの通信路のうちの一方に到達した場合、2つの通信路のうちの他方で複数の車載装置110の少なくとも一部が行う通信を継続させてもよい。また、制御器120は、侵入の深度が2つの通信路のうちの両方に到達した場合、自動運転の停止、車両の走行の停止、又は、フェールセーフの制御を行ってもよい。これにより、制御器120は、防御方法を変更してもよい。
これにより、車両用システム100は、2つの通信路のうち、1つの通信路が攻撃された場合と、2つの通信路が攻撃された場合とで、異なる防御方法を用いることができる。そして、車両用システム100は、攻撃の状況に従って、防御方法を適切に変更することができる。
また、例えば、複数の車載装置110は、車載インフォテインメントを含んでいてもよい。そして、車載インフォテインメントは、制御器120を備えていてもよい。これにより、車両用システム100は、車両に搭載される車載インフォテインメントによって、攻撃に対して適応的な制御を行うことができる。
また、例えば、複数の車載装置110は、ゲートウェイを含んでいてもよい。そして、ゲートウェイは、制御器120を備えていてもよい。また、制御器120は、複数の車載装置110のうち、ゲートウェイとは異なる車載装置110に、ログの一部又は全部を保存してもよい。
これにより、車両用システム100は、車両に搭載されるゲートウェイによって、攻撃に対して適応的な制御を行うことができる。そして、車両用システム100は、ゲートウェイのメモリ容量が少ない場合にも、他の車載装置110にログを保存することができる。
また、例えば、車両用システム100は、さらに、複数の車載装置110における異常発生順序に従って、不正な攻撃が行われているか否かを判定する判定器160を備えてもよい。これにより、車両用システム100は、不正な攻撃が行われているか否かを適切に判定することができる。よって、車両用システム100は、不正な攻撃が行われているか否かに従って、適切な制御を行うことができる。
また、例えば、判定器160は、異常発生順序が所定の順序に整合する場合、不正な攻撃が行われていると判定してもよい。ここで、所定の順序は、複数の車載装置110のうち少なくとも2つの車載装置110が、所定の侵入経路に沿って、より浅い方からより深い方へ並べられた順序である。これにより、車両用システム100は、所定の侵入経路に沿って発生する異常を不正な攻撃として適切に判定することができる。
また、上述された制御方法は、車両に対して用いられる車両用システム100の制御方法である。そして、車両に搭載される複数の車載装置110に対する不正な攻撃の侵入の深度に従って、車両の外部への通信方法と、不正な攻撃に対する防御方法と、複数の車載装置110に関するログの保存方法とのうち少なくとも1つが変更される。これにより、攻撃の状況に従って、通信方法、防御方法又は保存方法等が変更され得る。すなわち、攻撃に対して適応的な制御が行われ得る。
また、上述されたプログラムは、上記の制御方法をコンピュータに実行させるためのプログラムである。これにより、このプログラムを実行するコンピュータ等は、攻撃の状況に従って、通信方法、防御方法又は保存方法等を変更することができる。すなわち、このプログラムを実行するコンピュータ等は、攻撃に対して適応的な制御を行うことができる。
本発明は、車両に対して用いられる車両用システム等に利用可能であって、不正な攻撃から車両を保護するためのセキュリティシステム等に適用可能である。
100 車両用システム
110 車載装置
120 制御器
130、305、310 車両
140 外部ネットワーク
150 外部装置
160 判定器
201 異常検知部
202 保存制御部
203 保存部
204 情報収集部
205 被害検知部
206 送信制御部
207 送信部
301 サーバ
302 インターネット
303 AP(アクセスポイント)
304 端末装置
306 インフラ
311 E−call
312 TCU(テレマティクス通信ユニット)
313 IVI(車載インフォテインメント)
314、324 監視ブロック
315 GW(ゲートウェイ)
316 監視ECU
317 ADAS ECU
318 V2X ECU
319 ECU
320 制御系ECU
401 検知部
402 取得部
403 処理部
404 記憶部
405 出力部

Claims (17)

  1. 車両に対して用いられる車両用システムであって、
    前記車両に搭載される複数の車載装置と、
    前記複数の車載装置に対する不正な攻撃の侵入の深度に従って、前記車両の外部への通信方法と、前記不正な攻撃に対する防御方法と、前記複数の車載装置に関するログの保存方法とのうち少なくとも1つを変更する制御器と、
    を備える車両用システム。
  2. 前記制御器は、前記侵入の深度に従って、前記複数の車載装置のうち、前記車両の外部への通信に用いられる車載装置を変更することにより、前記通信方法を変更する、
    請求項1に記載の車両用システム。
  3. 前記複数の車載装置は、テレマティクス通信ユニットを含み、
    前記制御器は、前記侵入の深度が前記テレマティクス通信ユニットに到達した場合、前記テレマティクス通信ユニットを介した第1通信方法から、前記テレマティクス通信ユニットを介さない第2通信方法に、前記通信方法を変更する、
    請求項2に記載の車両用システム。
  4. 前記複数の車載装置は、車載インフォテインメントを含み、
    前記制御器は、前記侵入の深度が前記テレマティクス通信ユニットに到達した場合、前記テレマティクス通信ユニットを介した前記第1通信方法から、前記車載インフォテインメントを介した前記第2通信方法に、前記通信方法を変更する、
    請求項3に記載の車両用システム。
  5. 前記制御器は、前記侵入の深度が前記車載インフォテインメントに到達した場合、前記車載インフォテインメントを介さない第3通信方法に、前記通信方法を変更する、
    請求項4に記載の車両用システム。
  6. 前記制御器は、前記侵入の深度に従って、前記複数の車載装置のうち前記ログの保存先として用いられる車載装置を変更することにより、前記保存方法を変更する、
    請求項1〜5のいずれか1項に記載の車両用システム。
  7. 前記制御器は、前記侵入の深度が前記複数の車載装置に含まれる1以上の車載装置に到達した場合、前記1以上の車載装置のそれぞれのログを保存対象ログに含めることにより、前記保存方法を変更する、
    請求項6に記載の車両用システム。
  8. 前記複数の車載装置は、テレマティクス通信ユニットを含み、
    前記制御器は、前記侵入の深度が前記テレマティクス通信ユニットに到達した場合、前記テレマティクス通信ユニットのログを前記保存対象ログに含めることにより、前記保存方法を変更する、
    請求項7に記載の車両用システム。
  9. 前記複数の車載装置は、車載インフォテインメントを含み、
    前記制御器は、前記侵入の深度が前記車載インフォテインメントに到達した場合、前記車載インフォテインメントのログを前記保存対象ログに含めることにより、前記保存方法を変更する、
    請求項8に記載の車両用システム。
  10. 前記制御器は、前記侵入の深度が前記複数の車載装置に含まれる第1車載装置に到達した場合、前記複数の車載装置に含まれる第2車載装置であって、前記侵入の深度が前記第1車載装置の次に到達すると推定される第2車載装置のログを保存対象ログに含めることにより、前記保存方法を変更する、
    請求項6に記載の車両用システム。
  11. 前記複数の車載装置の少なくとも一部は、2つの通信路で通信を行い、
    前記制御器は、前記侵入の深度が前記2つの通信路のうちの一方に到達した場合、前記2つの通信路のうちの他方で前記複数の車載装置の少なくとも一部が行う通信を継続させ、前記侵入の深度が前記2つの通信路のうちの両方に到達した場合、自動運転の停止、前記車両の走行の停止、又は、フェールセーフの制御を行うことにより、前記防御方法を変更する、
    請求項1〜10のいずれか1項に記載の車両用システム。
  12. 前記複数の車載装置は、車載インフォテインメントを含み、
    前記車載インフォテインメントは、前記制御器を備える、
    請求項1〜11のいずれか1項に記載の車両用システム。
  13. 前記複数の車載装置は、ゲートウェイを含み、
    前記ゲートウェイは、前記制御器を備え、
    前記制御器は、前記複数の車載装置のうち、前記ゲートウェイとは異なる車載装置に、前記ログの一部又は全部を保存する、
    請求項1〜11のいずれか1項に記載の車両用システム。
  14. 前記車両用システムは、さらに、前記複数の車載装置における異常発生順序に従って、前記不正な攻撃が行われているか否かを判定する判定器を備える、
    請求項1〜13のいずれか1項に記載の車両用システム。
  15. 前記判定器は、前記異常発生順序が所定の順序に整合する場合、前記不正な攻撃が行われていると判定し、
    前記所定の順序は、前記複数の車載装置のうち少なくとも2つの車載装置が、所定の侵入経路に沿って、より浅い方からより深い方へ並べられた順序である、
    請求項14に記載の車両用システム。
  16. 車両に対して用いられる車両用システムの制御方法であって、
    前記車両に搭載される複数の車載装置に対する不正な攻撃の侵入の深度に従って、前記車両の外部への通信方法と、前記不正な攻撃に対する防御方法と、前記複数の車載装置に関するログの保存方法とのうち少なくとも1つを変更する、
    制御方法。
  17. 請求項16に記載の制御方法をコンピュータに実行させるためのプログラム。
JP2018202629A 2018-01-12 2018-10-29 サーバ装置、車両装置、車両用システム及び情報処理方法 Active JP7113337B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201980069725.7A CN112889051A (zh) 2018-01-12 2019-06-10 车辆用系统以及控制方法
EP19877807.8A EP3859577A4 (en) 2018-01-12 2019-06-10 VEHICLE SYSTEM AND CONTROL PROCEDURE
PCT/JP2019/022977 WO2020090146A1 (ja) 2018-01-12 2019-06-10 車両用システム及び制御方法
US17/239,187 US20210237665A1 (en) 2018-01-12 2021-04-23 Vehicle system and information processing method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018003692 2018-01-12
JP2018003692 2018-01-12

Publications (3)

Publication Number Publication Date
JP2019125344A true JP2019125344A (ja) 2019-07-25
JP2019125344A5 JP2019125344A5 (ja) 2021-01-28
JP7113337B2 JP7113337B2 (ja) 2022-08-05

Family

ID=67398892

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018202629A Active JP7113337B2 (ja) 2018-01-12 2018-10-29 サーバ装置、車両装置、車両用システム及び情報処理方法

Country Status (5)

Country Link
US (1) US20210237665A1 (ja)
EP (1) EP3859577A4 (ja)
JP (1) JP7113337B2 (ja)
CN (1) CN112889051A (ja)
WO (1) WO2020090146A1 (ja)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021084567A1 (ja) * 2019-10-28 2021-05-06 日本電気株式会社 情報処理装置、表示方法、及び非一時的なコンピュータ可読媒体
WO2021084961A1 (ja) * 2019-10-29 2021-05-06 日立Astemo株式会社 分析装置及び分析方法
WO2021100722A1 (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断装置、車両診断システム及び移動体診断装置
WO2021144859A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 侵入経路分析装置および侵入経路分析方法
WO2021144858A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知システム、異常検知装置、及び異常検知方法
JP2021140460A (ja) * 2020-03-05 2021-09-16 株式会社デンソー セキュリティ管理装置
WO2021260984A1 (ja) * 2020-06-26 2021-12-30 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム
JP2022017995A (ja) * 2020-07-14 2022-01-26 株式会社デンソー ログ管理装置及びセンタ装置
WO2022091786A1 (ja) * 2020-10-27 2022-05-05 パナソニックIpマネジメント株式会社 情報処理装置、監視方法、プログラム及びセキュリティシステム
WO2022158020A1 (ja) * 2021-01-22 2022-07-28 日立Astemo株式会社 電子制御装置、車載制御システム、及び冗長機能制御方法
WO2022201885A1 (ja) * 2021-03-25 2022-09-29 ソニーグループ株式会社 車載通信装置、通信方法、及び、通信システム
WO2022201911A1 (ja) * 2021-03-25 2022-09-29 ソニーグループ株式会社 車載通信装置、通信方法、及び、通信システム
US11667264B2 (en) 2020-07-14 2023-06-06 Denso Corporation Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program
EP4092972A4 (en) * 2020-01-14 2023-07-05 Panasonic Intellectual Property Corporation of America VEHICLE LOG TRANSMISSION DEVICE, VEHICLE LOG COLLECTION SYSTEM, VEHICLE LOG TRANSMISSION METHOD AND STORAGE PRIORITY CHANGE DEVICE
JP7373803B2 (ja) 2020-09-29 2023-11-06 パナソニックIpマネジメント株式会社 情報送信装置、サーバ、及び、情報送信方法
US11984002B2 (en) 2021-09-15 2024-05-14 Toyota Jidosha Kabushiki Kaisha Control device, vehicle, control system, control method, and recording medium storing control program
JP7505021B2 (ja) 2020-03-28 2024-06-24 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング 特に自動車におけるデータの異常を処理するための方法
JP7509091B2 (ja) 2021-06-30 2024-07-02 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
EP4160417A4 (en) * 2020-05-27 2023-11-22 Panasonic Intellectual Property Corporation of America ANOMALY DETECTION SYSTEM AND ANOMALY DETECTION METHOD
JP7478085B2 (ja) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
US20230007033A1 (en) * 2021-06-30 2023-01-05 Denso Corporation Attack analyzer, attack analysis method and attack analysis program
JP2023006513A (ja) * 2021-06-30 2023-01-18 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
DE102021119952A1 (de) * 2021-08-02 2023-02-02 Harman Becker Automotive Systems Gmbh Telematikeinheit
JP2023028510A (ja) * 2021-08-19 2023-03-03 パナソニックIpマネジメント株式会社 検知ルール出力方法、及び、セキュリティシステム
JP2023096727A (ja) * 2021-12-27 2023-07-07 国立大学法人東海国立大学機構 車載装置、プログラム及び、情報処理方法
JP2024070327A (ja) * 2022-11-11 2024-05-23 パナソニックオートモーティブシステムズ株式会社 情報提供方法及び情報処理装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085139A (ja) * 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
WO2017099066A1 (ja) * 2015-12-09 2017-06-15 日本電気株式会社 診断装置、診断方法、及び、診断プログラムが記録された記録媒体
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7971244B1 (en) * 2003-11-19 2011-06-28 Cisco Technology, Inc. Method of determining network penetration
US9776597B2 (en) * 2006-05-16 2017-10-03 Lear Corporation Vehicle with electronic system intrusion detection
JP2008146157A (ja) 2006-12-06 2008-06-26 Mitsubishi Electric Corp ネットワーク異常判定装置
JP4873422B2 (ja) * 2007-12-19 2012-02-08 キヤノンItソリューションズ株式会社 情報処理システム、情報処理装置、その制御方法及びプログラム
CA2841319C (en) * 2011-07-26 2018-07-17 United Parcel Service Of America, Inc. Systems and methods for managing fault codes
US20130203400A1 (en) * 2011-11-16 2013-08-08 Flextronics Ap, Llc On board vehicle presence reporting module
US9173100B2 (en) * 2011-11-16 2015-10-27 Autoconnect Holdings Llc On board vehicle network security
US9560071B2 (en) * 2012-10-17 2017-01-31 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle
EP3358800B1 (en) 2014-01-06 2021-10-20 Argus Cyber Security Ltd Bus watchman
WO2015159520A1 (ja) * 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
JP6369334B2 (ja) 2015-01-09 2018-08-08 トヨタ自動車株式会社 車載ネットワーク
JP6595885B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
JP2016151871A (ja) 2015-02-17 2016-08-22 株式会社デンソー 車載システム、及び、ecu
US10042354B2 (en) * 2015-06-02 2018-08-07 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure using dynamic signatures
US11397801B2 (en) * 2015-09-25 2022-07-26 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network
CN110268412A (zh) * 2016-08-24 2019-09-20 三菱电机株式会社 通信控制装置、通信系统以及通信控制方法
JP6701030B2 (ja) * 2016-08-25 2020-05-27 クラリオン株式会社 車載装置、ログ収集システム
JP2018062320A (ja) * 2016-10-14 2018-04-19 日立オートモティブシステムズ株式会社 情報処理装置、情報処理方法、および情報処理システム
CN108282440B (zh) * 2017-01-05 2021-08-20 阿里巴巴集团控股有限公司 一种安全检测方法、安全检测装置及服务器
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
WO2018135098A1 (ja) * 2017-01-18 2018-07-26 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085139A (ja) * 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
WO2017099066A1 (ja) * 2015-12-09 2017-06-15 日本電気株式会社 診断装置、診断方法、及び、診断プログラムが記録された記録媒体
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021084567A1 (ja) * 2019-10-28 2021-05-06 日本電気株式会社 情報処理装置、表示方法、及び非一時的なコンピュータ可読媒体
JPWO2021084567A1 (ja) * 2019-10-28 2021-05-06
JP7287484B2 (ja) 2019-10-28 2023-06-06 日本電気株式会社 情報処理装置、表示方法、及びプログラム
WO2021084961A1 (ja) * 2019-10-29 2021-05-06 日立Astemo株式会社 分析装置及び分析方法
JPWO2021084961A1 (ja) * 2019-10-29 2021-05-06
JP7296470B2 (ja) 2019-10-29 2023-06-22 日立Astemo株式会社 分析装置及び分析方法
CN114600423B (zh) * 2019-10-29 2024-04-30 日立安斯泰莫株式会社 分析装置及分析方法
CN114600423A (zh) * 2019-10-29 2022-06-07 日立安斯泰莫株式会社 分析装置及分析方法
WO2021100722A1 (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断装置、車両診断システム及び移動体診断装置
WO2021145144A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 侵入経路分析装置および侵入経路分析方法
WO2021144858A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知システム、異常検知装置、及び異常検知方法
EP4092972A4 (en) * 2020-01-14 2023-07-05 Panasonic Intellectual Property Corporation of America VEHICLE LOG TRANSMISSION DEVICE, VEHICLE LOG COLLECTION SYSTEM, VEHICLE LOG TRANSMISSION METHOD AND STORAGE PRIORITY CHANGE DEVICE
EP4092553A4 (en) * 2020-01-14 2023-03-15 Panasonic Intellectual Property Corporation of America INTRUSION PATH ANALYSIS DEVICE AND INTRUSION PATH ANALYSIS METHOD
WO2021144859A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 侵入経路分析装置および侵入経路分析方法
JP2021140460A (ja) * 2020-03-05 2021-09-16 株式会社デンソー セキュリティ管理装置
JP7443832B2 (ja) 2020-03-05 2024-03-06 株式会社デンソー セキュリティ管理装置
JP7505021B2 (ja) 2020-03-28 2024-06-24 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツング 特に自動車におけるデータの異常を処理するための方法
WO2021260984A1 (ja) * 2020-06-26 2021-12-30 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム
JP2022017995A (ja) * 2020-07-14 2022-01-26 株式会社デンソー ログ管理装置及びセンタ装置
US11667264B2 (en) 2020-07-14 2023-06-06 Denso Corporation Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program
JP7419998B2 (ja) 2020-07-14 2024-01-23 株式会社デンソー ログ管理装置及びセンタ装置
JP7409247B2 (ja) 2020-07-14 2024-01-09 株式会社デンソー 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
JP7373803B2 (ja) 2020-09-29 2023-11-06 パナソニックIpマネジメント株式会社 情報送信装置、サーバ、及び、情報送信方法
WO2022091786A1 (ja) * 2020-10-27 2022-05-05 パナソニックIpマネジメント株式会社 情報処理装置、監視方法、プログラム及びセキュリティシステム
WO2022158020A1 (ja) * 2021-01-22 2022-07-28 日立Astemo株式会社 電子制御装置、車載制御システム、及び冗長機能制御方法
WO2022201911A1 (ja) * 2021-03-25 2022-09-29 ソニーグループ株式会社 車載通信装置、通信方法、及び、通信システム
WO2022201885A1 (ja) * 2021-03-25 2022-09-29 ソニーグループ株式会社 車載通信装置、通信方法、及び、通信システム
JP7509091B2 (ja) 2021-06-30 2024-07-02 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
US11984002B2 (en) 2021-09-15 2024-05-14 Toyota Jidosha Kabushiki Kaisha Control device, vehicle, control system, control method, and recording medium storing control program

Also Published As

Publication number Publication date
WO2020090146A1 (ja) 2020-05-07
EP3859577A4 (en) 2021-12-08
CN112889051A (zh) 2021-06-01
US20210237665A1 (en) 2021-08-05
EP3859577A1 (en) 2021-08-04
JP7113337B2 (ja) 2022-08-05

Similar Documents

Publication Publication Date Title
JP2019125344A (ja) 車両用システム及び制御方法
EP3793141B1 (en) Anomaly sensing electronic control unit, vehicle-mounted network system, and anomaly sensing method
US9635151B2 (en) In-vehicle communication system and in-vehicle relay apparatus
JPWO2019142458A1 (ja) 車両監視装置、不正検知サーバ、および、制御方法
US11575538B2 (en) Anomaly detection device, anomaly detection method, and recording medium
US20160219028A1 (en) Responding to electronic in-vehicle intrusions
US20140032800A1 (en) Vehicle message filter
JP2017152762A (ja) 車載システム、プログラムおよびコントローラ
US9817838B2 (en) Purging user data from vehicle memory
JP7255710B2 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
US20210281594A1 (en) Security management device, security management method, and computer program executed by security management device
US10926737B2 (en) Extra-vehicular communication device, communication control method, and communication control program
US11971982B2 (en) Log analysis device
US11667264B2 (en) Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program
WO2021024588A1 (ja) モビリティ制御システム、方法、および、プログラム
JP6381608B2 (ja) 無線通信装置および無線通信方法
US20230156027A1 (en) Log management device, log management method, computer program product, and security attack detection and analyzing system
US20230007033A1 (en) Attack analyzer, attack analysis method and attack analysis program
US20220019662A1 (en) Log management device and center device
US20230007034A1 (en) Attack analyzer, attack analysis method and attack analysis program
JP7211224B2 (ja) 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム
CN115515097A (zh) 一种对抗对车内网络的入侵的方法和装置
CN113272794B (zh) 车载型信息处理装置、用户终端、信息处理方法以及程序
CN113614803B (zh) 车辆数据处理装置、车辆数据处理系统以及车辆数据处理方法
KR20240010427A (ko) 통지 장치, 통지 방법, 및 컴퓨터 판독가능한 저장매체

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201211

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220525

R151 Written notification of patent or utility model registration

Ref document number: 7113337

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03