JP2019133599A - 車載装置、インシデント監視方法 - Google Patents

車載装置、インシデント監視方法 Download PDF

Info

Publication number
JP2019133599A
JP2019133599A JP2018017647A JP2018017647A JP2019133599A JP 2019133599 A JP2019133599 A JP 2019133599A JP 2018017647 A JP2018017647 A JP 2018017647A JP 2018017647 A JP2018017647 A JP 2018017647A JP 2019133599 A JP2019133599 A JP 2019133599A
Authority
JP
Japan
Prior art keywords
vehicle
incident
information
processing unit
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018017647A
Other languages
English (en)
Other versions
JP6968722B2 (ja
Inventor
尚 河内
Takashi Kawachi
尚 河内
信 萱島
Makoto Kayashima
信 萱島
昂太 関
Kota Seki
昂太 関
靖 永井
Yasushi Nagai
靖 永井
英里子 安藤
Eriko Ando
英里子 安藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Faurecia Clarion Electronics Co Ltd
Original Assignee
Clarion Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Clarion Co Ltd filed Critical Clarion Co Ltd
Priority to JP2018017647A priority Critical patent/JP6968722B2/ja
Priority to PCT/JP2019/003413 priority patent/WO2019151406A1/ja
Priority to EP19747664.1A priority patent/EP3748524A4/en
Priority to US16/966,806 priority patent/US20210044612A1/en
Priority to CN201980011483.6A priority patent/CN111684446A/zh
Publication of JP2019133599A publication Critical patent/JP2019133599A/ja
Application granted granted Critical
Publication of JP6968722B2 publication Critical patent/JP6968722B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R2021/0027Post collision measures, e.g. notifying emergency services
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0295Inhibiting action of specific actuators or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Traffic Control Systems (AREA)

Abstract

【課題】車両内のネットワークのセキュリティ性能を向上しつつ、ユーザーの利便性の低下を抑制する。【解決手段】車載監視装置20は、複数の機器により構成されるネットワークを備えた車両2に搭載されるものであって、インシデント検知処理部120を備える。インシデント検知処理部120は、車両2の制御状態を表す車両情報、すなわち車両ログを車両ログDB171から取得し、この車両ログに基づいて車両2において発生したインシデントを検知する。そして、検知したインシデントに関連する脆弱性を有する機器をネットワーク内で特定し、特定した機器に対して暫定対処を行う。【選択図】図4

Description

本発明は、インシデント監視を行う車載装置およびこれを用いたインシデント監視方法に関する。
近年、複数の電子制御装置(ECU:Electronic Control Unit)を有する車載通信システムにおいて、外部の情報通信機器と通信を行うことで様々な情報を取得し、取得した情報を用いて車両の安全運転支援や自動運転を実現する技術が普及し始めている。このような車載通信システムでは、外部からのサイバー攻撃を受ける危険性が高まっており、セキュリティ性能の向上が求められている。
車載通信システムにおけるセキュリティ性能の向上に関して、特許文献1に記載の技術が知られている。特許文献1には、車外からのDoS攻撃(Denial of Service attack)を検出する監視装置を備え、監視装置は、DoS攻撃が発生したと判定すると、車外装置とのデータ通信を中継するゲートウェイへDoS攻撃が発生したことを示す攻撃通知を送信し、この攻撃通知を受信したゲートウェイは、データ通信の中継を停止する車載通信システムが開示されている。
特開2016−143963号公報
特許文献1に記載された車載通信システムでは、監視装置がDoS攻撃を検知すると車外装置との通信を全て遮断するため、影響のない機能も含めて停止してしまい、ユーザーの利便性を損なうという課題がある。
本発明による車載装置は、複数の機器により構成されるネットワークを備えた車両に搭載されるものであって、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて前記車両において発生したインシデントを検知し、検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、特定した前記機器に対して暫定対処を行うインシデント検知処理部を備える。
本発明によるインシデント監視方法は、複数の機器により構成される車両内のネットワークにおいて、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて前記車両において発生したインシデントを検知し、検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、特定した前記機器に対して暫定対処を行う。
本発明によれば、車両内のネットワークのセキュリティ性能を向上しつつ、ユーザーの利便性の低下を抑制することができる。
本発明の一実施形態に係る車両情報ネットワークシステムの構成図 車両および車載監視装置のハードウェア構成を例示するブロック図 路側器およびセンタサーバのハードウェア構成を例示するブロック図 車載監視装置の機能構成を例示するブロック図 センタサーバの機能構成を例示するブロック図 車両におけるインシデントの説明図 車載監視装置が実行する処理のフローチャート センタサーバが実行する処理のフローチャート 車両情報ネットワークシステムのシーケンス図 攻撃シナリオDBの構成例を示す図 対策情報DBの構成例を示す図 検知情報の構成例を示す図 車両管理情報DBの構成例を示す図
以下、本発明の実施形態について図面を参照して説明する。図1は、本発明の一実施形態に係る車両情報ネットワークシステムの構成図である。図1に示す車両情報ネットワークシステム1は、複数の車両2、路側器3、ネットワーク4、およびセンタサーバ5を含む。
複数の車両2は、車載監視装置20をそれぞれ搭載する。路側器3は、車両2が走行する道路の路側に、所定地点に固定して設置される。なお、複数の路側器3がそれぞれ異なる地点に設置されていてもよい。路側器3とセンタサーバ5は、ネットワーク4を介して相互に接続される。センタサーバ5は、ネットワーク4および路側器3を介して、車載監視装置20とデータ通信を行う。
なお、図1では、車両情報ネットワークシステム1に2つの車両2が含まれている例を示しているが、車両情報ネットワークシステム1に含まれる車両2の台数はこれに限定されない。各車両2に搭載される車載監視装置20の動作は同様であるため、以下の説明では、複数の車両2のうち1つを対象として、これに搭載される車載監視装置20の動作を中心として説明する。
図2は、車両2および車載監視装置20のハードウェア構成を例示するブロック図である。車両2は、車載監視装置20と、車載監視装置20にそれぞれ接続されている無線通信装置104、ユーザースイッチ105、表示装置106、ナビゲーションシステム107、車載ゲートウェイ108、ステアリングECU109、ブレーキECU110、エンジンECU111、ADAS ECU112、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115、カメラ116、GPSセンサ117、加速度センサ118、およびモバイルルーター119を備える。なお、ステアリングECU109〜エンジン制御ECU115の各ECUと、カメラ116、GPSセンサ117および加速度センサ118とは、車載ゲートウェイ108を介して車載監視装置20と接続されている。また、モバイルルーター119は無線通信装置104を介して車載監視装置20と無線接続されている。
ステアリングECU109、ブレーキECU110、およびエンジンECU111は、車両2の走行制御を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「制御系ネットワークドメイン」と称する。ADAS ECU112、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115、カメラ116、GPSセンサ117、および加速度センサ118は、車両2の運転支援や自動運転を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「運転支援系ネットワークドメイン」と称する。車載監視装置20、無線通信装置104、ユーザースイッチ105、表示装置106、およびナビゲーションシステム107は、車両2の外部とのインタフェースや車両2の運転者に対するユーザーインタフェースを提供するための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「情報系ネットワークドメイン」と称する。すなわち、車載監視装置20は、情報系ネットワークドメインに属しており、制御系ネットワークドメインおよび運転支援系ネットワークドメインに接続されている。
上記の各ネットワークにおいて、同じネットワーク内の各装置は、車載ゲートウェイ108を介さずに直接データ通信を行うことができる。例えば、制御系ネットワークドメイン内では、車両2の走行制御のための通信が行われる。運転支援系ネットワークドメイン内では、車両2の運転支援や自動運転のための通信が行われる。情報系ネットワークドメイン内では、車両2の運転者に対するユーザーインタフェースのための通信が行われる。一方、異なるネットワークに属する装置間のデータ通信は、車載ゲートウェイ108を介して行われる。
無線通信装置104は、車載監視装置20に接続されており、路側器3との間で直接、またはモバイルルーター119を介して無線通信を行う。車載監視装置20は、無線通信装置104やモバイルルーター119を介した無線通信によって、路側器3とデータ通信を行う。
ステアリングECU109は、車両2の運転者によるステアリング操作、またはステアリング制御ECU114から送信されるステアリング制御命令に応じて、車両2の操舵機構を制御して進行方向制御を行う装置である。ブレーキECU110は、車両2の運転者によるブレーキ操作、またはブレーキ制御ECU113から送信されるブレーキ制御命令に応じて、車両2のブレーキを制御して減速制御を行う装置である。エンジンECU111は、車両2の走行状態、またはエンジン制御ECU115から送信されるエンジン制御命令に応じて、車両2のエンジンを制御して速度制御を行う装置である。これらの装置により、車両2の走行制御が行われる。
ADAS ECU112は、車両2の内外の情報から車両2の加速、減速、停止などを判断し、その判断結果を用いて車両2の自動運転や運転支援サービスを実現する装置である。ADAS ECU112は、カメラ116から取得した外部画像や、GPSセンサ117から取得した車両2の位置や、加速度センサ118から取得した車両2の加速度や、ナビゲーションシステム107が保持する車両2の周辺地図情報などを参照して、車両2の挙動を決定する。そして、ブレーキ制御ECU113や、ステアリング制御ECU114や、エンジン制御ECU115に対して、決定した車両2の挙動に応じた制御命令をそれぞれ出力するように指示する。これにより、ADAS ECU112は、車両2の加速・操舵・制動を全て自動的に行い、車両2の自動運転機能を実現する。
車両2の運転者であるユーザーは、ADAS ECU112の自動運転機能を利用することで、運転操作を行うことなく、車両2を目的地まで自動で走行させることが可能である。例えば、車両2が同一の走行車線を維持しながら目的地まで走行している場合、ADAS ECU112は、カメラ116から取得した外部画像に基づいて、車両2の前後における障害物の有無を確認する。なお、カメラ116に替えて不図示のレーダセンサ等を用いてもよい。また、ADAS ECU112は、ナビゲーションシステム107から取得した地図情報に基づいて、走行車線の形状に沿った車両2の進行方向や走行速度を決定し、これらの値に応じた制御パラメータを含む車両情報を、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115に対してそれぞれ送信する。これにより、車両2を走行車線に沿って自動的に走行させることができる。さらに、ADAS ECU112は、カメラ116から取得した外部画像に基づいて、変更先の車線における障害物の有無を確認した上で、車線変更時の車両2の挙動を決定し、その値に応じた制御パラメータを含む車両情報を、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115に対してそれぞれ送信する。これにより、車両2を自動的に車線変更させることができる。
ブレーキ制御ECU113は、ADAS ECU112の指示に応じて、ブレーキECU110に対してブレーキ強度を含むブレーキ制御命令を送信する装置である。ステアリング制御ECU114は、ADAS ECU112の指示に応じて、ステアリングECU109に対してステアリングの操作角度を含むステアリング制御命令を送信する装置である。エンジン制御ECU115は、ADAS ECU112の指示に応じて、エンジンECU111に対してエンジンの回転数を含むエンジン制御命令を送信する装置である。カメラ116は、車両2の周囲を撮影した画像をADAS ECU112に出力する装置である。GPSセンサ117は、衛星から信号を受信して車両2の位置を測位する測位装置である。加速度センサ118は、車両2の前後方向や左右方向の加速度を検知する装置である。これらの装置により、車両2の運転支援や自動運転が行われる。
ユーザースイッチ105は、車両2の運転者による所定の入力操作を検出する装置である。車両2の運転者であるユーザーは、例えば車両2の自動運転や運転支援機能を無効から有効に、もしくは有効から無効に切り替える際に、ユーザースイッチ105を使用する。表示装置106は、例えば液晶モニタ等であり、運転者に対して種々の情報を表示する。例えば、車両2において自動運転や運転支援が実施されている場合は、これらの機能が有効であることを表示装置106に表示することで、運転者が車両2の状態を把握できるようにする。ナビゲーションシステム107は、道路形状等の地図情報を保持しており、ユーザーやADAS ECU112からの要求などに応じて、車両2周辺の地図情報を提供する装置である。これらの装置により、車両2の運転者に対するユーザーインタフェースが提供される。
車載監視装置20は、記憶装置101、CPU102、およびメモリ部103を備える。記憶装置101は、例えばHDDやフラッシュメモリ等の補助記憶装置である。CPU102は、例えば記憶装置101などに記憶された所定の制御プログラムを読み込んで実行することにより、車載監視装置20を制御する。
メモリ部103は、CPU102が制御プログラムを実行する際に利用する主記憶装置である。
CPU102は、インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160を機能的に備える。すなわち、インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160は、CPU102が実行する制御プログラムによってソフトウェア的に実現される。インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160については、後に詳述する。
なお、インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160を、例えばFPGAのようなCPU102と同等の機能を実現できる電子回路などによってそれぞれ構成することも可能である。
図3は、路側器3およびセンタサーバ5のハードウェア構成を例示するブロック図である。路側器3は、路側器制御部205と無線送受信部206を備える。
無線送受信部206は、無線信号を送受信することにより、車両2に搭載された車載監視装置20とデータ通信を行う。路側器制御部205は、路側器3を制御する。路側器制御部205は、ネットワーク4に接続されている。路側器制御部205は、ネットワーク4を介してセンタサーバ5とデータ通信を行う。路側器制御部205は、無線送受信部206を制御して、センタサーバ5から送信された情報を車両2に送信したり、車両2から受信した情報をセンタサーバ5に送信したりする。
センタサーバ5は、記憶装置501、CPU502、およびメモリ部503を備える。記憶装置501は、例えばHDDやフラッシュメモリ等の補助記憶装置である。CPU502は、例えば記憶装置501などに記憶された所定の制御プログラムを読み込んで実行することにより、路側器3に送受信する情報を処理する。メモリ部503は、CPU502が制御プログラムを実行する際に利用する主記憶装置である。
CPU502は、送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530を機能的に備える。すなわち、送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530は、CPU502が実行する制御プログラムによってソフトウェア的に実現される。送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530については、後に詳述する。
次に、車載監視装置20およびセンタサーバ5の機能構成について説明する。
図4は、車載監視装置20の機能構成を例示するブロック図である。記憶装置101は、車両ログDB171、攻撃シナリオDB172、および対策情報DB173を有する。
車載ゲートウェイ108は、車載監視装置20に接続されている各ネットワーク間で通信の中継を行う。例えば、運転支援系ネットワークドメインのブレーキ制御ECU113から制御系ネットワークドメインのブレーキECU110に送信されるブレーキ制御指示を、これらのネットワーク間で転送する。同一ネットワーク内の装置間および異なるネットワークの装置間では、所定のデータフォーマットを有する車両情報パケットにより通信が行われる。車載ゲートウェイ108は、各装置間で送受信される車両情報パケットを受信すると、そのパケットに含まれる情報を、車両2の制御状態を表す車両情報のログ(車両ログ)として車両ログDB171に追記する。すなわち、車両ログDB171には、車両情報パケットに含まれる車両情報が時系列順に車両ログとして格納される。
復旧策処理部160は、無線通信装置104を用いて路側器3と通信を行い、セキュリティ上のインシデントに対する復旧策をそれぞれ示すパッチ700、攻撃シナリオ800および対策情報900を路側器3を介してセンタサーバ5から受信する。復旧策処理部160が受信したこれらの情報のうちパッチ700は、車載ゲートウェイ108を介して、指定された送信先の装置に出力される。パッチ700は、前述の制御系ネットワークドメイン、運転支援系ネットワークドメインまたは情報系ネットワークドメインにおいて、いずれかの装置がサイバー攻撃を受けることでセキュリティ上のインシデントが発生した場合に、そのインシデント発生元の装置を復旧させるために、当該装置を送信先としてセンタサーバ5から送信される情報である。パッチ700には、例えば当該装置で動作するソフトウェアのバックデート命令や設定ファイル、更新ソフトウェアなどが含まれる。一方、復旧策処理部160が受信した攻撃シナリオ800および対策情報900は、攻撃シナリオDB172、対策情報DB173にそれぞれ追加されて記憶装置101に格納される。なお、攻撃シナリオDB172および対策情報DB173の詳細については後述する。
インシデント検知処理部120は、車両ログDB171に格納されている車両ログを定期的に読み出し、無線通信装置104を用いて路側器3と通信を行うことで、車両ログ400として路側器3を介してセンタサーバ5に送信する。また、読み出した車両ログに基づいて、インシデントが発生した場合にこれを検知する。インシデントの発生を検知した場合、インシデント検知処理部120は、検知したインシデントに関する検知情報600を路側器3を介してセンタサーバ5に送信する。検知情報600には、インシデントを検知した場所、インシデントを検知したときの情報送信元の装置のソフトウェアバージョン、インシデントの原因、インシデントの検知日時などが含まれる。また、インシデントの発生を検出した場合、インシデント検知処理部120は、そのインシデントに関連する脆弱性を有する装置を制御系ネットワークドメイン、運転支援系ネットワークドメインおよび情報系ネットワークドメインの中から特定し、当該装置に対して暫定対処を行う。この暫定対処は、当該装置が有する機能の一部を停止させる機能縮退などであり、その内容は対象とする装置ごとに異なる。
機能停止部140は、インシデント検知処理部120から暫定対処としていずれかの装置に対する機能縮退の指示を受けると、当該装置の機能を停止させる。このとき機能停止部140は、車載監視装置20が属する情報系ネットワークドメイン内の各装置については、車載ゲートウェイ108を介さずに直接指示を行う。一方、制御系ネットワークドメインおよび運転支援系ネットワークドメイン内の各装置については、車載ゲートウェイ108を介して指示を出力し、当該装置を停止させる。なお、車載ゲートウェイ108が有するネットワーク間の情報転送機能を停止させる場合は、機能停止部140から車載ゲートウェイ108に対して指示を行えばよい。
警告処理部150は、インシデント検知処理部120からインシデント発生通知を受けると、表示装置106を用いて、車両2の運転者であるユーザーに対して警告を行う。警告処理部150は、例えば、表示装置106に所定の画面を表示することで、ユーザーに対して特定の装置の機能を停止する旨の警告を行い、確認操作の入力を要求する。この警告に対してユーザーがユーザースイッチ105を用いて所定の確認操作を行うと、警告処理部150はその旨をインシデント検知処理部120に通知する。この通知を受けると、インシデント検知処理部120は機能停止部140に対して機能縮退の指示を行い、当該装置の機能を停止させる。
図5は、センタサーバ5の機能構成を例示するブロック図である。記憶装置501は、車両ログDB540、検知情報DB541、車両管理情報DB542、脆弱性情報DB543、パッチDB544、攻撃シナリオDB545、および対策情報DB546を有する。
送受信情報処理部510は、路側器3との情報の送受信を行う。例えば、送受信情報処理部510は、車両2から送信された車両ログ400および検知情報600を路側器3を経由して受信する。送受信情報処理部510は、車両2から受信した車両ログ400および検知情報600を、車両ログDB540、検知情報DB541にそれぞれ格納する。
インシデント分析処理部520は、検知情報DB541に格納されている検知情報に基づいて、車両2において発生したインシデントの分析を行う。このときインシデント分析処理部520は、攻撃シナリオDB545を参照して当該インシデントを引き起こす攻撃シナリオを特定し、脆弱性情報DB543を参照してその攻撃シナリオに関わる車両2の全ての装置における脆弱性を抽出する。そして、車両管理情報DB542を参照し、抽出した全ての脆弱性が車両2において対策済みであるか否かを確認する。その結果、未対策の脆弱性が存在する場合は、当該インシデントが既知の脆弱性によるものと判断し、これに対する根本対処を実施するよう復旧策生成部530に通知する。一方、全ての脆弱性が対策済みである場合は、当該インシデントが未知の脆弱性によるものと判断し、その判断結果を復旧策生成部530に通知する。
復旧策生成部530は、インシデント分析処理部520からの通知に応じて、車両2において発生したインシデントに対応する復旧策を生成する。具体的には、インシデント分析処理部520から既知の脆弱性に対する根本対処の実施を通知された場合は、その脆弱性に対して車両2において未反映のパッチ700をパッチDB544から検索し、送受信情報処理部510に出力する。さらに、車両2において未反映の攻撃シナリオ800および対策情報900を攻撃シナリオDB545と対策情報DB546からそれぞれ検索し、送受信情報処理部510に出力する。送受信情報処理部510は、復旧策生成部530から出力されたこれらの情報を、路側器3を経由して車両2に送信する。一方、インシデント分析処理部520から未知の脆弱性との通知を受けた場合は、車両2に対して機能縮退を指示する信号を送受信情報処理部510に出力する。送受信情報処理部510は、復旧策生成部530からの信号に応じて、車両2で発生したインシデントに関連する各装置への機能縮退指示を、路側器3を経由して車両2に送信する。その後、復旧策生成部530は、車両ログDB540からインシデント発生の前後における車両2の状態を表す車両情報を取得し、これに基づいて、未知の脆弱性に関連する様々な攻撃シナリオを検討すると共に、根本対処の実施に必要な様々な情報を検討する。そして、これらの検討結果に基づき、脆弱性情報DB543、パッチDB544、攻撃シナリオDB545、対策情報DB546をそれぞれ更新する。
ここで、インシデントの発生について以下に説明する。
一般に、車両システムを対象としたサイバー攻撃とは、車両システムを構成する各種の情報機器に対して、セキュリティ上の脆弱性を利用し、電磁的方式により記録または送受信される情報の漏えい、滅失、毀損、改ざん等を行うことにより、設計者の意図しない情報機器の動作を生じさせることである。本実施形態の車両情報ネットワークシステム1では、車両2のネットワーク内で送受信される車両情報のログを車載監視装置20により監視し、ネットワーク内の各機器が外部からのサイバー攻撃を受けると、これをインシデントとして検知する。インシデントには、例えば、脆弱性の有無を確認するのみで実質的な被害の無いインシデント、情報機器のファイルが不正なファイルと書き換えられるインシデント、外部の不正な第三者により車両が遠隔操作されるインシデントなどがあり、深刻なインシデントの場合は、ユーザーや周囲の人の財産や生命が脅かされることもある。なお、被害の無いインシデントの例としては、FTP(File Transfer Protocol)やTelnet等の通信プロトコルを利用した不正な遠隔操作の準備として、ログイン名とパスワードがランダムに打ち込まれるインシデントや、NTP(Network Time Protocol)等の各種プロトコルが利用するポート番号に大量のデータが送付されるインシデントや、機器が停止するかどうかの確認が行われるインシデントなどである。これらのインシデントは、攻撃の準備段階において発生するインシデントである。一方、深刻なインシデントの例としては、不正なソフトウェアのインストールなどのファイル操作が行われるインシデントや、外部接続によるデータ送信のインシデントなどがある。
上記のような各種インデントの検知方法としては、例えば、ログインのエラー、不審なポート番号へのアクセス、システムの異常終了などの履歴を分析することで検知する方法がある。また、ホワイトリストやブラックリストと呼ばれる事前に規定されたセキュリティ対策ルールを用いてインシデントを検知する方法もある。具体的には、例えば、ホワイトリストで規定された通信先以外の通信先とのアクセスや、ホワイトリストで規定されたファイル以外を対象としたファイルの操作やインストールなどを検知したり、ブラックリストで規定された禁止操作や禁止アクセス先との通信などを検知したりすることで、インシデントの検知が可能である。
図6は、車両2におけるインシデントの説明図である。図6では、インシデントの例として、無線通信装置104に存在する7個の脆弱性のうち4個の脆弱性を使用した攻撃シナリオにより発生した不正な通信のインシデントを示している。具体的には、無線通信装置104が携帯通信を利用して受信したSMSメッセージにより無線通信装置104の設定ファイルが書き換えられることで、不正なサーバからのソフトウェア更新を無線通信装置104において実施され、その結果、無線通信装置104が悪意のある第三者から遠隔で不正に制御された場合の例を示している。この例では、一つの攻撃シナリオを攻撃シナリオ要素A1〜A4の4段階に分け、それぞれの段階での脆弱性を利用して攻撃シナリオが実現されるケースを示している。なお、図6において、(a)は攻撃シナリオの階層を示し、(b)は無線通信装置104における7個の脆弱性同士の関連性を示し、(c)は攻撃シナリオの詳細を示している。
攻撃シナリオ要素A1は、攻撃の準備段階に相当する。この段階では、悪意のある第三者は、SMSメッセージによる脆弱性の存在を把握すると、該当する脆弱性を有する車両を探すために、ランダムな電話番号に向けてSMSメッセージを発信する。このとき車載監視装置20は、事前に設定された番号リストと異なる電話番号からの発信を無線通信装置104が受信したことを検知することで、無線通信装置104に対するアクセスポリシー違反としてのインシデントを検知する。
攻撃シナリオ要素A2は、攻撃段階に相当する。この段階では、無線通信装置104の脆弱性を確認した攻撃者が、SMSメッセージにより無線通信装置104に対して不正プログラムを送信し、攻撃を開始する。不正プログラムを受信すると、無線通信装置104の設定が変更され、規定のプログラム更新先サーバからのプログラムのみダウンロードを許可する設定となっているアクセス制御が解除される。このとき車載監視装置20は、無線通信装置104において許可なくアクセス制御を実施している設定ファイルの更新が行われたことを検知することで、無線通信装置104に対するセキュリティポリシー違反としてのインシデントを検知する。
攻撃シナリオ要素A3は、インストール段階に相当する。この段階では、攻撃者が無線通信装置104に不正サーバからのファイルをダウンロードさせる。このとき車載監視装置20は、無線通信装置104におけるプログラムのインストール権限の変更や、不正インストールの検知、不正サーバへのアクセスなどが行われたことを検知することで、インシデントを検知する。
攻撃シナリオ要素A4は、遠隔操作段階に相当する。この段階では、攻撃者が無線通信装置104に不正サーバからダウンロードしたファイルを実行させることで、無線通信装置104から車載ゲートウェイ108に向けて不正な通信を実施させる。このとき車載監視装置20は、無線通信装置104から車載ゲートウェイ108への不正制御命令の送信や、不正タイミングでのアクセスが行われたことを検知することで、無線通信装置104に対するアクセスポリシー違反としてのインシデントを検知する。
ここで、攻撃シナリオで利用される脆弱性には相互に因果関係があり、ある攻撃シナリオ要素を実現するためには、前段の攻撃シナリオ要素が実現済みである必要がある。そのため、本実施形態の車両情報ネットワークシステム1では、車載監視装置20において、相互に関連し合う脆弱性を階層的に示した様々な攻撃シナリオを記録した攻撃シナリオDB172を記憶している。車載監視装置20のインシデント検知処理部120は、インシデントを検知すると、攻撃シナリオDB172に基づいて検知したインシデントに関連する脆弱性を特定し、その脆弱性を有する装置に対して暫定対処を行う。これにより、車両2で発生したインシデントに対して、適切な装置への暫定対処を速やかに実施できるようにしている。
なお、上記の攻撃シナリオは一例であり、他にも様々な攻撃シナリオによるインシデントを車載監視装置20において検知可能である。また、攻撃シナリオは車両2に搭載された装置毎に用意されてもよい。
図7は、車載監視装置20のCPU102が実行する処理のフローチャートである。このフローチャートに示す処理は、車両2に搭載された車載監視装置20のCPU102において、所定時間ごとに実行される。
ステップS10において、CPU102は、インシデント検知処理部120により、車両ログDB171に蓄積されている車両ログ400を読み出し、無線通信装置104を用いてセンタサーバ5に送信する。このとき、前回までの処理で既に送信済みの車両ログ400を除外し、未送信の車両ログ400のみを抽出して送信することが好ましい。
ステップS20において、CPU102は、インシデント検知処理部120により、ステップS10で車両ログDB171から読み出した車両ログ400に基づいて、インシデントが発生したか否かを判断する。ここでは、前述のような手法により、事前に規定されたセキュリティ対策ルール違反や通信データ異常の有無を確認することで、インシデントが発生したか否かを判断する。その結果、インシデントが検知されない場合はステップS10に戻って車両ログ400の送信を続け、インシデントを検知した場合は処理をステップS30に進める。
ステップS30において、CPU102は、インシデント検知処理部120により、ステップS20で検知したインシデントを表す検知情報600を生成する。ここでは、検知したインシデントに関する前述のような各種情報を組み合わせて、検知情報600を生成する。
ステップS40において、CPU102は、インシデント検知処理部120により、ステップS20で検知したインシデントに関連する全ての脆弱性を特定する。ここでは、検知したインシデントに対応する攻撃シナリオを攻撃シナリオDB172から検索し、その攻撃シナリオを参照することで、インシデントに関連する全ての脆弱性を特定する。
ステップS50において、CPU102は、インシデント検知処理部120により、ステップS40で特定した脆弱性への暫定対処を実施する。ここでは、対策情報DB173を参照することで、脆弱性ごとに暫定対処の内容を決定し、その内容に従って暫定対処を実施する。たとえば、当該脆弱性を有する機器をネットワーク内で特定し、その機器の機能を機能停止部140に停止させることで、暫定対処を実施する。このとき、警告処理部150によりユーザーへの警告を行い、ユーザーの確認操作が入力されるまで待ってから暫定対処を実施してもよい。
ステップS60において、CPU102は、インシデント検知処理部120により、ステップS30で生成した検知情報600を、無線通信装置104を用いてセンタサーバ5へ送信する。
ステップS70において、CPU102は、復旧策処理部160により、ステップS60で送信した検知情報600に応じてセンタサーバ5から、パッチ700、攻撃シナリオ800または対策情報900を受信したか否かを判断する。その結果、これらの情報のうち少なくともいずれかの情報を受信した場合は、ステップS20で検知したインシデントが既知の脆弱性によるものと判断し、処理をステップS80に進める。一方、いずれの情報も受信せずに機能縮退の指示をセンタサーバ5から受けた場合は、ステップS20で検知したインシデントが未知の脆弱性によるものと判断し、処理をステップS100に進める。
既知の脆弱性によるインシデントと判断した場合、ステップS80において、CPU102は、復旧策処理部160により、ステップS70でセンタサーバ5から受信した情報を用いて、ステップS20で検知したインシデントに対するセキュリティ対策を実施する。ここでは、センタサーバ5から受信したパッチ700を復旧策処理部160から該当する装置へ送信してインストールさせると共に、センタサーバ5から受信した攻撃シナリオ800や対策情報900を攻撃シナリオDB172、対策情報DB173にそれぞれ格納することで、セキュリティ対策を実施する。
ステップS80で全ての脆弱性に対するセキュリティ対策が実施されたことを確認したら、ステップS90において、CPU102は、インシデント検知処理部120により、ステップS50で実施した暫定対処を解除する。
未知の脆弱性によるインシデントと判断した場合、ステップS100において、CPU102は、インシデント検知処理部120により、車両2の機能縮退を実施する。ここでは、たとえばステップS50で実施した暫定対処をそのまま継続し、脆弱性を有する装置の機能を引き続き機能停止部140に停止させることで、車両2の機能縮退を実現する。あるいは、装置ごとに予め設定された機能縮退時の動作を実行させることで、車両2を機能縮退させてもよい。
ステップS90またはステップS100の処理を実行したら、CPU102は、図7のフローチャートを終了する。
図8は、センタサーバ5のCPU502が実行する処理のフローチャートである。このフローチャートに示す処理は、センタサーバ5のCPU502において、車載監視装置20から検知情報600が送信されると実行される。
ステップS210において、CPU502は、送受信情報処理部510により、車載監視装置20から送信された検知情報600を受信し、検知情報DB541に格納する。
ステップS220において、CPU502は、インシデント分析処理部520により、ステップS210で検知情報DB541に格納した検知情報600に基づいて、車載監視装置20で検知されたインシデントに関連する全ての脆弱性を特定する。ここでは、検知情報600が表すインシデントに対応する攻撃シナリオを攻撃シナリオDB545から検索し、その攻撃シナリオに対応する全ての脆弱性を脆弱性情報DB543から検索することで、車両2において発生したインシデントに関連する全ての脆弱性を特定する。
ステップS230において、CPU502は、インシデント分析処理部520により、ステップS220で特定した全ての脆弱性が車両2において対策済みであるか否かを判断する。ここでは、車両管理情報DB542を参照し、特定した全ての脆弱性に対してパッチ700や攻撃シナリオ800、対策情報900を車載監視装置20へ送信済みであるか否かを判断する。その結果、全ての脆弱性について対策を実施済みである場合は、車載監視装置20で検知されたインシデントが未知の脆弱性によるものと判断し、処理をステップS240に進める。一方、対策を未実施の脆弱性が存在する場合は、車載監視装置20で検知されたインシデントが既知の脆弱性によるものと判断し、処理をステップS260に進める。
未知の脆弱性によるインシデントと判断した場合、ステップS240において、CPU502は、復旧策生成部530により、車載監視装置20に対して車両2の機能縮退を実施するように指示する。この指示に応じて、車載監視装置20のCPU102が図7のステップS100の処理を実行することで、車両2において機能縮退が実施される。
ステップS250において、CPU502は、復旧策生成部530により、未知の脆弱性に対する分析を実施してその対策を検討する。そして、得られた検討結果に基づき、脆弱性情報DB543、パッチDB544、攻撃シナリオDB545、対策情報DB546をそれぞれ更新する。
既知の脆弱性によるインシデントと判断した場合、ステップS260において、CPU502は、復旧策処理部160により、車両2において未反映のパッチ700、攻撃シナリオ800、対策情報900をパッチDB544、攻撃シナリオDB545、対策情報DB546からそれぞれ検索する。そして、検索したこれらの情報を、送受信情報処理部510を用いて車載監視装置20に送信する。こうしてセンタサーバ5から送信されたパッチ700や攻撃シナリオ800、対策情報900を用いて、車載監視装置20のCPU102が図7のステップS102の処理を実行することで、車両2において発生したインシデントに対するセキュリティ対策が実施される。
ステップS250またはステップS260の処理を実行したら、CPU502は、図8のフローチャートを終了する。
次に、車両情報ネットワークシステム1全体の動作について説明する。図9は、車両情報ネットワークシステム1全体の動作を示すシーケンス図である。車両情報ネットワークシステム1において、センタサーバ5、車載監視装置20、およびネットワーク内の各装置は、それぞれ図9に示す処理を実行する。
ステップS301において、センタサーバ5は、車載監視装置20から路側器3を介して送信された車両ログ400を受信し、車両ログDB540に保存する。
ステップS302において、センタサーバ5は、車載監視装置20から路側器3を介して送信された検知情報600を受信し、検知情報DB541に保存する。
ステップS303において、センタサーバ5は、インシデント分析処理部520により、ステップS302で受信した検知情報600の分析を行う。
ステップS304において、センタサーバ5は、ステップS303で行った検知情報の分析結果に基づいて、復旧策生成部530により、パッチDB544、攻撃シナリオDB545、対策情報DB546から既存の対策をそれぞれ検索し、発生したインシデントが既知であるか否かを判断する。そして、この判断結果を車載監視装置20に通知すると共に、車両2で発生したインシデントの対策として、暫定対処、機能縮退、根本対処のいずれかを指示する。
ステップS305において、センタサーバ5は、復旧策生成部530により、車両2で発生したインシデントへの根本対処を策定できたら、これを車載監視装置20に通知し、機能縮退や暫定対処の状態になっている車両2において、根本対処を実施できるようにする。
ステップS401において、車載監視装置20は、ネットワークの各装置から送信される車両情報を取得し、車両ログDB171に蓄積する。また、車両ログDB171から車両ログ400を生成し、路側器3を介してセンタサーバ5に送信する。
ステップS402において、車載監視装置20は、インシデント検知処理部120により、車両ログDB171に基づいてインシデントの有無を判断する。インシデントを検知したら、検知情報600を生成し、路側器3を介してセンタサーバ5に送信する。
ステップS403において、車載監視装置20は、インシデント検知処理部120により、ステップS402で検知したインシデントに対応する攻撃シナリオを攻撃シナリオDB172から検索することで、攻撃シナリオの推定を行う。そして、対策情報DB173を参照し、推定した攻撃シナリオに応じた暫定対処を実施する。
ステップS404において、車載監視装置20は、復旧策処理部160により、ステップS402で送信した検知情報600に対してセンタサーバ5から通知されたインシデントの判断結果に応じて、車両2のネットワーク内の各機器に対策を指示する。
ステップS405において、車載監視装置20は、復旧策処理部160により、センタサーバ5からの通知に応じて、インシデントに対する根本対処を車両2のネットワーク内の各機器に実施させる。
ステップS501において、車両2のネットワーク内の各機器は、車両情報を他の機器に送信する。すなわち、制御系ネットワークドメイン内のステアリングECU109、ブレーキECU110、およびエンジンECU111の各装置と、運転支援系ネットワークドメイン内のADAS ECU112、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115、カメラ116、GPSセンサ117、および加速度センサ118の各装置と、情報系ネットワークドメイン内の車載監視装置20、無線通信装置104、ユーザースイッチ105、表示装置106、およびナビゲーションシステム107の各装置は、車両情報を他の装置に送信する。
ステップS502において、車両2のネットワーク内の各機器は、車載監視装置20の指示に応じて、車両2で発生したインシデントへの対策を実施する。
ステップS503において、車両2のネットワーク内の各機器は、車載監視装置20の指示に応じて、車両2で発生したインシデントへの根本対処を実施する。
図10は、攻撃シナリオDB172の構成例を示す図である。攻撃シナリオDB172では、攻撃シナリオを構成する攻撃シナリオ要素ごとに、図10に示すような情報が設定されている。シナリオ番号およびシナリオ段階は、攻撃シナリオ要素の属性を表す情報である。脆弱性ID、影響する脆弱性ID、攻撃IDおよび攻撃種別は、攻撃の種類と脆弱性の関連性を表す情報である。機器ID、機器情報、IF情報、エントリポイントおよび機能情報は、攻撃に利用される脆弱性に対応する機器とその機能を一意に識別する情報である。対策IDおよび対策情報は、攻撃への対策内容を表す情報である。
たとえば、図10の攻撃シナリオDB172におけるシナリオ番号2の攻撃シナリオ要素に対応するインシデントとして、Wi−Fi通信または携帯通信による不正なアクセスが検知されたとする。この場合、インシデント検知処理部120は、車両2のWi−Fiインタフェースおよび携帯通信インタフェースである無線通信装置104に対して、そのWi−Fi通信機能と携帯通信機能を、対策IDが284−1−1、284−2−1で示された対策がそれぞれ適用されるまで、機能停止部140により停止させる。また、影響する脆弱性IDの値から、シナリオ番号4、5、6にそれぞれ対応する攻撃シナリオ要素を一連の攻撃シナリオに属する攻撃シナリオ要素として特定し、これらが示す各機器の機能についても同様に停止させる。
図11は、対策情報DB173の構成例を示す図である。対策情報DB173では、攻撃シナリオDB172の各攻撃シナリオ要素が表す脆弱性への対策ごとに、図11に示すような情報が設定されている。対策ID、対象ECU IDおよび脆弱性IDは、対策の属性を表す情報である。対策可否基準および検知情報は、対策の適用基準を表す情報である。対策内容は、脆弱性への対策としての暫定対処および根本対処の内容を表す情報である。
図12は、検知情報600の構成例を示す図である。検知情報600は、インシデントが検知された日時と、インシデントの属性や種別を表す攻撃ID、攻撃種別、脆弱性ID、攻撃元情報、攻撃先情報とを含む。
図13は、車両管理情報DB542の構成例を示す図である。車両管理情報DB542では、センタサーバ5に接続される車両2ごとに、図13に示すような情報が設定されている。車両番号は、各車両2を一意に識別する情報である。車載ECUは、車両2に搭載されている機器を表す情報である。ECU ID、接続機器ID、機能情報、OS情報およびID情報は、各機器の詳細を表す情報である。
以上説明した本発明の一実施形態によれば、以下の作用効果を奏する。
(1)車載監視装置20は、複数の機器により構成されるネットワークを備えた車両2に搭載されるものであって、インシデント検知処理部120を備える。インシデント検知処理部120は、車両2の制御状態を表す車両情報、すなわち車両ログを車両ログDB171から取得し(図7、ステップS10)、この車両ログに基づいて車両2において発生したインシデントを検知する(ステップS20)。そして、検知したインシデントに関連する脆弱性を有する機器をネットワーク内で特定し、特定した機器に対して暫定対処を行う(ステップS40、S50)。このようにしたので、車両内のネットワークのセキュリティ性能を向上しつつ、ユーザーの利便性の低下を抑制することができる。
(2)車載監視装置20は、相互に関連し合う脆弱性を階層的に示した攻撃シナリオが記録された攻撃シナリオデータベース、すなわち図10のような構成を有する攻撃シナリオDB172をさらに備える。インシデント検知処理部120は、この攻撃シナリオデータベースに基づいて、検知したインシデントに関連する脆弱性を特定する。このようにしたので、インシデントを検知した場合に、そのインシデントに関連する脆弱性を正確かつ容易に特定することができる。
(3)車載監視装置20は、ネットワーク内で任意の機器が有する機能を停止させる機能停止部140をさらに備える。インシデント検知処理部120は、特定した機器の機能を機能停止部140に停止させることで暫定対処を行う。このようにしたので、インシデントを検知した場合に、根本対処が実施されるまでの間、セキュリティ上の悪影響を適切な範囲で素早く抑制することができる。
(4)インシデント検知処理部120は、取得した車両ログ400を無線接続されたセンタサーバ5へ送信する。このようにしたので、未知の脆弱性によるインシデントが発生した場合に、センタサーバ5において対策を検討することができる。
なお、以上説明した実施形態や各種の変形例はあくまで一例である。本発明の特徴を損なわない限り、本発明は上記実施の形態に限定されるものではなく、本発明の技術的思想の範囲内で考えられるその他の形態についても、本発明の範囲内に含まれる。
1…車両情報ネットワークシステム、2…車両、3…路側器、4…ネットワーク、5…センタサーバ、20…車載監視装置、101…記憶装置、102…CPU、103…メモリ部、104…無線通信装置、105…ユーザースイッチ、106…表示装置、107…ナビゲーションシステム、108…車載ゲートウェイ、109…ステアリングECU、110…ブレーキECU、111…エンジンECU、112…ADAS ECU、113…ブレーキ制御ECU、114…ステアリング制御ECU、115…エンジン制御ECU、116…カメラ、117…GPSセンサ、118…加速度センサ、119…モバイルルーター

Claims (5)

  1. 複数の機器により構成されるネットワークを備えた車両に搭載される車載装置であって、
    前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて前記車両において発生したインシデントを検知し、検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、特定した前記機器に対して暫定対処を行うインシデント検知処理部を備える車載装置。
  2. 請求項1に記載の車載装置において、
    相互に関連し合う脆弱性を階層的に示した攻撃シナリオが記録された攻撃シナリオデータベースをさらに備え、
    前記インシデント検知処理部は、前記攻撃シナリオデータベースに基づいて、検知した前記インシデントに関連する前記脆弱性を特定する車載装置。
  3. 請求項1または請求項2に記載の車載装置において、
    前記ネットワーク内で任意の機器が有する機能を停止させる機能停止部をさらに備え、
    前記インシデント検知処理部は、特定した前記機器の機能を前記機能停止部に停止させることで前記暫定対処を行う車載装置。
  4. 請求項1から請求項3までのいずれか一項に記載の車載装置において、
    前記インシデント検知処理部は、取得した前記車両情報を無線接続されたセンタサーバへ送信する車載装置。
  5. 複数の機器により構成される車両内のネットワークにおけるインシデント監視方法であって、
    前記車両の制御状態を表す車両情報を取得し、
    前記車両情報に基づいて前記車両において発生したインシデントを検知し、
    検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、
    特定した前記機器に対して暫定対処を行うインシデント監視方法。
JP2018017647A 2018-02-02 2018-02-02 車載装置、インシデント監視方法 Active JP6968722B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2018017647A JP6968722B2 (ja) 2018-02-02 2018-02-02 車載装置、インシデント監視方法
PCT/JP2019/003413 WO2019151406A1 (ja) 2018-02-02 2019-01-31 車載装置、インシデント監視方法
EP19747664.1A EP3748524A4 (en) 2018-02-02 2019-01-31 IN-VEHICLE DEVICE AND INCIDENT MONITORING PROCEDURES
US16/966,806 US20210044612A1 (en) 2018-02-02 2019-01-31 In-vehicle apparatus and incident monitoring method
CN201980011483.6A CN111684446A (zh) 2018-02-02 2019-01-31 车载装置、故障监视方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018017647A JP6968722B2 (ja) 2018-02-02 2018-02-02 車載装置、インシデント監視方法

Publications (2)

Publication Number Publication Date
JP2019133599A true JP2019133599A (ja) 2019-08-08
JP6968722B2 JP6968722B2 (ja) 2021-11-17

Family

ID=67479263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018017647A Active JP6968722B2 (ja) 2018-02-02 2018-02-02 車載装置、インシデント監視方法

Country Status (5)

Country Link
US (1) US20210044612A1 (ja)
EP (1) EP3748524A4 (ja)
JP (1) JP6968722B2 (ja)
CN (1) CN111684446A (ja)
WO (1) WO2019151406A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021084961A1 (ja) * 2019-10-29 2021-05-06 日立Astemo株式会社 分析装置及び分析方法
WO2023032279A1 (ja) * 2021-09-01 2023-03-09 日立Astemo株式会社 情報処理システム
US11667264B2 (en) 2020-07-14 2023-06-06 Denso Corporation Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program
US11930035B2 (en) 2020-09-08 2024-03-12 Sharp Kabushiki Kaisha Communication control system, information processing apparatus, and communication control method
JP7478085B2 (ja) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
WO2024122142A1 (ja) * 2022-12-08 2024-06-13 パナソニックオートモーティブシステムズ株式会社 セキュリティ方法、および、セキュリティ装置

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7344009B2 (ja) * 2018-10-17 2023-09-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
JP7149888B2 (ja) * 2018-10-17 2022-10-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
JP7350517B2 (ja) * 2018-10-17 2023-09-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
US11579985B2 (en) * 2019-05-31 2023-02-14 Acronis International Gmbh System and method of preventing malware reoccurrence when restoring a computing device using a backup image
JPWO2021152946A1 (ja) * 2020-01-29 2021-08-05
DE102021207473A1 (de) * 2021-07-14 2023-01-19 Robert Bosch Gesellschaft mit beschränkter Haftung Mitigation einer manipulation von software eines fahrzeugs
US20230019817A1 (en) * 2021-07-15 2023-01-19 Waymo Llc Autonomous vehicle security measures in response to an attack on an in-vehicle communication network
JP7230146B1 (ja) 2021-09-24 2023-02-28 エヌ・ティ・ティ・コミュニケーションズ株式会社 車両セキュリティ分析装置、方法およびそのプログラム
CN114362844A (zh) * 2021-12-29 2022-04-15 北京万集科技股份有限公司 天线装置、用于诊断车载单元故障的方法及相关产品
JP2024070327A (ja) * 2022-11-11 2024-05-23 パナソニックオートモーティブシステムズ株式会社 情報提供方法及び情報処理装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160219028A1 (en) * 2015-01-28 2016-07-28 GM Global Technology Operations LLC Responding to electronic in-vehicle intrusions

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8495745B1 (en) * 2009-11-30 2013-07-23 Mcafee, Inc. Asset risk analysis
EP3156988B1 (en) * 2014-06-12 2022-11-23 Hitachi Astemo, Ltd. Device for controlling vehicle travel
JP6369341B2 (ja) 2015-01-30 2018-08-08 株式会社デンソー 車載通信システム
JP6818293B2 (ja) 2016-07-29 2021-01-20 国立研究開発法人 海上・港湾・航空技術研究所 中性子吸収材及びその製造方法
US10678954B2 (en) * 2017-09-21 2020-06-09 GM Global Technology Operations LLC Cybersecurity vulnerability prioritization and remediation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160219028A1 (en) * 2015-01-28 2016-07-28 GM Global Technology Operations LLC Responding to electronic in-vehicle intrusions

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021084961A1 (ja) * 2019-10-29 2021-05-06 日立Astemo株式会社 分析装置及び分析方法
JPWO2021084961A1 (ja) * 2019-10-29 2021-05-06
CN114600423A (zh) * 2019-10-29 2022-06-07 日立安斯泰莫株式会社 分析装置及分析方法
JP7296470B2 (ja) 2019-10-29 2023-06-22 日立Astemo株式会社 分析装置及び分析方法
CN114600423B (zh) * 2019-10-29 2024-04-30 日立安斯泰莫株式会社 分析装置及分析方法
US11667264B2 (en) 2020-07-14 2023-06-06 Denso Corporation Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program
US11930035B2 (en) 2020-09-08 2024-03-12 Sharp Kabushiki Kaisha Communication control system, information processing apparatus, and communication control method
JP7492886B2 (ja) 2020-09-08 2024-05-30 シャープ株式会社 通信制御システムおよび情報処理装置
JP7478085B2 (ja) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
WO2023032279A1 (ja) * 2021-09-01 2023-03-09 日立Astemo株式会社 情報処理システム
WO2024122142A1 (ja) * 2022-12-08 2024-06-13 パナソニックオートモーティブシステムズ株式会社 セキュリティ方法、および、セキュリティ装置

Also Published As

Publication number Publication date
WO2019151406A1 (ja) 2019-08-08
EP3748524A4 (en) 2021-10-27
JP6968722B2 (ja) 2021-11-17
US20210044612A1 (en) 2021-02-11
CN111684446A (zh) 2020-09-18
EP3748524A1 (en) 2020-12-09

Similar Documents

Publication Publication Date Title
JP6968722B2 (ja) 車載装置、インシデント監視方法
JP7197638B2 (ja) セキュリティ処理方法及びサーバ
US20200059383A1 (en) In-vehicle gateway device and communication restriction method
US9697355B1 (en) Cyber security for physical systems
JP6669138B2 (ja) 攻撃監視システムおよび攻撃監視方法
KR102524204B1 (ko) 차량용 네트워크의 침입 대응 장치 및 방법
JP2023021333A (ja) セキュリティ処理方法及びサーバ
JP6808595B2 (ja) 車載装置、インシデント監視方法
KR20210003261A (ko) 차량 침입 감지 및 방지 시스템
CN108183921B (zh) 经由边界网关进行信息安全性威胁中断的系统和方法
JP2019174426A (ja) 異常検知装置、異常検知方法およびプログラム
US11330017B2 (en) Method and device for providing a security service
JP2022176312A (ja) 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
JP7024069B2 (ja) 車両の制御機器に対する攻撃を検出する方法
US20220019661A1 (en) Log analysis device
JPWO2020075808A1 (ja) 情報処理装置、ログ分析方法及びプログラム
CN115296860B (zh) 基于中央计算平台的车辆安全运维运营系统及车辆
JP7478085B2 (ja) 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
JP2018073004A (ja) 攻撃通知システムおよび攻撃通知方法
JP2018097805A (ja) 攻撃通知システムおよび攻撃通知方法
WO2024122142A1 (ja) セキュリティ方法、および、セキュリティ装置
JP2024067916A (ja) 攻撃検知システム
WO2023114786A1 (en) Systems and methods for increasing security of connected vehicles
CN118199909A (zh) 检测异常通信
Akingboye et al. Study Investigation of the Internet of Vehicle (IoV) Security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210817

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211012

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211027

R150 Certificate of patent or registration of utility model

Ref document number: 6968722

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150