JP2019194830A - 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 - Google Patents

車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 Download PDF

Info

Publication number
JP2019194830A
JP2019194830A JP2018171234A JP2018171234A JP2019194830A JP 2019194830 A JP2019194830 A JP 2019194830A JP 2018171234 A JP2018171234 A JP 2018171234A JP 2018171234 A JP2018171234 A JP 2018171234A JP 2019194830 A JP2019194830 A JP 2019194830A
Authority
JP
Japan
Prior art keywords
vehicle
rule
message
ecu
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018171234A
Other languages
English (en)
Other versions
JP6807906B2 (ja
Inventor
ヴィー. ジヤキン パーベル
V Dyakin Pavel
ヴィー. ジヤキン パーベル
ヴィー. シャドリン アレクサンドル
V Shadrin Alexander
ヴィー. シャドリン アレクサンドル
エー. クラーギン ドミトリー
A Kulagin Dmitry
エー. クラーギン ドミトリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2019194830A publication Critical patent/JP2019194830A/ja
Application granted granted Critical
Publication of JP6807906B2 publication Critical patent/JP6807906B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40143Bus networks involving priority mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Mechanical Engineering (AREA)
  • Technology Law (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】交通手段の電子システムに対する攻撃を検出して阻止するためのルールを生成するシステムおよび方法を提供する。【解決手段】セキュリティサーバは、交通手段に関わる道路交通事故時の前後に交通手段のバス上で傍受されたメッセージを含むログデータを受信する。セキュリティサーバは、電子システムに対するコンピュータ攻撃を検出し、コンピュータ攻撃において使用された悪意あるメッセージおよび悪意あるメッセージの受信側である少なくとも1つのECUに関する情報などの1つ以上の侵害指標に依存する1つ以上のルールを生成する。生成されたルールは、さらに、車両の通信バス内の通信の阻止、改変、変更などの以後のコンピュータ攻撃を阻止するための処置を規定する。【選択図】図5A

Description

本開示は、コンピュータセキュリティの分野、より具体的には、車両の電子システムのコンピュータセキュリティに関する。
現在では、自動車、車両、および交通手段全般へのコンピュータ攻撃の可能性が絶えず増大しており、車両のコンピュータシステムや電子システムに対する依存が高まるにつれ、そのような攻撃の数も増加している。そのため、コンピュータ攻撃を成功裏に検出して対応できるシステムを構築することが緊急課題である。
コンピュータ攻撃が自動車の内部装置(主として、電子制御ユニット(Electronic Control Unit:ECU))に対して行われた場合、攻撃の検出に成功したとしても、その影響を無効にすることのできる適切な処置を講じることは極めて困難である。
そこで、セキュリティの専門家であるチャーリー・ミラー(Charlie Miller)とクリス・ヴァラセク(Chris Valasek)は、自動車のセキュリティをテーマにした数々の著作を発表した。”Adventures in Automotive Networks and Control Units”と題する白書の中で、このセキュリティの専門家たちは、ノート型パーソナルコンピュータとニンテンドー(Nintendo)(登録商標)ゲームパッドを使って、コントローラエリアネットワーク(Controller Area Network:CAN)バス上のパケット送信を伴う、ECUに対するコンピュータ攻撃を行って、2010年式トヨタ・プリウス(Toyota Prius)(登録商標)と2010年式フォード・エスケープ(Ford Escape)(登録商標)をコントロールする方法を説明している。また、2015年8月10日発表の”Remote Exploitation of an Unaltered Passenger Vehicle”と題する別の論文に説明されているように、ミラーとヴァラセクは、自動車の車載マルチメディアシステムの脆弱性を利用して、Wi-Fiで自動車のネットワークに侵入し、2014年式ジープ・チェロキー車(Jeep Cherokee)(登録商標)のハッキングに成功した。携帯電話事業者、スプリント(Sprint)(登録商標)の通信ポートにおける脆弱性がもう1つのエントリポイントとなった。自動車の電子システムをコントロールするために、調査員たちは、特殊なプログラムコードを導入することでCANバスのコントローラのファームウェアを改変して、CANバスに対するコンピュータ攻撃を行った。調査員たちは、このコンピュータ攻撃によって、自動車のステアリングホイール、ブレーキシステム、およびその他の電子システムの動作を遠隔制御することができた。この調査の結果、現実に、フィアットクライスラーアメリカグループによる140万台の2014年式ジープ・チェロキー車のリコールに至った。
しかし、自動車産業における更新サイクルは長期間を要するため、自動車の電子システムの脆弱性が発見された場合、更新版をリリースして自動車の電子システムに搭載するには比較的長い期間を要する可能性があり、自動車をリコールすることも必要になる可能性がある。一方では、旧モデルの自動車はまったく更新されないこともあるため、脆弱性にさらされる可能性がある。したがって、自動車メーカーが自動車の電子システムを更新することによって脆弱性を取り除くよりも前に、そのようなコンピュータ攻撃を検出して阻止できる解決策を開発することが必要となる。
既存の侵入検知システム(Intrusion Detection System:IDS)は、自動車のバス上に伝送されるデータの異常を発見することができる。しかし、IDSの動作は大規模な統計的データベースの集合体を必要とするので、そのようなシステムは、例えば上記のような複雑な標的型攻撃を効率的に検出することはできない。しかし、まさにこれらの種類のコンピュータ攻撃が最大の危険をもたらすものである。また、既存の侵入検知システムを車両のネットワークアーキテクチャに容易に適応させることはできない。例えば、CANプロトコルのブロードキャスト的性質のために、送られたメッセージを受信するECUは、それが攻撃者からのものか、予想したECUからのものかを知ることができない可能性がある。
注目すべきことは、コンピュータ攻撃が成功して、道路交通事故(Road Traffic Accident:RTA)などの、重大な結果になったときは、たとえその攻撃を事前に検出して防止できなかったとしても、その(例えば、RTAなどの)インシデントの原因に関する情報が極めて重要であるということである。この情報は、将来、そのようなインシデントを防止する手段の開発を可能にするので、自動車メーカーにとっても、そのインシデントの調査を行う当局にとっても、非常に貴重である。留意しなければならないことは、インシデントの発生後の調査段階で、それがコンピュータ攻撃によるものであっても、そのことを示す証拠がすべてシステムから削除されているか消滅している可能性があるということである。そうすると、そのインシデントが、例えば、人為的ミスによるものではなく、明確にコンピュータ攻撃によるものであるということを知ることは不可能になる。
本開示の1つの態様によれば、車両の電子システムに対する攻撃を検出するためのコンピュータ上で実現される方法が提供される。本方法は、車両の複数の電子制御ユニット(ECU)間の第1通信バス上に伝送される複数のメッセージを傍受すること、および、どのECUが第1通信バスと通信可能に接続されているかに基づいて、傍受されたメッセージの受信側である少なくとも1つの受信側ECUを判定することを含む。傍受されたメッセージ、および、判定された少なくとも1つの受信側ECUを示す情報はログに保存される。本方法は、ログに保存されているメッセージと情報がルールの少なくとも1つの条件を満たしていることを基に、車両へのコンピュータ攻撃を検出すること、および、ルールに応じた処置を実行することによって、車両に対するコンピュータ攻撃を阻止することをさらに含む。ルールは、コンピュータ攻撃において使用された悪意あるメッセージ、および、悪意あるメッセージの受信側である少なくとも1つのECUに関する情報から成る1つ以上の侵害指標に依存してもよい。
態様のその他の例においては、車両の電子システムに対する攻撃を検出するためのコンピュータシステムが提供される。コンピュータシステムは、複数の電子制御ユニット(ECU)、複数のECUを通信可能に接続するように構成された第1通信バス、およびハードウェアプロセッサを含む。ハードウェアプロセッサは、複数のECU間の第1通信バス上に伝送される複数のメッセージを傍受し、どのECUが第1通信バスと通信可能に接続されているかに基づいて、傍受されたメッセージの受信側である少なくとも1つの受信側ECUを判定するように構成されている。ハードウェアプロセッサは、さらに、傍受されたメッセージ、および、判定された少なくとも1つの受信側ECUを示す情報を、ログに保存するように構成されている。プロセッサは、ログに保存されているメッセージと情報がルールの少なくとも1つの条件を満たしていることを基に、車両へのコンピュータ攻撃を検出し、ルールに応じた処置を実行することによって、車両に対するコンピュータ攻撃を阻止するように構成されている。ルールは、コンピュータ攻撃において使用された悪意あるメッセージ、および、悪意あるメッセージの受信側である少なくとも1つのECUに関する情報から成る1つ以上の侵害指標に依存してもよい。
態様のその他の例によれば、本明細書に開示された方法のいずれかを実行するためのコンピュータ実行可能命令から成る命令を含むコンピュータ読み取り可能媒体が提供される。
上記の、態様例の簡単な概要は、本開示の基本的な理解を提供するものである。この概要は、想定されるすべての態様の広範な概説ではなく、すべての態様の鍵となる要素や重要な要素を特定したり、本開示の一部またはすべての態様の範囲を規定したりすることを意図するものではない。その唯一の目的は、1つ以上の態様を、後述する本開示のより詳細な説明への前置きとして、簡易な形で提示することである。上述のことを達成するために、本開示の1つ以上の態様は、特許請求の範囲で説明され、かつ例示的に示される特徴を含んでいる。
本明細書に組み込まれ、その一部を構成する添付図面は、本開示の1つ以上の態様例を図示し、それらの原理および実施例を説明するために、詳細説明と共に供される。
図1Aおよび図1Bは、自動車の例を用いて、交通手段のネットワークアーキテクチャの例を示す、ブロック図である。 図1Aおよび図1Bは、自動車の例を用いて、交通手段のネットワークアーキテクチャの例を示す、ブロック図である。
図2Aから図2Cは、交通手段のネットワークにおける保護モジュールの配置の例を示す図である。 図2Aから図2Cは、交通手段のネットワークにおける保護モジュールの配置の例を示す図である。 図2Aから図2Cは、交通手段のネットワークにおける保護モジュールの配置の例を示す図である。
図3は、ルール作成システムの例を示す図である。
図4は、交通手段に対するコンピュータ攻撃を阻止するためのシステムを示す図である。
図5Aおよび図5Bは、本開示の各態様、特に、図3および図4のシステムを実現する方法を図示するフローチャートである。 図5Aおよび図5Bは、本開示の各態様、特に、図3および図4のシステムを実現する方法を図示するフローチャートである。
図6は、CANプロトコルのフレームのフォーマットを示す図である。
図7は、開示されたシステムおよび方法を態様例に従って実現可能なコンピュータシステムのブロック図である。
車両の電子システムに対する攻撃を検出するためのシステム、方法、およびコンピュータプログラム製品に関する態様例について以下に説明する。以下の説明は、単に例示の目的のためであって、いかなる制限を加えることも意図されていないことは、当業者には理解されるであろう。その他の態様は、本開示から利益を得る当業者には、容易に想起できるであろう。添付図面に示すように、態様例の実施態様が詳細に参照される。同一あるいは類似する項目には、図面および以下の説明を通して、可能な範囲で、同一の参照符号を用いる。
用語解説:本開示の異なる態様を説明するために用いるいくつかの用語について以下に定義する。
交通手段(以下、MT)とは、人や、貨物や、その交通手段に装備された機器を、道路上で運搬するように構成された装置である。例えば、当該装置は、自動車のような車両であってもよい。本開示においては、交通手段を自動車または車両と称することもある。
交通手段は、車両の1つ以上の電気システムやその他のサブシステムを制御するように構成された1つ以上の内蔵システムを含む電子システムを有している。自動車の電子システムは、例えば、以下のものを含んでいてもよい。
1.運転状態(例えば、エンジン回転数)およびセットポイント値(例えば、スイッチ位置)を検出するように構成されたセンサおよびセットポイントジェネレータ。センサおよびセットポイントジェネレータは、さらに、物理的変数を電気信号に変換するように構成されている。
2.センサおよびセットポイントジェネレータからの情報を、数学的計算プロセス(開回路および閉回路制御アルゴリズム)で処理するように構成された電子制御ユニット(ECU)。ECUは電気的出力信号を用いてアクチュエータを制御する。さらに、ECUは他システムおよび車両診断システムに対するインターフェースとして機能する。
3.ECUからの電気的出力信号を機械的変数(例えば、ソレノイド弁のニードルのリフト)に変換するように構成されているアクチュエータ。
電子制御ユニット(ECU)とは、所定の形式の電気信号で構成される情報を処理するための任意の複雑度を持った電子回路を含む、構造的には別々の、機能的には完結した電子装置部分である。
バスとは、すべてのノードを受動的通信回線によって接続して双方向のデータ通信を可能にしている、データ通信ネットワークのトポロジーである。
フレーム(メッセージとも称する)とは、通信チャネル上の伝送シーケンスにおけるビットまたはビットフィールドの順序と値を定義する、通信チャネルプロトコルのデータブロックである。
先進運転支援システム(advanced driver-assistance systems)とは、MTの制御処理などによって、MTの監視、MTの運転者への警告、MTの制動において運転者を支援するためのシステムである。
テレマティックデータ(テレマティクスとも称する)とは、ナビゲーショナルデータであり、路上走行車の車載ナビゲーション通信装置が移動通信チャネルを介して配送センターへ送信することができる、動作要素の現在状態に関するデータである。
情報セキュリティインシデントとは、かなり高い確率で、事業活動の侵害や情報セキュリティへの脅威の発生をもたらす、1件以上の望ましくないかもしくは予想外の情報セキュリティイベントである。
本出願において、「交通手段に関わるインシデント」(以下、インシデントと称する)とは、道路交通事故(Road Traffic Accident:RTA)などの、予想したMTの挙動に変化をもたらす、1件以上の望ましくない、もしくは予想外の事象を意味する。本開示の各態様は、まさに、情報セキュリティインシデントの結果として交通手段に関わるインシデントが引き起こされた場合に、前述の技術的問題の解決に寄与するものである。
侵害指標(Indicator of Compromise:IOC、また、感染指標(indicator of infection)とも称する)とは、コンピュータ上またはネットワーク上で観察できる情報システムへのアーティファクト、すなわち、侵入の残留痕跡である。代表的な侵害指標として、ウィルス対策レコード、IPアドレス、ファイルのチェックサム、URLアドレス、ボットネットのコマンドセンターのドメイン名などがある。侵害指標には、特に、OpenIOC、STIX(Structured Threat Information eXpression)、CybOX(Cyber Observable eXpression)(商標)などのような規格が複数存在する。
コンピュータ攻撃(サイバー攻撃または悪意ある攻撃とも称する)とは、情報システムおよび情報通信ネットワークの情報セキュリティを侵害するために、当該システムおよびネットワークに対して行われる、ハードウェアおよびソフトウェアによる標的型行動である。
標的型攻撃(Targeted Attack:TA)とは、特定の組織や特定の個人に向けられたコンピュータ攻撃の特定の例である。
注目すべきことは、本開示は、エンジン(内燃機関、水素エンジン、電気エンジン)を使用し、少なくとも1つのECUを含む、あらゆる種類の交通手段に適用できるということである。
図1Aは、自動車の例を用いて、交通手段のネットワークアーキテクチャ100の例を示す図である。まず、注目すべきことは、最新のMT、特に、自動車では、現行規格に従って、以下のバスが使用されるということである。例えば、ネットワークアーキテクチャ100は、車両のマイクロコントローラや装置の相互通信を(例えば、ホストコンピュータなしに)可能にするように設定された、交通手段のネットワークに関する(ISO 11898-1にも規定されている)通信規格である、コントローラエリアネットワーク(CAN)を実現するように構成されてもよい。CANバスは、データ送信速度が125 kbit/sと1 Mbit/sの間である高速バスCAN−C(ISO 11898-2)と、データ送信速度が5 kbit/sと125 kbit/sの間である低速バスCAN−B(ISO 11898-3)とに分けられる。ネットワークアーキテクチャは、さらに、可変データレート対応のCAN(CAN FD)と称するCANの拡張版を実現するように構成されてもよい。
他の一例においては、ネットワークアーキテクチャ100は、CANに対する高速で高信頼性の代替として開発されたISO 17458-1-17458-5規格である、フレックスレイ(FlexRay)を実現するように構成されてもよい。ネットワークアーキテクチャ100は、免責の低い自動車システムの制御を指向した、産業ネットワークに関するISO 17987規格である、ローカル相互接続ネットワーク(Local Interconnect Network:LIN)を実現するように構成されてもよい。他の一例においては、ネットワークアーキテクチャ100は、自動車産業におけるマルチメディアとコンピュータエンターテインメントネットワークに関する事実上の規格である、メディア指向システムトランスポート(Media Oriented Systems Transport:MOST)を実現するように構成されてもよい。他の一例においては、ネットワークアーキテクチャ100は、802.3グループのIEEE規格に説明されている、コンピュータ用の装置と産業ネットワークの間のパケットデータ送信のための技術である、イーサネット(Ethernet)(登録商標)を使用するように構成されてもよい。注目すべきことは、上記規格は継続的に改善されており、交通手段において使用される新しい規格や技術もまた出現しているということである。したがって、本開示の範囲は上記規格に限らず、交通手段において使用され得るいかなる技術にも適用可能である。
車両のネットワーク100は、例えばCANバスのようなマルチマスターシリアルバスを用いたECU間(すなわち、ノード間)のメッセージ交換を可能にするように構成されてもよい。最新のMTのネットワーク100は、セントラルゲートウェイ101と、車両のシャーシ161に付随し、第1バス151(例えば、フレックスレイバス)によってシャーシ161と通信可能に接続された複数のECU111から113(ECU1、ECU2、…、ECUnと名付ける)と、車両のマルチメディアサブシステム162(車内エンターテインメント(In-Car Entertainment:ICE)または車載インフォテインメント(In-Vehicle Infotainment:IVI)とも称する)に付随し、第2バス152(例えば、CAN−Bバス)によってマルチメディアサブシステム162と通信可能に接続された複数のECU121から123と、車両のトランスミッションシステム163に付随し、第3バス153(例えば、CAN−Cバス)によってトランスミッションシステム163と通信可能に接続された他の複数のECU131から133と、車両のテレマティクス164に付随し、第4バス154(例えば、MOSTバス)によってテレマティクス164と通信可能に接続されたもう一群のECU141から143とを含んでいる。セントラルゲートウェイ101は、診断バス155、ローカル相互接続ネットワーク(LIN)156、およびイーサネット(登録商標)157へも出力する。本例において、MTのネットワークアーキテクチャは、MTのすべてのサブシステムをバス151から157によって接続する単一のセントラルゲートウェイ101を収容している。本明細書で使用されている、他のモジュール、すなわちサブシステムと「接続」されているモジュール、すなわちサブシステムは、任意の数の介在要素によって、直接または間接的に、そのモジュール、すなわちサブシステムと通信可能に接続されている。
いくつかの態様においては、バスは、アドレッシングをサポートしない限定的な通信中継手段であってもよい。1つの態様においては、メッセージはバス上のすべてのノードにブロードキャストされ、各ノードは、メッセージが自ノード宛か否かを判断する。例えば、ECUは、CANバスを使ってメッセージをブロードキャストし、特定のメッセージに(すなわち、CAN識別子によって)関心がある他のECUは、それらのメッセージを受信しようとし、その他のメッセージを無視するものとする。言い換えれば、CANメッセージには送信元識別子も認証も組み込まれていない。これらの制限によって、既存のコンピュータセキュリティ技術を車両の電子システムに適合させる際に問題が生じる。例えば、これらの制限によって、悪意ある要素は、CANネットワーク上のトラフィックの傍受および他のECUへのなりすまし(すなわち、データインジェクション)の両方を行うことができる。また、これらの制限のために、どのECUが特定のCANメッセージを送信もしくは受信しているのかを知る方法がないため、コンピュータセキュリティ解析のためにトラフィックにリバースエンジニアリングを適用することは困難である。
各ECUは、CANバス上のメッセージを受信および送信するように構成されたCANコントローラを(ECUのマイクロコントローラの個別構成部品または不可欠な部分として)含んでもよい。CANコントローラは、メッセージを受信するため、バスから受信したシリアルビットを、メッセージ全体が得られるまで蓄積するように構成されてもよい。メッセージは、その後、ホストプロセッサに(例えば、割込みをトリガするCANコントローラに)フェッチされる。CANコントローラは、メッセージを(例えば、他のECUに)送信するため、バスがフリーのときにビットをバス上でシリアル伝送することによって(マイクロコントローラによって提供された)メッセージを中継するように構成されてもよい。
いくつかの態様においては、ECUは、バス上のデータストリームをCANバスのレベルからCANコントローラが使用するレベルに変換することによりメッセージの受信を促進し、かつ、データストリームをCANコントローラのレベルからCANバスのレベルに変換することによりメッセージの送信を促進するように構成されたトランシーバをさらに含んでもよい。1つの態様においては、ECUが、CANトランシーバを使用して、非ゼロ復帰(Non-Return-to-Zero:NRZ)形式を用いてメッセージをバス上でシリアル伝送し、その後、バス上のすべてのECUがメッセージを受信するように構成されてもよい。
メッセージ(すなわち、フレーム)は、識別子(identifier:ID)とデータペイロード(例えば、1フレームにつき8または64データバイト)を含んでもよい。メッセージは、冗長コード(巡回冗長検査(Cyclic Redundancy Check:CRC))と、確認スロットと、その他のフィールドをさらに含んでもよい。いくつかの態様においては、メッセージの識別子フィールドはメッセージの優先度(例えば、値が低いほど、優先度が高い)を示す。また、受信側の各ECUが、識別子フィールドを使って、バス信号を処理してメッセージを受け取るべきかを判断してもよい。
図1Bは、交通手段のネットワークアーキテクチャ100Bの他の一例を示す図である。MTのネットワーク100Bは、それぞれ特定のサブネットワークを分担する相互接続されたゲートウェイ201から204を収容している。ゲートウェイ1(201)は、MTのシャーシを分担するECU111から113に、フレックスレイバス151によって接続されている。ゲートウェイ2(202)は、MTのマルチメディアサブシステムを分担するECU121から123に、CAN−Bバス152によって接続されている。ゲートウェイ3(203)は、トランスミッションを分担するECU131から133に、CAN−Cバス153によって接続されている。そして、ゲートウェイ4(204)は、テレマティクスを分担するECU141から143に、MOSTバス154によって接続されている。
図2Aは、交通手段のネットワークにおける保護モジュール102の配置の例を示す図である。この例では、図1Aに示すネットワークアーキテクチャ100が使用される。保護モジュール102は、主として、MTに対するコンピュータ攻撃を阻止する役割を果たす。MTに対するコンピュータ攻撃とは、主として、MTのネットワークおよびMTの電子システム、特に、ECUおよびネットワークゲートウェイに対するコンピュータ攻撃を意味する。保護モジュール102の機能性について、以下にさらに詳細に説明する。図2Aに挙げられている例において、保護モジュール102はセントラルゲートウェイ101のソフトウェアコンポーネントであり、ネットワークの全ノードの保護を提供する。
他の一例においては、図2Bに示すシステムは、2つの保護モジュール102aおよび102bを収容し、そのうち1つ目はフレックスレイバス151と、2つ目はMOSTバス154と接続され、それによって、保護モジュール102aおよび102bのそれぞれは、そのアクセス先のネットワーク/サブネットワークに保護を提供するものとする。保護モジュールのネットワークとの接続の、これ以外の例も可能であることは言うまでもない。
図2Cは、図1Bに示すアーキテクチャを用いた、交通手段のネットワークにおける保護モジュール102の配置のさらに他の例を示す図である。ネットワークは4つの保護モジュール102aから102dを収容している。保護モジュール102aはフレックスレイバス151と接続され、保護モジュール102bはCAN−Bバス152と接続され、保護モジュール102cおよび102dは、それぞれ、ゲートウェイ203および204のソフトウェアコンポーネントである。保護モジュール102aから102dのそれぞれは、そのアクセス先のネットワーク/サブネットワークに保護を提供するものとする。保護モジュールのネットワークとの接続の、これ以外の例も可能であることは言うまでもない。一般例においては、MTのネットワークに対する総合的保護を確保するために、保護モジュールを任意のサブネットワーク(すなわち、バス)および任意のゲートウェイと接続してもよい。
1つの態様においては、ECUは、MTの主電子システムおよびMTの補助電子システムのカテゴリーのうち一方に所属してもよい。MTの主および補助システムのECUのリストを、例えば、1つ以上の保護モジュール102aから102dのメモリまたはゲートウェイのメモリに収容してもよい。主電子システムは、MTの制御、MTの安全、およびその周囲の人にとって重要なECUを含んでいる。補助電子システムが含むECUは、運転者に付加的な利便性を提供し、MTのエンターテインメントオプションやその他の付加的機能を利用可能にするものであって、切断されてもMTやその安全性を制御する能力に影響を与えない。
1つの態様例においては、MTの補助電子システムのECUは、運転支援システム、マルチメディアシステム(車内エンターテインメント(ICE)または車載インフォテインメント(IVI)とも称する)、およびテレマティクスを含んでもよい。運転支援システムは、特に、駐車センサ(パークトロニクスまたは駐車支援システムとも称する)、カメラモニタシステム、ブロックヒーター、およびアンチロックブレーキシステム(Anti-lock Braking System:ABS)の各ECUを含んでもよい。マルチメディアシステムは、特に、ナビゲーションシステム、車内インターネット、ステアリングホイールのオーディオコントロール、およびハンズフリーボイスコントロールを含んでもよい。テレマティクスは、特に、テレマティックコントロールユニット(Telematic Control Unit:TCU)、グローバルポジショニングシステム(Global Positioning System:GPS)ユニット、外部移動体通信インターフェース(GSM(登録商標)、GPRS、3G、4G、(LTE)Wi-Fi、WiMAX、またはBluetooth(登録商標))、加速度、衝撃、および空間方位センサを含む1個以上のセンサなどを含んでもよい。さらに他の特定の態様においては、MTの補助電子システムのECUのリストは、信頼できない無線接続チャネルおよび自律走行システム(最終レベルの制御まで)をさらに収容している。
他の態様においては、MTの主電子システムのECUのリストは、特に、ギアボックスに付随するコントロールユニットおよびシャーシに付随するコントロールユニットを含む。ギアボックスに付随するコントロールユニットは、特に、トランスミッションコントロールユニット、トラクションコントロールシステム(Traction Control System:TCS)などを含む。車両のシャーシに付随するコントロールユニットは、特に、クルーズコントロールシステム、車線維持システムなどを含む。
注目すべきことは、1つの態様においては、補助電子システムのリストにある、例えば、ABSシステムなどの、いくつかのECUは主電子システムのリストに移動させてもよいということである。他の態様においては、その逆のことができる。さらに注目すべきことは、1つの態様においては、主および補助電子システムのリストは、MTの製造者、モデルおよびタイプに応じて異なってもよく、適宜変更してもよいということである。
図3は、ルール作成システム300の例を示す図である。ネットワークアーキテクチャは既に示したもののうちどれでもよいが、ここで考察される例においては、MTのネットワークアーキテクチャは、図2Aに既に示した外観を有している。システムは少なくとも1つの交通手段301を含み、交通手段301は乗員保護システム(Occupant Protection System:OPS)331および保護モジュール102を含む。OPS331はMTのバスと(本例では、CAN−Cバス153と)接続され、MTに関わるインシデント(例えば、RTA)が発生した時点を確認するように構成されている。
保護モジュール102も、MTのバスと接続され(本例では、保護モジュール102はセントラルゲートウェイ101のモジュールである)、MTのバス上を流れるメッセージ(すなわち、フレーム)を傍受するように構成されている。このため、傍受されたメッセージは、傍受する過程でログ304に保存される。保護モジュール102は、さらに、メッセージの受信側であるMTの少なくとも1つのECUに関する受信側情報を、傍受されたメッセージごとに保存するように構成されてもよい。また、保護モジュール102は、ログ304のうちの、メッセージと、MTに関わるインシデントの発生時刻前後の特定期間中(すなわち、期間(to - Δt, t0 + Δt)の間、ただし、t0はMTに関わるインシデントの発生時刻であり、ΔtはMTに関わるインシデントの発生時刻前後の特定期間、例えば、10秒)にMTのバス上の保護モジュール102によって傍受された前記メッセージのうち少なくとも1つの受信側である少なくとも1つのECUに関する情報とを含む部分を、サーバ303に送信する役割も果たす。
ECUに関する情報はECUを一意的に識別するために用いられ、特に、ECUの一意的識別子、すなわち表示記号を含む。
保護モジュール102は、ネットワーク302(すなわち、Wi-Fiネットワーク、LTEなどの無線通信ネットワーク)によってサーバ303と通信することができる。サーバ303は、保護モジュール102からログ304を受信し、受信したログ304を解析することによってコンピュータ攻撃を検出するように構成されている。コンピュータ攻撃が行われる可能性は、MTの電子システム、特にECUの脆弱性次第である。さらに、サーバ303は、コンピュータ攻撃を検出する際に、特に以下の侵害指標を判定するように構成されている。すなわち、コンピュータ攻撃の中で用いられているメッセージ、および、それらのメッセージのうち少なくとも1つのメッセージの受信側であるMTの少なくとも1つのECUに関するメッセージごとの情報である。また、サーバ303は、侵害指標に基づいて、保護モジュール102に対するルールを作成するようにも構成されており、1つのルールは、MTに対するコンピュータ攻撃を検出するためのルールを適用する少なくとも1つの条件、および、MTに対するコンピュータ攻撃を阻止する、ルール適用時の少なくとも1つの処置を含む。このように、ルール適用の条件は、特に、侵害指標への依存性を構成し、それによって、MTに対するコンピュータ攻撃の検出を可能にする。例えば、ルール適用の条件は、判定された侵害指標すべてがログ304の中で発見されることであってもよい。
ルール適用時の処置も侵害指標に依存する。例えば、ある侵害指標が、CANバス上の定義されたメッセージと、このメッセージの受信側に関する情報を含む場合、ルール適用時の処置として、CANバス上の受信側に送信されているメッセージをすべて阻止してもよい。侵害指標に基づく、保護モジュールに対するルールの作成について、その他の可能な例を以下に示す。
1つの特定の態様においては、侵害指標はメッセージを傍受した時刻をさらに含み、加えて、メッセージを傍受する過程で、それらのメッセージに対応し、それらのメッセージを傍受した時刻を示すタイムスタンプもログに保存される。他の態様においては、侵害指標は、それらのメッセージのうちの少なくとも1つの受信側である少なくとも1つのECUに関する情報をさらに含み、加えて、受信されたログ304は、上記ECUのうち少なくとも1つをさらに含む。
1つの特定の態様においては、ルール適用の条件は、保護モジュールによって傍受されたMTのバス上のトラフィックが、(例えば、定義された侵害指標に含まれるメッセージのうちの)定義された一群のメッセージを含む、という条件を含む。
上述のように、2014年式ジープ・チェロキー車に対するコンピュータ攻撃の例を示した。以下の考察において、コンピュータ攻撃がどのように行われたかを、さらに詳細に検討する。サイバー攻撃は、車両の駐車支援システムの脆弱性の悪用を含むものであった。自動車が診断セッションに切り替えられた瞬間にブレーキを阻止させる機能がジープに内蔵されている。このためには、診断用CANメッセージが受信されている必要がある。原則として、自動車の速度が7 km/hから15 km/hを超えると、大半のECUはそのようなメッセージを無視するので、そのようなコンピュータ攻撃は自動車が低速走行中に可能である。ここで考察する例において、自動車が診断状態に切り替えられるとブレーキが機能を停止し、このとき自動車が低速走行中であっても、安全上重大な問題となる。この機能上の不備をハッカーが利用して、ECUのABSに関する診断セッションを開始する以下のコマンドであるメッセージをCANバス上で送信する恐れがある。
EID: 18DA28F1, Len: 08, Data: 02 10 03 00 00 00 00 00
次に、ハッカーは最大限にブレーキ圧をかける。このコマンドは、数件のメッセージをCANバス上で送信することによって実行される。
EID: 18DA28F1, Len: 08, Data: 10 11 2F 5A BF 03 64 64
EID: 18DA28F1, Len: 08, Data: 64 64 64 64 64 64 64 64
EID: 18DA28F1, Len: 08, Data: 64 64 64 00 00 00 00 00
このように、示されたCANメッセージを侵害指標として定義することが可能であり、上記脆弱性の場合、態様例においては、侵害指標に基づくルール適用の条件は、自動車の走行中において上記の一群のメッセージが存在することであると定義することが可能である。
EID: 18DA28F1, Len: 08, Data: 02 10 03 00 00 00 00 00
EID: 18DA28F1, Len: 08, Data: 10 11 2F 5A BF 03 64 64
EID: 18DA28F1, Len: 08, Data: 64 64 64 64 64 64 64 64
EID: 18DA28F1, Len: 08, Data: 64 64 64 00 00 00 00 00
このように、自動車の走行中にこれらのメッセージが受信されると、ルール適用時の処置が実行され、コンピュータ攻撃は阻止されることになり、上述のシナリオは実現しないことになる。
他の態様においては、ルール適用の条件は、上記の一群のメッセージのうちのメッセージの受信側または送信側は特定のECUであるという事実に関する情報をさらに含む。このように、ジープに関する考察の例において、ルール適用の条件は、メッセージの受信側であるECUのABSに関する情報も含むことになる。例えば、ルールの条件として、(a)以下の一群のメッセージが受信されたということ、
EID: 18DA28F1, Len: 08, Data: 02 10 03 00 00 00 00 00
EID: 18DA28F1, Len: 08, Data: 10 11 2F 5A BF 03 64 64
EID: 18DA28F1, Len: 08, Data: 64 64 64 64 64 64 64 64
EID: 18DA28F1, Len: 08, Data: 64 64 64 00 00 00 00 00
および、(b)一群のメッセージの受信側は
ECUのABS
であるということを指定してもよい。
さらに他の特定の態様においては、ルール適用の条件は、定義された一群のメッセージのうちのメッセージは特定の順番で並べられ、特定の時間間隔の間に保護モジュールによって傍受されたという情報も含むものとする。ジープの例という状況の中で、ルール適用の条件として、(a)一群のメッセージが以下の順番で受信されたということ、
1. EID: 18DA28F1, Len: 08, Data: 02 10 03 00 00 00 00 00
2. EID: 18DA28F1, Len: 08, Data: 10 11 2F 5A BF 03 64 64
3. EID: 18DA28F1, Len: 08, Data: 64 64 64 64 64 64 64 64
4. EID: 18DA28F1, Len: 08, Data: 64 64 64 00 00 00 00 00
および、(b)一群のメッセージの受信側は「ECUのABS」であり、そして、(c)メッセージの受信の時差は、
1.から2.までは1分以下
2.から3.までと3.から4.までは100ミリ秒以下
であるということを指定してもよい。
このように、示されたルールに対して、1番目と2番目のメッセージの間には1分以下の時間間隔を置き、2番目と3番目、および3番目と4番目のメッセージの間には100ミリ秒以下の時間間隔を置くべきであるという条件が追加された。実際には、1番目のメッセージは診断モードに切り替えるコマンドを含み、その後に、ブレーキングコマンドを含む3つのメッセージが届くので、メッセージは近接して続くことになる。
さらに他の特定の態様においては、ルール適用の条件は、ECUの状態に依存するものとする。他の態様においては、ルール適用の条件は、MTのセンサの指標にも依存するものとする。例えば、ルールは自動車の走行条件を含んでもよい。すなわち、自動車が走行中であり、上記のCANメッセージが到着した場合、ルール適用の条件は満たされるものとするが、自動車が走行中ではない場合、ルールは適用されないものとする。それは、後者のケースでは、そのようなメッセージの受信は、脆弱性の悪用やコンピュータ攻撃を示唆していないからである。
ルール適用時の処置には、1つの態様においては、特に、(a)少なくとも1つのECUに対してメッセージを送信すること、(b)定義された侵害指標に含まれるメッセージのうち少なくとも1つのメッセージの送信を阻止すること、または(c)定義された侵害指標に含まれるメッセージのうち少なくとも1つのメッセージに変更を加えること、が含まれる。
1つの態様においては、少なくとも1つのECUに対して送信されるメッセージは、MTの補助電子システムのECUのリストのうち少なくとも1つのECUを切断することを指示するコマンドを含んでもよい。ジープの例においては、ECUのABSを切断してもよく、例えば、その結果、上記のコンピュータ攻撃は発生しなくなる。他の態様においては、少なくとも1つのECUに対して送信されるメッセージは、MTの主電子システムのECUのリストのうち少なくとも1つのECUに対するセーフティモードをオンにする、すなわち、有効にすることを指示するコマンドを含んでもよい。セーフティモードにおいては、MTの機能が制限されるため、危険状況における動作のリスクを完全に取り除くか、許容レベルに下げることができる。例えば、MTの最高速度を制限することができる。制限速度内で走行中でも、運転者には、MTを駐車させるか、サービスステーションまで行くかの選択肢がある(MTは完全には遮断されていない)が、MTの制御に関わるリスクは大幅に軽減される。
1つの特定の態様においては、上記ルールに含まれるメッセージの送信の阻止は、ルールに従って1つのサブネットワークから他のサブネットワークへのゲートウェイを介して行われる。例えば、図3のネットワークアーキテクチャ例の場合、セントラルゲートウェイ101は、例えば、CAN−Bバス152とCAN−Cバス153の間の、1つのサブネットワークから他のサブネットワークへのメッセージの送信を阻止してもよい。ゲートウェイ101は、他のサブネットワークへの送信を行うように構成されているMTの電子システムの1つのサブネットワークから、メッセージを受信し、保護モジュール102を用いて、メッセージを送信できるか否かを確認する。メッセージの送信は、保護モジュールがこのメッセージの通過を許可する場合に限って、行われる。許可しない場合は、メッセージはその先へは送信されない。
他の態様においては、上記ルールに含まれるメッセージの送信の阻止は、ルールに従って同一バス上のECU間で行われる送信に対して行われてもよい。例えば、図3のネットワークの場合、ECU1 121とECU2 122の間のCAN−Bバス152上のメッセージ送信の能力を阻止してもよい。1つのECUが同じバス上に位置する他のECUを用いてCANバス上のメッセージの送信を阻止するために、様々な技術を使うことができる。そのような方法の1つとして考えられるものを以下に説明する。メッセージをCANバス上で送信するとき、ビット0が、1に対応するビットと同時に送信される場合、1に対応するビットをビット0によって抑制してもよい(フレームのフォーマットを図6に示す)。CANバス上のデータフレームは、メッセージのチェックサム(15ビット)を含むフィールドで終わるデータ構造を有している。したがって、セントラルゲートウェイ101は、保護モジュール102を用いて、フレーム内容をチェックすることができ、このメッセージのチェックサムを送信する過程で望ましくないメッセージが検出されたら、保護モジュール102は、ビット0から成る配列を送信することによって、チェックサムの値を変更することができる。CANバスの動作原理に従って、この場合、元のチェックサムの値に代わって、別の値である0がバス上で設定されることになる。そのようなメッセージを受信すると、ECUに対する受信側は、メッセージのチェックサムの不一致を検出することになり、そのようなメッセージは処理されないことになる。
1つの特定の態様においては、MTの補助電子システムのECUのリストは、特に、a)運転支援システム、b)マルチメディアシステム、およびc)テレマティクスを含む。他の態様においては、MTの主電子システムのECUのリストは、特に、a)ギアボックス、およびb)シャーシを含む。
さらに他の態様においては、受信されたログの解析は、機械学習の手法を使うか、または専門家によって行われる。
1つの態様においては、メッセージに含まれる悪意あるコマンドを除去するために、保護モジュール102は、定義された侵害指標に含まれるメッセージのうち少なくとも1つのメッセージに変更を加えてもよい。1つの実現形態においては、保護モジュール102は、保護モジュール102が存在するゲートウェイによって互いに接続されている1つのサブネットから他のサブネットに送信される、少なくとも1つのメッセージを修正することができる。例えば、図2Cに示すシステム例において、車両のトランスミッションの構成要素に関係する悪意あるコマンドを除去するために、バス153と154との間のゲートウェイ203に位置する保護モジュール102cは、バス154上のECUからバス153上の受信側のECUに送信されたメッセージを修正してもよい。他の態様においては、定義された侵害指標に含まれるメッセージのうち少なくとも1つのメッセージに加える変更を、(上述のような)メッセージの阻止、および上記ルールに従った侵害指標を含まない新しいメッセージの送信の、2つの処置に分割してもよい
1つの特定の態様においては、ルール適用時の処置に含まれるECUは、侵害指標に含まれるECUを含む。
機械学習の手法を用いると、ログエントリを異常がないことが分かっているデータと比較することによって、ログエントリの異常を発見することができる。さらに、交通手段の機能を記述したモデルを使用することもできる。そのようなモデルからの逸脱は、異常の形跡であり、さらなる調査が必要とされる。例えば、短期間のうちにMTの速度が大幅に変化したら、異常と考えることができる。異常のその他の例として、MTのマルチメディアシステムのサブネットワークから、MTのシャーシを制御するサブネットワークに対して、コマンドが送信されるかもしれない。
最初は、異常検知システムがいかなる問題も発見していないにもかかわらず、問題があるとみなす理由がある場合、必要な一連のスキルを有する専門家を参加させてもよい。例えば、明らかな背景が存在しない状況下で発生する一連の同種のRTAを検出したら、追加解析を実施してもよい。他の一例においては、重大な結果を伴うRTAを検出したら、他の手段によってRTAの原因を特定できなかった場合に、追加解析を実施してもよい。
メッセージの目的やプロトコルの仕様に関する情報、および、その他の必要情報を有する専門家は、イベントの状況を再構成して、RTAがシステムの異常な挙動によって引き起こされたのか、あるいは、システムはRTAの時点において正常に機能していたのかを説明するべきである。
コンピュータ攻撃を検出したら、1つの態様においては、侵害指標であるECU(例えば、ECUのABS)の供給業者に対して(または、MTの製造者に対して)、ソフトウェアの更新を申し入れてもよい。コンピュータ攻撃が行われる可能性を是正した更新版をECUの供給業者(または、MTの製造者)から受領し、対応するECUにその更新版をインストールした後は、上記ルールはもはや適さないため、そのルールを削除するスクリプトを追加してもよい(ステップ533)。
図4は、交通手段に対するコンピュータ攻撃を阻止するためのシステム400を示す図である。システム400は、コンピュータ攻撃を阻止するために、交通手段301の保護モジュール102によって実行される方法を実現するように構成される。したがって、システム400および各態様の要素数は、図3に示すものと同じである。システムは、MTの少なくとも1つのバスを収容し、そのバスには少なくとも1つのECUが接続されている。システムは保護モジュール102を収容し、保護モジュール102はMTのバスのうち少なくとも1つと接続されている。一例として、図2Aに示すMTのネットワークアーキテクチャが使用される。保護モジュール102は、サーバ303から、ネットワーク302を介して、ルールを入手するように構成されている。入手された、侵害指標に基づいて作成されたルールは、ルール適用の少なくとも1つの条件、およびルール適用時の少なくとも1つの処置を含んでもよい。侵害指標は、特に(i)コンピュータ攻撃において使用されるメッセージ、および(ii)そのメッセージのうち少なくとも1つの受信側であるMTの少なくとも1つのECUに関する情報である。
さらに、保護モジュール102は、ログ304を用いて、入手したルール適用の条件をチェックするため、および、そのルール適用の条件が満たされた場合に、ルール適用時の処置を実行することで、MTに対するコンピュータ攻撃を阻止するため、MTのバス上で送信されているメッセージを傍受するように構成されている。
図3のシステムの上記の特定の態様は、図4のシステムにも適用可能である。
図5Aおよび図5Bは、本開示の各態様、特に、図3および図4のシステムを実現する方法500を図示するフローチャートである。ルールを作成するための方法は以下を含む。ステップ501において、サーバ303は、少なくとも1台のMT301の保護モジュール102からログ304を受信する。ログ304は、メッセージ、および、MTに関わるインシデント(例えば、RTA)の発生時刻前後の特定期間中にMT301のバス上の保護モジュール102によって傍受された前記メッセージのうち少なくとも1つの受信側である少なくとも1つのECUに関する情報を収容している。次に、ステップ502において、入手したログ304を解析することによって、コンピュータ攻撃の検出が実行される。その後、コンピュータ攻撃を検出すると、ステップ503において、特に、以下の侵害指標を決定する。すなわち、コンピュータ攻撃で使用されているメッセージ、およびメッセージの受信側であるMTの少なくとも1つのECUに関するメッセージごとの情報である。この結果、ステップ504において、侵害指標に基づいて、保護モジュール102のためのルールが作成される。ルールは、MTに対するコンピュータ攻撃を検出するためのルール適用の少なくとも1つの条件、および、MTに対するコンピュータ攻撃を阻止する、ルール適用時の少なくとも1つの処置を含む。
1つの特定の態様においては、コンピュータ攻撃が検出され、侵害指標が決定されたら、コンピュータ攻撃に関与した人物を突き止めて法の裁きを受けさせる(511)一連の処置を行うため、さらに補償支払限度額を決定する保険会社の必要性に応えるため、検出されたコンピュータ攻撃について専門家(法執行当局および保険会社)に通知してもよい。加えて、コンピュータ攻撃に関する情報(侵害指標、ログ304、MTに関する情報、テレメトリデータなど)、および、ソフトウェアの更新の要請を、検出されたコンピュータ攻撃の実行に利用された(したがって、侵害指標に示された)MTの製造者および/またはECUの供給業者に送信してもよい(512)。このステップによって、MTの製造者およびECUの供給業者は、MTの電子システム(特に上述のECU)のソフトウェアの更新版を開発することができ(513)、それによって、コンピュータ攻撃が行われる可能性が取り除かれることになる。ソフトウェアの更新版は、開発後、配信され、検出されたコンピュータ攻撃が行われる可能性のあるすべてのMTにインストールされることになる(ステップ533)。さらに、MTすべてをリコールすることが可能であり、コンピュータ攻撃が行われる可能性を取り除くためのサービスを実施することもできる。
他の特定の態様においては、ログ304の解析には、コンピュータ攻撃が行われた確率をログ304に基づいて決定することが含まれる。ステップ514において、コンピュータ攻撃が行われた確率が所定の値(例えば、0.997、すなわち、3標準偏差以内)を超える場合、または、MTに関わるインシデントが重大な結果を伴った(例えば、深刻な結果を伴うRTAであった)場合、コンピュータ攻撃が検出されたと考えるか、またはログ304のさらに詳細な解析を開始する(ステップ515)。
コンピュータ攻撃が行われている確率を計算する際、サーバ303は、各々は異常ではないものの全体としてRTAをもたらす一連の要因によってRTAが引き起こされたが、MTの正常運転の過程でそれらの要因のすべてが同時に発生した確率は低いということを考慮に入れる。このようにして、インシデント発生時のECUの異常動作が判定され、コンピュータ攻撃が行われた確率は上記ECUのすべてが同時に異常動作する確率と等しいと判定される(各ECUが異常動作する確率は前もって分かっており、例えば、MTまたはECUの製造者から情報提供され得る)。異なる3つの独立したECUのうちどの2つが故障してもRTAには至らないが、3つの故障が組み合わされた結果、RTAが発生した例について考える。第1システムの故障確率は0.1、第2システムの故障確率は0.15、そして第3システムの故障確率は0.18と仮定する。この場合、これらの3システム全部の偶発故障の組み合わせ確率は0.0027であるため、故障の原因が偶然要因ではなかった確率は0.9973となり、しきい値を超えている。
他の態様においては、サーバ303は、コンピュータ攻撃が行われた確率の計算のために、短期間のうちに同種のRTAが多数登録されることを考慮に入れる。特定期間中の所定のモデルのMTによる、所定のタイプのRTAの確率を、統計的手法によって評価してもよい。同タイプのRTAが短期間に多数発生したことが判明した場合、そのような一連のRTAが偶然要因によって引き起こされた確率は非常に低いため、標的型行動の確率がしきい値を超えているという結果になる可能性がある。
コンピュータ攻撃によるRTAの確率を計算するために利用することができる確率モデルは他にも多く存在する。1つの特定の態様においては、ベイジアン信念ネットワーク、マルコフ連鎖、およびその他の確率モデルを用いて、コンピュータ攻撃の結果としてRTAが発生する確率を計算してもよい。
1つの特定の態様においては、コンピュータ攻撃が行われた確率の計算、および、それに続くさらなるログ304の解析に、セキュリティの専門家による手動解析を含んでもよい。さらに他の特定の態様においては、類似したインシデントすべてを集約して、機械学習の手法を用いた解析を実行してもよい。インシデントは、使用されたMT、ECU、およびゲートウェイの同一製造者およびモデルごと、インシデント(RTA)の類似状況ごと、異なるMTに対して部分的に一致または重複するログ304ごと、およびその他の特徴ごとに集約してもよい。さらなる解析を実施した結果、コンピュータ攻撃が確認されるか、もしくは実行されたコンピュータ攻撃の痕跡が発見された場合(ステップ516)、続く次のステップ503において、コンピュータ攻撃の侵害指標が判定され、その後、ステップ504において、保護モジュール102のためのルールが作成される。言うまでもなく、ステップ514において、計算されたコンピュータ攻撃の確率が所定値よりも低く、インシデントが重大な結果を招かなかった(重大ではない結果を伴うRTAであった)場合、方法は終了する(ステップ518)。同様に、ステップ515におけるさらなる解析の結果、コンピュータ攻撃の痕跡が発見されなかった場合、方法は終了する(ステップ517)。
1つの特定の態様においては、ステップ501から504でサーバ303によって作成されたルールは、その後、MTに対するコンピュータ攻撃を阻止する方法で用いられる。ステップ521において、保護モジュール102は少なくとも1つのルールを受信する。次に、ステップ522において、保護モジュール102は、MTのバス上で送信中のメッセージを傍受し、そして、メッセージを傍受する過程で、ステップ523において、保護モジュール102は傍受したメッセージをログ304に保存し、メッセージの受信側であるMTの少なくとも1つのECUに関する受信側情報も、傍受されたメッセージごとに保存する。いくつかの態様においては、保護モジュール102は、傍受されたCANメッセージから、受信側ECUを判定できる識別子を抽出する。
1つの態様においては、保護モジュール102は、車両の複数の電子制御ユニット(ECU)間の第1通信バス上に伝送される複数のメッセージを傍受してもよい。いくつかの態様においては、第1通信バスはコントローラエリアネットワーク(CAN)バスを含み、それによって、CANバス上を送信されるメッセージがCANバスと通信可能に接続されたすべてのECUにブロードキャストされるようにする。保護モジュール102は、どのECUが第1通信バスと通信可能に接続されているかに基づいて、傍受されたメッセージの受信側である少なくとも1つの受信側ECUを判定してもよい。いくつかの態様においては、保護モジュール102は、CANバス上のメッセージに含まれているIDに基づいて、傍受されたメッセージの受信側である少なくとも1つの受信側ECUを判定してもよい。保護モジュール102は、傍受されたメッセージ、および判定された少なくとも1つの受信側ECUを示す情報を、ログ304に保存してもよい。いくつかの態様においては、保護モジュール102は、傍受されたメッセージの傍受時刻に対応するタイムスタンプを、ログに保存してもよい。
メッセージを傍受する過程で、ステップ524において、保護モジュール102は、ログ304を用いて、受信したルールの適用条件をチェックする。1つの態様においては、保護モジュール102は、ログに保存されているメッセージと情報がルールの少なくとも1つの条件を満たしていることを基に、車両へのコンピュータ攻撃を検出してもよい。いくつかの態様においては、さらにログ内のタイムスタンプに基づいて、コンピュータ攻撃を検出する。1つの例においては、ルールの少なくとも1つの条件は、車両の走行期間中のログの中に、定義された一群のメッセージが存在するということを規定する。いくつかの態様においては、ルールの少なくとも1つの条件は、メッセージの受信側である少なくとも1つの受信側ECUを示す情報が、定義された一群のECUと一致するということをさらに規定する。いくつかの態様においては、ルールの少なくとも1つの条件は車両の走行状態をさらに規定し、それによって、車両が走行中であると判定されるとルールが適用され、車両が走行中ではないと判定されるとルールが不適用とされるようにするものである。例えば、車両の走行中に上記の定義された一群のCANメッセージが到着した場合、ルール適用の条件は満たされるが、車両が走行中でない場合は、ルールは適用されない。それは、後者のケースでは、そのようなメッセージの受信と脆弱性の悪用やコンピュータ攻撃との関連はないとの結論を下すことができるからである。他の一例においては、ルールの少なくとも1つの条件は、定義された順番で並べられた定義された一群のメッセージがログの中に存在し、かつ定義された期間中に当該メッセージが傍受されたということをさらに規定する。
少なくとも1つのルール適用の条件が満たされている場合、ステップ525において、ルール適用時の処置を実行することによって、MTに対するコンピュータ攻撃が阻止される。ルール適用の条件が満たされていない場合、ログ304のエントリはコンピュータ攻撃の形跡を含んでいない(531)。
1つの態様においては、保護モジュール102は、ルールに応じた処置を実行することによって、車両に対するコンピュータ攻撃を阻止してもよい。例えば、ルールは、傍受されたメッセージの一部が第1の受信側への定義された一群のメッセージと一致すると判定された場合、すべてのメッセージが第1通信バス上を第1の受信側へ送信されないよう阻止するという処置を実行することを規定してもよい。
1つの態様においては、車両の補助電子システムのECUのリスト上の少なくとも1つのECUを切断するという決定に基づいて、少なくとも1つのECUを切断するコマンドを含むメッセージを少なくとも1つのECUに送信することによって、コンピュータ攻撃を阻止してもよい。例えば、上記のジープの例を使えば、ECUのABSを切断してもよく、例えば、その結果、上記のコンピュータ攻撃は発生しなくなる。他の態様においては、車両の主電子システムのECUのリスト上の少なくとも1つのECUに対するセーフティモードを有効にするコマンドを含むメッセージを少なくとも1つのECUに送信することによって、コンピュータ攻撃を阻止してもよい。
他の態様においては、少なくとも1つのメッセージのゲートウェイを介した車両の第1通信バスから第2通信バスへの送信を阻止することによって、コンピュータ攻撃を阻止してもよい。例えば、図3のネットワークアーキテクチャ例の場合、セントラルゲートウェイ101は、例えば、CAN−Bバス152とCAN−Cバス153の間の、1つのサブネットワークから他のサブネットワークへのメッセージの送信を阻止してもよい。いくつかの態様においては、同一第1通信バス上で通信可能に接続されたECU間で、少なくとも1つのメッセージ伝送を阻止することによって、コンピュータ攻撃を阻止してもよい。1つの実現形態においては、少なくとも1つのメッセージ伝送の阻止は、保護モジュール102がビット0の配列をバス上に伝送することで、少なくとも1つのメッセージと異なる値がバス上で生じ、メッセージのチェックサムの不一致をもとに受信側ECUにその少なくとも1つのメッセージを無視させることで、達成することができる。
言うまでもなく、ステップ521で受信したルールは、ステップ501から504の実施結果としてだけではなく、その他の場合でも作成可能である。例えば、サーバ303上、または、直接、MT301上でMTのセキュリティ監査を実施して、1つ以上のECUにおいて脆弱性を発見してもよい。ここでいう脆弱性は、ハッカーに悪用されたものでなくてもよい。さらに他の例においては、外部の調査員が、1つ以上のECUにおける脆弱性を発見して、それを製造者に報告することもある。その結果、該当するECUの更新版をリリースする前に、発見された脆弱性が悪用される恐れを防止するために、保護モジュール102のためのルールが作成される。ルールは、サーバ303が保護モジュール102に送信してもよく、あるいは、MTのネットワークインターフェースを用いて、診断インターフェース155などを介して、サービスセンターなどで、ダウンロードしてもよい。
1つの特定の態様においては、コンピュータ攻撃の阻止525の後、ステップ532において、MTの運転者にも通知してもよい。さらに他の特定の態様においては、MTの運転者は、コンピュータ攻撃において使用されたECUモジュールの切断を許可するなどの、一連の処置を実行する必要があるかもしれない。
コンピュータ攻撃の実行の可能性を是正する更新版をECUの供給業者から受領して、該当するECUに更新版をインストールした後、スクリプトをサーバ303から入手して、適さなくなったルールを削除するよう実行してもよい(ステップ533)。1つの態様においては、ECUの脆弱性にパッチを当てるように構成されたソフトウェア更新版を車両の1つ以上のECUに適用した場合、保護モジュール102は、車両に対するコンピュータ攻撃を検出するための1つ以上のルールを削除してもよい。
図6は、CANプロトコルのフレームのフォーマットを示す図である。図示したように、フレーム、すなわちメッセージは、バス内のメッセージの優先度を表す一意的な識別子である(例えば、11ビットの)識別子フィールドを含んでもよい。メッセージは、データフレームではドミナントな値(すなわち、値0)を、あるいは、リモート要求フレームではリセッシブな値(例えば、値1)を示す(例えば、1ビットの)遠隔送信要求(Remote Transmission Request:RTR)フィールドをさらに含んでもよい。メッセージは、メッセージフレームに含まれるデータのバイト数を示すデータ長コード(Data Length Code:DLC)フィールドをさらに含んでもよい。メッセージは、送信対象のデータを収容するデータフィールドを含んでいる。メッセージ中の追加フィールドには、CRCフィールド、ACKスロット、およびフレーム終了(End of Frame)指示を含んでもよい。
図7は、車両の電子システムに対する攻撃を検出するためのシステムおよび方法の各態様を態様例に従って実現可能なコンピュータシステム20の例を示す図である。1つの特定の態様においては、コンピュータシステムを用いて、サーバ303、およびMTの電子システムを実現してもよい。また、他の特定の態様においては、専用集積回路を用いて、MTの電子システムを実現してもよい。さらに他の特定の態様においては、専用コンピュータを用いて、MTの電子システムを実現してもよい。
図示のように、コンピュータシステム20(パーソナルコンピュータでもサーバでもよい)は、中央処理装置21、システムメモリ22、および、中央処理装置21に付随するメモリなどの各種システム構成要素を接続するシステムバス23を含んでいる。当業者には理解されるように、システムバス23は、バスメモリまたはバスメモリコントローラ、周辺バス、および、他のいかなるバスアーキテクチャとも相互作用可能なローカルバスを備えていてもよい。システムメモリは固定記憶装置(ROM)24とランダムアクセスメモリ(Random-access Memory:RAM)25を含んでいてもよい。基本入出力システム(Basic Input/Output System:BIOS)26は、ROM24を用いてオペレーティングシステムをロードするときの手順などの、コンピュータシステム20の要素間の情報転送の基本的手順を記憶していてもよい。
また、コンピュータシステム20は、データを読み書きするためのハードディスク27、リムーバブル磁気ディスク29を読み書きするための磁気ディスクドライブ28、および、CD−ROM、DVD−ROM、その他の光媒体などのリムーバブル光ディスク31を読み書きするための光学ドライブ30を備えていてもよい。ハードディスク27、磁気ディスクドライブ28、および光学ドライブ30は、それぞれ、ハードディスクインターフェース32、磁気ディスクインターフェース33、および光学ドライブインターフェース34を介して、システムバス23と接続されている。これらのドライブおよび対応するコンピュータ情報媒体は、コンピュータシステム20のコンピュータ命令、データ構造体、プログラムモジュール、およびその他のデータを記憶する、独立の電源で動作するモジュールである。
態様の一例は、コントローラ55を介してシステムバス23と接続されたハードディスク27、リムーバブル磁気ディスク29、およびリムーバブル光ディスク31を使用するシステムを備えている。コンピュータで読み取り可能な形式でデータの保存が可能ないずれの種類の媒体56(半導体ドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)など)も利用できることは、当業者には理解されるであろう。
コンピュータシステム20は、オペレーティングシステム35が記憶されるファイルシステム36の他に、追加的なプログラムアプリケーション37、その他のプログラムモジュール38、およびプログラムデータ39を有する。コンピュータシステム20のユーザは、キーボード40、マウス42、あるいは、その他、例えば、マイクロフォン、ジョイスティック、ゲームコントローラ、スキャナなどを含むがそれらに限られない当業者に公知の入力装置を使用して、コマンドおよび情報を入力することができる。そのような入力装置は、一般に、コンピュータシステム20に、システムバスと接続されたシリアルポート46を通して差し込まれるが、当業者は、入力装置を、例えば、限定はされないが、パラレルポート、ゲームポート、あるいはユニバーサルシリアルバス(Universal Serial Bus:USB)などの他の方法で接続してもよいことを理解するであろう。モニタ47または他の種類の表示装置も、ビデオアダプタ48などのインターフェースを介してシステムバス23と接続してもよい。パーソナルコンピュータは、モニタ47に加えて、ラウドスピーカ、プリンタなどの他の周辺出力装置(図示せず)を備えてもよい。
コンピュータシステム20を、1台以上のリモートコンピュータ49とのネットワーク接続を用いて、ネットワーク環境下で動作させてもよい。リモートコンピュータ49は、上記コンピュータシステム20の特徴説明の中で述べた要素のほとんどまたは全部を備えたローカルコンピュータワークステーションまたはサーバであってもよい。例えば、ルータ、ネットワークステーション、ピアデバイス、その他のネットワークノードなどを含むがそれらに限られないその他の装置がコンピュータネットワークの中に存在してもよい。
ネットワーク接続によって、ローカルエリアコンピュータネットワーク(Local-Area Computer Network:LAN)50や広域コンピュータネットワーク(Wide-Area Computer Network:WAN)を形成することができる。そのようなネットワークは企業コンピュータネットワークや社内ネットワークで利用され、一般に、インターネットにアクセスできる。LANまたはWANネットワークにおいては、パーソナルコンピュータ20は、ネットワークアダプタまたはネットワークインターフェース51を介してローカルエリアネットワーク50と接続されている。ネットワークを利用する場合、コンピュータシステム20は、インターネットのような広域コンピュータネットワークとの通信を可能にするモデム54またはその他の当業者に公知のモジュールを採用してもよい。モデム54は、内部装置であっても外部装置であってもよいが、シリアルポート46によってシステムバス23と接続してもよい。上記ネットワーク接続は、1台のコンピュータが通信モジュールを使って他のコンピュータとの接続を確立する数多くの広く理解されている方法の非限定例であるということは、当業者には理解されるであろう。
様々な態様において、本明細書で説明したシステムおよび方法は、ハードウェア、ソフトウェア、ファームウェア、あるいはそれらの任意の組み合わせの中に実現されてもよい。ソフトウェア中に実現された場合、この方法は、非一時的なコンピュータ読み取り可能な媒体上に、1つ以上の命令またはコードとして記憶されてもよい。コンピュータ読み取り可能な媒体には、データストレージが含まれる。一例として、限定はされないが、そのようなコンピュータ読み取り可能な媒体は、RAM、ROM、EEPROM、CD−ROM、フラッシュメモリ、あるいは他の種類の電気的、磁気的、または光学的記憶媒体、もしくは、所望のプログラムコードを命令やデータ構造体の形で伝送または記憶するために利用可能で汎用コンピュータのプロセッサからアクセス可能な、その他の任意の媒体を含むことができる。
様々な態様において、本開示で説明したシステムおよび方法は、モジュールによって処理することができる。本明細書で使われている用語「モジュール」とは、例えば、特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)やフィールドプログラマブルゲートアレイ(Field-Programmable Gate Array:FPGA)などのハードウェア、あるいは、例えば、モジュールの機能を実行するマイクロプロセッサシステムおよび命令一式などのハードウェアとソフトウェアの組合せによって実行される、実装置、構成要素、または構成要素の配置のことであり、これらは(実行中に)マイクロプロセッサシステムを専用装置に変換する。モジュールは、特定の機能をハードウェアのみで実現し、その他の機能をハードウェアとソフトウェアの組み合わせによって実現する、上記2つの組み合わせとしても実現することができる。特定の実現形態においては、少なくとも一部、場合によっては全部のモジュールが、コンピュータのプロセッサ上(例えば、上記図7により詳細に示されているもの)で実行されてもよい。したがって、各モジュールは各種の適切な構成の中に実現可能であり、本明細書に例示したいかなる特定の実現形態にも限定されるべきではない。
明確化のために、本明細書は各態様の定型的な特徴のすべては示していない。本開示の実際の実現形態のいかなる開発においても、開発者の具体的目的を達成するために、実現形態に特有の多くの決定をする必要があり、具体的目的は、実現形態ごとおよび開発者ごとに異なるということが理解されるであろう。そのような開発努力は複雑で多くの時間を要するものであるが、それにもかかわらず、本開示から利益を得る当業者にとって、定型的な技術的取り組みであることが理解される。
本明細書で用いている表現や用語は説明上のものであって、限定のためではなく、本明細書の用語や表現は、当業者が、関連技術の熟練者の知識と組み合わせて、本明細書が提供する教示や手引きの観点から解釈すべきものと理解すべきである。加えて、明示的記載がない限り、本明細書や請求の範囲におけるいかなる用語も、一般的でない、あるいは特別な意味を持つものとみなされることは意図されていない。
本明細書に開示された様々な態様は、本明細書で例示により言及された公知のモジュールと均等な現在および将来の公知の均等物を包含する。加えて、態様および応用例を図示し、かつ、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの変更が可能であることは、この開示の利益を有する当業者には明らかであろう。

Claims (20)

  1. 車両の電子システムに対する攻撃を検出して阻止するためのルールを生成する、コンピュータ上で実現される方法であって、
    前記車両の複数の電子制御ユニット(Electronic Control Units:ECU)の間の少なくとも1つの通信バス上で車両インシデントの期間中に傍受された複数のメッセージを含むログデータを受信し、
    前記受信されたログデータの解析に基づいて、コンピュータ攻撃を検出し、
    前記コンピュータ攻撃を検出したら、前記コンピュータ攻撃において用いられた前記メッセージのサブセットと、前記メッセージの受信側である前記車両の少なくとも1つのECUに関するメッセージごとの情報とを含む侵害指標を判定し、
    前記侵害指標に基づき、前記車両のプロセッサ上で実行中の保護モジュールのためのルールを生成し、
    前記ルールは前記車両に対する以後のコンピュータ攻撃を検出するためのルールを適用する少なくとも1つの条件と、前記車両に対する前記以後のコンピュータ攻撃を阻止するための前記ルールの適用時の少なくとも1つの処置とを含む、
    方法。
  2. 前記ログデータは、前記傍受されたメッセージのうち少なくとも1つの前記受信側である少なくとも1つのECUに関する情報をさらに含む
    請求項1に記載の方法。
  3. 前記ログデータは、前記車両の前記プロセッサ上で実行中の前記保護モジュールから受信される、
    請求項1に記載の方法。
  4. 前記車両インシデントは、前記車両に関わる道路交通事故の発生を含む、
    請求項1に記載の方法。
  5. 前記通信バスは、コントローラエリアネットワーク(Controller Area Network:CAN)バス、ローカル相互接続ネットワーク(Local Interconnect Network:LIN)、メディア指向システムトランスポート(Media Oriented Systems Transport:MOST)バス、フレックスレイ(FlexRay)バス、およびイーサネット(Ethernet)バスのうち少なくとも1つを含み、前記通信バス上を送信されるメッセージは、前記通信バスと通信可能に接続された前記ECUのすべてにブロードキャストされる、
    請求項1に記載の方法。
  6. 前記ルールの前記少なくとも1つの条件は、前記車両の走行期間中に、定義された一群のメッセージが存在することを規定する、
    請求項1に記載の方法。
  7. 前記ルールの前記少なくとも1つの条件は、前記メッセージの受信側である前記少なくとも1つの受信側ECUを示す前記情報が、定義された一群のECUと一致することをさらに規定する、
    請求項6に記載の方法。
  8. 前記ルールの前記少なくとも1つの条件は、前記車両が走行中であると判定されると前記ルールが適用され、前記車両が走行中ではないと判定されると前記ルールが不適用とされるように、前記車両の走行状態をさらに規定する、
    請求項6に記載の方法。
  9. 前記ルールは、前記傍受されたメッセージの一部が第1の受信側ECUへの定義された一群のメッセージと一致すると判定された場合、前記ルールの適用時の前記少なくとも1つの処置は、すべてのメッセージが前記通信バス上を前記第1の受信側ECUへ送信されないよう阻止することを含むと規定する、
    請求項1に記載の方法。
  10. 前記ルールの前記少なくとも1つの条件は、定義された順番で並べられた定義された一群のメッセージが存在し、かつ定義された期間中に傍受されたことをさらに規定する、
    請求項1に記載の方法。
  11. 前記ルールの適用時の前記少なくとも1つの処置は、前記車両の補助電子システムのECUのリスト上にある少なくとも1つのECUを切断するコマンドを含むメッセージを、前記少なくとも1つのECUに送信することを含む、
    請求項1に記載の方法。
  12. 前記ルールの適用時の前記少なくとも1つの処置は、前記車両の主電子システムのECUのリスト上にある少なくとも1つのECUに対するセーフティモードを有効にするコマンドを含むメッセージを、前記少なくとも1つのECUに送信することを含む、
    請求項1に記載の方法。
  13. 前記ルールの適用時の前記少なくとも1つの処置は、ゲートウェイを介した前記車両の前記通信バスから他の通信バスへの少なくとも1つのメッセージの送信を阻止することを含む、
    請求項1に記載の方法。
  14. 前記ルールの適用時の前記少なくとも1つの処置は、同一通信バス上で通信可能に接続されたECU間の少なくとも1つのメッセージの送信を阻止することを含む、
    請求項1に記載の方法。
  15. ビット0の配列を前記バス上で送信することによって、前記少なくとも1つのメッセージと異なる値が前記バス上で生じ、前記メッセージのチェックサムの不一致をもとに受信側ECUに前記少なくとも1つのメッセージを無視させることで、ECU間の少なくとも1つのメッセージの前記送信を阻止する、
    請求項14に記載の方法。
  16. 車両の電子システムに対する攻撃を検出して阻止するためのルールを生成するコンピュータシステムであって、
    前記車両の複数の電子制御ユニット(Electronic Control Units:ECU)の間の少なくとも1つの通信バス上で車両インシデントの期間中に傍受された複数のメッセージを含むログデータを受信し、
    前記受信されたログデータの解析に基づいて、コンピュータ攻撃を検出し、
    前記コンピュータ攻撃を検出したら、前記コンピュータ攻撃において用いられた前記メッセージのサブセットと、前記メッセージの受信側である前記車両の少なくとも1つのECUに関するメッセージごとの情報とを含む侵害指標を判定し、
    前記侵害指標に基づき、前記車両のプロセッサ上で実行中の保護モジュールのためのルールを生成する、ハードウェアプロセッサを備え、
    前記ルールは前記車両に対する以後のコンピュータ攻撃を検出するためのルールを適用する少なくとも1つの条件と、前記車両に対する前記以後のコンピュータ攻撃を阻止するための前記ルールの適用時の少なくとも1つの処置とを含む、
    コンピュータシステム。
  17. 前記ログデータは、前記傍受されたメッセージのうち少なくとも1つの前記受信側である少なくとも1つのECUに関する情報をさらに含み、かつ、前記車両インシデントは、前記車両に関わる道路交通事故の発生を含む、
    請求項16に記載のコンピュータシステム。
  18. 前記通信バスは、コントローラエリアネットワーク(Controller Area Network:CAN)バス、ローカル相互接続ネットワーク(Local Interconnect Network:LIN)、メディア指向システムトランスポート(Media Oriented Systems Transport:MOST)バス、フレックスレイ(FlexRay)バス、およびイーサネット(Ethernet)バスのうち少なくとも1つ含み、前記通信バス上を送信されるメッセージは、前記通信バスと通信可能に接続された前記ECUのすべてにブロードキャストされる、
    請求項16に記載のコンピュータシステム。
  19. 前記ルールの前記少なくとも1つの条件は、前記車両の走行期間中に、定義された一群のメッセージが存在することを規定し、
    前記ルールの前記少なくとも1つの条件は、前記メッセージの受信側である前記少なくとも1つの受信側ECUを示す前記情報が、定義された一群のECUと一致することをさらに規定し、かつ、
    前記ルールの前記少なくとも1つの条件は、前記車両が走行中であると判定されると前記ルールが適用され、前記車両が走行中ではないと判定されると前記ルールが不適用とされるように、前記車両の走行状態をさらに規定する、
    請求項16に記載のコンピュータシステム。
  20. 車両の電子システムに対する攻撃を検出して阻止するためのルールを生成するコンピュータ実行可能命令を含む非一過性のコンピュータ読み取り可能な媒体であって、
    前記車両の複数の電子制御ユニット(Electronic Control Units:ECU)の間の少なくとも1つの通信バス上で車両インシデントの期間中に傍受された複数のメッセージを含むログデータを受信し、
    前記受信されたログデータの解析に基づいて、コンピュータ攻撃を検出し、
    前記コンピュータ攻撃を検出したら、前記コンピュータ攻撃において用いられた前記メッセージのサブセットと、前記メッセージの受信側である前記車両の少なくとも1つのECUに関するメッセージごとの情報とを含む侵害指標を判定し、
    前記侵害指標に基づき、前記車両のプロセッサ上で実行中の保護モジュールのためのルールを生成する、命令を含み、
    前記ルールは前記車両に対する以後のコンピュータ攻撃を検出するためのルールを適用する少なくとも1つの条件と、前記車両に対する前記以後のコンピュータ攻撃を阻止するための前記ルールの適用時の少なくとも1つの処置とを含む、
    媒体。
JP2018171234A 2018-03-30 2018-09-13 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 Active JP6807906B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2018111478 2018-03-30
RU2018111478A RU2725033C2 (ru) 2018-03-30 2018-03-30 Система и способ создания правил
US16/058,469 2018-08-08
US16/058,469 US11277417B2 (en) 2018-03-30 2018-08-08 System and method of generating rules for blocking a computer attack on a vehicle

Publications (2)

Publication Number Publication Date
JP2019194830A true JP2019194830A (ja) 2019-11-07
JP6807906B2 JP6807906B2 (ja) 2021-01-06

Family

ID=68057406

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018171234A Active JP6807906B2 (ja) 2018-03-30 2018-09-13 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法

Country Status (4)

Country Link
US (1) US11277417B2 (ja)
JP (1) JP6807906B2 (ja)
CN (1) CN110324301B (ja)
RU (1) RU2725033C2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10965703B2 (en) 2018-06-06 2021-03-30 Reliaquest Holdings, Llc Threat mitigation system and method
US11709946B2 (en) 2018-06-06 2023-07-25 Reliaquest Holdings, Llc Threat mitigation system and method
US20210325868A1 (en) * 2018-08-23 2021-10-21 Precision Planting Llc Expandable network architecture for communications between machines and implements
DE102018221952A1 (de) * 2018-12-17 2020-06-18 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben eines Kommunikationsnetzwerks
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
US11570186B2 (en) * 2019-12-12 2023-01-31 Intel Corporation Security reporting via message tagging
JP7333748B2 (ja) * 2019-12-13 2023-08-25 株式会社日立製作所 電子機器および電子機器の攻撃検知方法
CN110958271A (zh) * 2019-12-24 2020-04-03 国家计算机网络与信息安全管理中心 一种车载外部网络入侵检测系统
DE102020113977A1 (de) * 2020-05-25 2021-11-25 Bayerische Motoren Werke Aktiengesellschaft System zur datenübertragung in einem kraftfahrzeug, ver-fahren und kraftfahrzeug
CN112104608A (zh) * 2020-08-17 2020-12-18 华人运通(上海)云计算科技有限公司 一种车辆信息安全防护方法、系统及存储介质
US11539621B2 (en) * 2021-02-03 2022-12-27 Motional Ad Llc Controller area network messages in an autonomous vehicle
US20220414274A1 (en) * 2021-06-28 2022-12-29 Bae Systems Information And Electronic Systems Integration Inc. Active control of communications bus for cyber-attack mitigation
CN114298135B (zh) * 2021-11-11 2022-07-22 北京邮电大学 基于差分法的can数据逆向解析方法、装置及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
WO2017024078A1 (en) * 2015-08-03 2017-02-09 Icon Labs A method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP2017152762A (ja) * 2016-02-22 2017-08-31 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ
WO2017178888A1 (en) * 2016-04-12 2017-10-19 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7401352B2 (en) * 2002-08-30 2008-07-15 International Business Machines Corporation Secure system and method for enforcement of privacy policy and protection of confidentiality
RU2209739C1 (ru) * 2002-11-28 2003-08-10 Общество с ограниченной ответственностью "Альтоника" Система защиты транспортного средства от несанкционированного использования
WO2010144815A2 (en) * 2009-06-11 2010-12-16 Panasonic Avionics Corporation System and method for providing security aboard a moving platform
RU2422305C1 (ru) * 2009-10-26 2011-06-27 Государственное образовательное учреждение Высшего профессионального образования Поволжский государственный университет сервиса Устройство защиты информации системы мониторинга, диагностики оборудования автомобиля
EP3358800B1 (en) * 2014-01-06 2021-10-20 Argus Cyber Security Ltd Bus watchman
US10129288B1 (en) * 2014-02-11 2018-11-13 DataVisor Inc. Using IP address data to detect malicious activities
EP3142291B1 (en) * 2014-05-08 2019-02-13 Panasonic Intellectual Property Corporation of America On-vehicle network system, fraud-detection electronic control unit, and method for tackling fraud
US9357397B2 (en) * 2014-07-23 2016-05-31 Qualcomm Incorporated Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device
KR101589217B1 (ko) * 2014-10-17 2016-02-12 현대자동차주식회사 차량 보안 서비스 제공 방법 및 시스템
JP6545966B2 (ja) * 2015-01-27 2019-07-17 ルネサスエレクトロニクス株式会社 中継装置、端末装置および通信方法
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
JP6585001B2 (ja) * 2015-08-31 2019-10-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知電子制御ユニット及び不正検知システム
US10757114B2 (en) 2015-09-17 2020-08-25 Harman International Industries, Incorporated Systems and methods for detection of malicious activity in vehicle data communication networks
EP3375150B1 (en) * 2015-11-12 2019-09-11 Mercury Systems Inc. Broadcast bus frame filter
JP6849528B2 (ja) * 2016-07-28 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
US10565864B2 (en) * 2016-12-06 2020-02-18 Flir Commercial Systems, Inc. Localized traffic data collection
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
WO2018220828A1 (ja) * 2017-06-02 2018-12-06 本田技研工業株式会社 車両制御システム、車両制御方法、およびプログラム
CN107634959B (zh) * 2017-09-30 2020-07-10 北京奇虎科技有限公司 基于汽车的防护方法、装置及系统
JP6950432B2 (ja) * 2017-10-05 2021-10-13 トヨタ自動車株式会社 運転支援装置、情報処理装置、運転支援システム、運転支援方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
WO2017024078A1 (en) * 2015-08-03 2017-02-09 Icon Labs A method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP2017152762A (ja) * 2016-02-22 2017-08-31 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ
WO2017178888A1 (en) * 2016-04-12 2017-10-19 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof

Also Published As

Publication number Publication date
RU2018111478A (ru) 2019-09-30
CN110324301A (zh) 2019-10-11
RU2725033C2 (ru) 2020-06-29
US11277417B2 (en) 2022-03-15
RU2018111478A3 (ja) 2019-11-19
CN110324301B (zh) 2022-05-31
US20190306180A1 (en) 2019-10-03
JP6807906B2 (ja) 2021-01-06

Similar Documents

Publication Publication Date Title
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
JP6762347B2 (ja) 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法
US11748474B2 (en) Security system and methods for identification of in-vehicle attack originator
US10440120B2 (en) System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network
EP3113529B1 (en) System and method for time based anomaly detection in an in-vehicle communication network
EP2892199B1 (en) Global automotive safety system
Carsten et al. In-vehicle networks: Attacks, vulnerabilities, and proposed solutions
EP3547191B1 (en) System and method of generating rules for blocking a computer attack on a vehicle
US8788731B2 (en) Vehicle message filter
US20170013005A1 (en) System and method for consistency based anomaly detection in an in-vehicle communication network
US20190182267A1 (en) Vehicle security manager
KR20190125047A (ko) 차량용 네트워크의 침입 대응 장치 및 방법
Hartzell et al. Security analysis of an automobile controller area network bus
Kwon et al. Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet
EP3547192B1 (en) System and method of blocking a computer attack on a means of transportation
KR20180072340A (ko) 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법
Katsikeas vehicleLang: a probabilistic modeling and simulation language for vehicular cyber attacks
Sharma et al. An Extended Survey on Vehicle Security
Bertschy Vehicle computer and network security: Vulnerabilities and recommendations
Hridoy Lightweight Authenticated Encryption for Vehicle Controller Area Network
Hadi Sultani et al. Indicators of Compromise of Vehicular Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201208

R150 Certificate of patent or registration of utility model

Ref document number: 6807906

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250