JP2023046923A - 車両セキュリティ分析装置、方法およびそのプログラム - Google Patents

車両セキュリティ分析装置、方法およびそのプログラム Download PDF

Info

Publication number
JP2023046923A
JP2023046923A JP2021155773A JP2021155773A JP2023046923A JP 2023046923 A JP2023046923 A JP 2023046923A JP 2021155773 A JP2021155773 A JP 2021155773A JP 2021155773 A JP2021155773 A JP 2021155773A JP 2023046923 A JP2023046923 A JP 2023046923A
Authority
JP
Japan
Prior art keywords
attack
analysis
log data
individual
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021155773A
Other languages
English (en)
Other versions
JP7230146B1 (ja
Inventor
哲 上野
Satoshi Ueno
厚司 若杉
Atsushi Wakasugi
健介 中田
Kensuke Nakada
靖伸 千葉
Yasunobu Chiba
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
NTT Security Japan KK
Original Assignee
NTT Communications Corp
NTT Security Japan KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp, NTT Security Japan KK filed Critical NTT Communications Corp
Priority to JP2021155773A priority Critical patent/JP7230146B1/ja
Priority to PCT/JP2022/035182 priority patent/WO2023048185A1/ja
Priority to CN202280057250.1A priority patent/CN117859128A/zh
Application granted granted Critical
Publication of JP7230146B1 publication Critical patent/JP7230146B1/ja
Publication of JP2023046923A publication Critical patent/JP2023046923A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】多様化するサイバー攻撃を単発の攻撃に止まらず、所定期間内に発生した複数の個別攻撃パターンの関連性から攻撃シナリオを特定可能にする。【解決手段】車両セキュリティ分析装置が、車載装置から発生された複数のセンサログデータをもとに、先ず同一の個別攻撃を構成する可能性がある複数のセンサログデータを関連付けてセンサログデータの組合せを生成し、このセンサログデータの組合せを個別攻撃知識情報と突合することで個別攻撃パターンを特定する。次に、所定の期間内に共起された複数の個別攻撃パターンの組合せを攻撃シナリオ知識情報と突合して攻撃シナリオを特定する。そして、特定された上記個別攻撃パターンおよび上記攻撃シナリオを含む分析結果を出力する。【選択図】図4

Description

この発明の一態様は、例えば車両内に構築される車載ネットワークのセキュリティの状態を監視し分析するための車両セキュリティ分析装置と、この装置において実行される方法およびプログラムに関する。
近年、各車両メーカでは、電子制御ユニット(Electric Control Unit:ECU)等を含む車載ネットワークと外部ネットワークのサーバ装置との間で各種データの授受を可能にしたコネクテッドカーの開発が進められている。コネクテッドカーは、例えばナビゲーションシステムの地図データの更新や自動運転に係る高度なサービスを実現する上できわめて有用であるが、車載ネットワークが外部ネットワークに接続されることから、外部のネットワークからマルウェアやウィルス等を用いたサイバー攻撃を受けるおそれがある。
そこで、最近ではセキュリティ・オペレーション・センタ(Security Operation Center:SOC)を設け、この車両SOCにおいて車載システムに対するサイバー攻撃の種類や内容を分析する技術が種々検討されている(例えば特許文献1を参照)。
特開2020-119090号公報
ところが、車両SOCは、車両に対する攻撃を個別の攻撃と捉えて分析するものが主流である。しかし、コネクテッドカーに対するサイバー攻撃は今後益々多様化することが想定され、既存の車両SOCでは多様化する攻撃を的確に分析することが困難になると予想される。
この発明は上記事情に着目してなされたもので、多様化するサイバー攻撃を単発の攻撃に止まらず所定期間内に発生した複数の個別攻撃パターンの関連性から攻撃シナリオを特定することが可能な技術を提供しようとするものである。
上記課題を解決するためにこの発明の一態様は、車両に搭載された車載装置の動作状態に関係するセンサログデータを取得し分析する車両セキュリティ分析装置または分析方法において、前記センサログデータを取得し記憶するログデータ取得部または過程と、記憶された複数の前記センサログデータのうち、同一の個別攻撃を構成する可能性がある複数の前記センサログデータの組合せを生成し、生成された前記センサログデータの組合せを個別攻撃の知識情報として予め定義された複数の個別攻撃パターンと突合して対応する個別攻撃パターンを特定し、特定された前記個別攻撃パターンを表す情報を含む第1の分析情報を生成する第1の分析処理部または過程と、所定の期間内に得られる複数の前記個別攻撃パターンを、攻撃シナリオ知識情報として予め定義された複数の攻撃シナリオと突合して、前記複数の個別攻撃パターンにより構成される前記攻撃シナリオを特定し、特定された前記攻撃シナリオを表す情報を含む第2の分析情報を生成する第2の分析処理部または過程と、生成された前記第1の分析情報および前記第2の分析情報を含む分析結果を出力する分析結果出力処理部または過程とを具備するものである。
この発明の一態様によれば、車載装置から発生された複数のセンサログデータをもとに、先ず同一の個別攻撃を構成する可能性がある複数のセンサログデータの組合せに着目して、個別攻撃パターンが特定される。次に、所定の期間内に得られる複数の個別攻撃パターンの組合せに着目して、攻撃シナリオが特定される。そして、特定された上記個別攻撃パターンおよび攻撃シナリオが、分析結果として出力される。
従って、単発に発生する個別攻撃に止まらず、所定期間内に発生した複数の個別攻撃パターンの関連性から攻撃シナリオを特定することが可能になる。
図1は、この発明の一実施形態に係る車両セキュリティ監視システムの全体構成の一例を示す図である。 図2は、図示に示したシステムにおいてサイバーセキュリティの分析対象となる車載装置の構成の一例を示す図である。 図3は、この発明の一実施形態に係る車両セキュリティ分析装置のハードウェア構成を示すブロック図である。 図4は、この発明の一実施形態に係る車両セキュリティ分析装置の機能構成を示すブロック図である。 図5は、図4に示した車両セキュリティ分析装置のうち、ログ受信処理部、個別攻撃分析処理部および攻撃シナリオ分析処理部における入出力情報の一例を示す図である。 図6は、図4に示した車両セキュリティ分析装置による全体の処理手順と処理内容の一例を示すフローチャートである。 図7は、図6に示した処理手順のうちログ事前処理の処理手順と処理内容の一例を示すフローチャートである。 図8は、図6に示した個別攻撃分析処理の処理手順と処理内容の一例を示すフローチャートである。 図9は、図6に示した攻撃シナリオ分析処理の処理手順と処理内容の一例を示すフローチャートである。 図10は、図6に示した処理手順のうち個別攻撃分析処理および攻撃シナリオ分析処理の一例を説明するための図である。 図11は、図6に示した処理手順のうち個別攻撃分析処理および攻撃シナリオ分析処理の他の例を説明するための図である。
以下、図面を参照してこの発明に係わる実施形態を説明する。
[一実施形態]
(構成例)
(1)システム
図1は、この発明の一実施形態に係る車両セキュリティ監視システムの構成の一例を示す図である。
一実施形態に係る車両セキュリティ監視システムは、例えば車両メーカが運用するOEM(Original Equipment Manufacture)センタCNを備えている。なお、一般にOEMセンタCNは車両メーカごとに設置されるが、ここでは一つの車両メーカのOEMセンタCNを例にとって説明する。
車両メーカのOEMセンタCNは、自社が管理する複数の車両MV1~MVnとの間で、移動通信ネットワークMNWおよびゲートウェイGW1を介してデータ伝送が可能になっている。OEMセンタCNは管理サーバOSVを備える。OEMセンタCNは、管理サーバOSVの制御の下、車両MV1~MVnに対して当該車両向けの各種サービスを提供する。またOEMセンタCNは、上記車両MV1~MVnから送信されるセンサログデータを上記移動通信ネットワークMNWおよびゲートウェイGW1を介して収集すると共に、車両MV1~MVnに対してソフトウェアやソフトウェアの設定情報を配信する役割を担う。
なお、移動通信ネットワークMNWとしては、例えばセルラ移動通信ネットワークまたは無線LAN(Local Area Network)が用いられるが、これに限るものではない。
車両メーカのOEMセンタCNには、セキュリティ・オペレーション・センタ(Security Operation Center:SOC)サーバSSVが接続される。車両SOCサーバSSVは、この発明の一実施形態に係る車両セキュリティ分析装置として動作されるもので、その機能については後に詳しく説明する。
車両メーカのOEMセンタCNは、ゲートウェイGW2を介してインターネットINWにも接続され、このインターネットINWを介して外部サーバESVとの間でもデータ通信が可能となっている。外部サーバESVは、例えばAuto-ISAC(Automotive Information Sharing and Analysis Center)が運用管理するもので、コネクテッドカー関連のサイバー脅威や潜在的な脆弱性に関する脅威情報を蓄積するデータベースを備え、当該データベースに蓄積された情報を車両SOCサーバSSVに提供する。
また車両セキュリティ監視システムは、例えば車両メーカが個々に運用するPSIRT(Product Security Incident Response Team)サーバISVを備えている。SIRTサーバISVは、対応する車両メーカのOEMセンタCNとの間、および車両SOCサーバSSVとの間でデータ伝送が可能となっている。
SIRTサーバISVは、例えば車両メーカまたはその車載装置の開発ライフサイクルを通じて必要な安全管理、サポート、インシデント対応を実施するための組織(PSIRT)が運用する。SIRTサーバISVは、例えば、車両メーカ固有のサイバー脅威情報を記憶する脅威情報データベースを有し、車両SOCサーバSSVからの要求に応じてサイバー脅威情報を車両SOCサーバSSVへ送信する。
またSIRTサーバISVは、例えば、車両SOCサーバSSVから提供されるセキュリティ分析レポートをPSIRTの管理者に提示する。そして、上記分析レポートをもとにPSIRTの管理者が車両メーカ別に決定された対応方針等を入力した場合に、当該対応方針等を含むリコール指示を該当車両に向けて送信する機能を有する。なお、サイバー脅威情報は、例えば脅威の種別と危険度の尺度との組み合わせにより定義される。分析レポートも、例えば上記脅威の種別と危険度の尺度との組み合わせを用いて記述される。
(2)装置
(2-1)車載装置VU
図2は、車両MV1~MVnにそれぞれ搭載される車載装置VUの構成の一例を示すブロック図である。
車載装置VUは、複数の電子制御ユニット(Electric Control Unit:ECU)4を備えている。ECU4は、例えばCAN(Control Area Network)と呼称される車載ネットワーク2を介して、車載ゲートウェイ(CGW)1に接続される。CGW1には、通信制御ユニット(TCU)5およびナビゲーション装置(IVI)3が接続される。
ECU4は、それぞれがプロセッサにプログラムを実行させることにより所定の制御機能を果たすように構成され、例えばエンジンやトランスミッション、操舵角、アクセル、ブレーキ等を制御する装置、ウィンカーやライト、ワイパーを制御する装置、ドアロックおよび窓の開閉を制御する装置、空調を制御する装置等として用いられる。また、車両MV1~MVnには、速度センサや温度センサ、振動センサ等の車両の動作状態に係る各種車両センサの計測データをはじめ、運転者等を含む車内の状態を監視する車内センサ、車外の状況を監視する車外センサ等の多くのセンサが設けられており、ECU4はこれらのセンサから出力されるセンシングデータを取り込む装置としても用いられる。さらにECU4は、自動運転制御装置や運転者の状態を監視する装置としても用いられ、いずれも複数のセンサから出力されるセンシングデータを取り込んで、所定の制御処理を実行する。
TCU5は、車載装置VUと移動通信ネットワークMNWとの間で例えばTCP/IP(Transmission Control Protocol/Internet Protocol)を使用して無線通信を行うもので、運転者または搭乗者の通話データを送受信したり、Webサイトからナビゲーション更新データを受信したり、車載装置VUの各構成要素の動作状態の検出結果を示すログデータを車両メーカのOEMセンタCNへ送信するために用いられる。
IVI3は、USBポートおよび無線インタフェースを有している。そして、USBポートを介してUSB機器(図示省略)との間で各種データの書き込みおよび読み出しを行うと共に、無線インタフェースを介してスマートフォン等の携帯端末との間のデータの送受信や外部との間のデータの送受信を行う機能を有している。なお、無線インタフェースとしては、例えばBluetooth(登録商標)またはWiFi(登録商標)が用いられる。
上記TCU5およびIVI3にはそれぞれセンサが備えられている。これらのセンサは、TCU5およびIVI3自体の動作監視と共に、移動通信ネットワークMNWまたは各無線インタフェースおよびUSB端子から潜入するウィルス等の監視を行う。TCU5およびIVI3は、TCU5およびIVI3の上記各センサによる異常等の検出結果を、上記ECU4およびCGW1においてセンサにより検出される異常の検出結果と共に、センサログデータとして上記OEMセンタCNへ送信する。
なお、車載装置VUは、外部インタフェースポート(OBD-II)6を有している。このOBD-IIポート6には、試験装置やパーソナルコンピュータが接続可能である。試験装置やパーソナルコンピュータは、例えばECU4の試験を行ったり、ECU4に対し更新プログラムや制御データをインストールするために使用される。
CGW1は、TCU5と各ECU4、IVI3およびOBD-IIポート6との間でデータ転送を行う際に、それぞれIP/CANのプロトコル変換を行う。なお、CGW1にもその動作異常等を監視するためのセンサが備えられ、CGW1は上記センサによる動作異常などの検出結果を、センサログデータとして上記TCU5から上記OEMセンタCNへ送信する。
(2-2)車両SOCサーバSSV
図3および図4は、それぞれ車両SOCサーバSSVのハードウェア構成およびソフトウェア構成を示すブロック図である。
車両SOCサーバは、車両MV1~MVnに対し行われたサイバー攻撃について、車両メーカのOEMセンタCNに代わって或いは補完するように分析処理を行い、その分析結果に基づいて生成される分析レポートを対応する車両メーカのSIRTサーバISVに通知する機能を備える。
車両SOCサーバSSVは、例えばクラウド上に配置されるサーバコンピュータからなり、中央処理ユニット(Central Processing Unit:CPU)等のハードウェアプロセッサを使用した制御部10を備える。そして、この制御部10に対し、バス50を介して、プログラム記憶部20およびデータ記憶部30を有する記憶ユニットと、通信I/F40を接続したものとなっている。
通信I/F40は、制御部10の制御の下、ネットワークNWにより定義される通信プロトコルを使用して、各車両メーカのOEMセンタCNおよびSIRTサーバISVとの間で、それぞれデータ伝送を行う。
プログラム記憶部20は、例えば、記憶媒体としてHDD(Hard Disk Drive)またはSSD(Solid State Drive)等の随時書込みおよび読出しが可能な不揮発性メモリと、ROM(Read Only Memory)等の不揮発性メモリとを組み合わせて構成したもので、OS(Operating System)等のミドルウェアに加えて、この発明の一実施形態に係る各種制御処理を実行するために必要なプログラムを格納する。
データ記憶部30は、例えば、記憶媒体として、HDDまたはSSD等の随時書込みおよび読出しが可能な不揮発性メモリと、RAM(Random Access Memory)等の揮発性メモリと組み合わせたもので、この発明の一実施形態を実施するために必要な記憶領域として、ログデータ記憶部31と、拡張情報記憶部32と、分析対象ログ記憶部33と、個別攻撃分析結果記憶部34と、攻撃シナリオ分析結果記憶部35と、統計分析結果記憶部36と、分析レポート記憶部37とを備えている。
ログデータ記憶部31は、車両メーカのOEMセンタCNから取得されたすべてのセンサログデータを、車両メーカの識別情報または取得元のOEMセンタCNの識別情報と対応付けて一旦記憶するために用いられる。
拡張情報記憶部32には、個別攻撃および攻撃シナリオの分析に必要となる拡張情報が予め記憶されている。拡張情報には、例えば、システム構成、IPアドレスから地域を特定するために用いるGeoIP、緯度経度から住所を検索するReverse Geocoding、共通脆弱性識別子CVE、ドメインの所有者情報Whoisが含まれる。
分析対象ログ記憶部33は、上記ログデータ記憶部31に記憶されたセンサログデータから抽出される分析対象のログデータを記憶するために用いられる。
個別攻撃分析結果記憶部34は、上記分析対象のログデータを分析することにより得られる個別攻撃の分析結果を表す情報を記憶するために使用される。
攻撃シナリオ分析結果記憶部35は、上記個別攻撃の分析結果をさらに分析することにより得られる攻撃シナリオの分析結果を表す情報を記憶するために使用される。
統計分析結果記憶部36は、個別攻撃の分析結果および攻撃シナリオの分析結果をもとに分析される、複数の車両への攻撃の関連性と攻撃の傾向性を表す情報を含む統計情報を記憶するために使用される。
分析レポート記憶部37は、上記分析対象のログデータ、上記個別攻撃の分析結果、上記攻撃シナリオの分析結果および上記統計情報をもとに生成される分析レポート情報を記憶するために使用される。
制御部10は、この発明の一実施形態に係る処理機能として、ログデータ受信処理部11と、個別攻撃分析処理部12と、攻撃シナリオ分析処理部13と、関連性分析処理部14と、傾向性分析処理部15と、分析レポート生成処理部16と、分析レポート送信処理部17とを備える。これらの処理部11~17は、何れもプログラム記憶部20に格納されたプログラムを制御部10のハードウェアプロセッサに実行させることにより実現される。
図5は、上記各処理部11~17のうち、この発明に係るログデータ受信処理部11、個別攻撃分析処理部12および攻撃シナリオ分析処理部13における入出力データと、当該各処理部11~13が使用する処理ルールの一例を示す図である。各処理ルールはいずれもプログラム記憶部20に記憶されるプログラムにより実現される。
図5において、センサログ関連付けルール、センサログ除外ルール、個別攻撃ID割当ルール、個別攻撃分析ルール、個別攻撃分析結果整形ルールおよび攻撃シナリオ分析実施判定ルールは、個別攻撃検知ロジックを構成する。また、仮紐付け判定ルール、紐付け確定判定ルール、攻撃シナリオ分析ルールおよび攻撃シナリオ分析結果整形ルールは、攻撃シナリオ検知ロジックを構成する。
ログデータ受信処理部11は、上記ログデータ記憶部31からセンサログデータを読み込み、フィルタリングルールおよび拡張ルールに従い上記センサログデータから分析対象のログデータの抽出および拡張情報の付加を行う。そして、必要に応じて事前分析ルールに従い事前分析処理を行い、処理が終了した分析対象のログデータを分析対象ログ記憶部33に記憶させる。
個別攻撃分析処理部12は、上記分析対象ログ記憶部33から分析対象のログデータを読み込み、センサログ関連付けルールおよびセンサログ除外ルールに従い、上記読み込まれた分析対象のログデータのうち同一の個別攻撃を構成する可能性が高いログデータを関連付けて、ログデータの組合せを生成する。
また個別攻撃分析処理部12は、個別攻撃ID付与ルールに従い、生成された上記ログデータの組合せに対応する個別攻撃パターンを、予め用意されている個別攻撃知識情報を参照することで特定する。そして、個別攻撃分析ルールに従い、個別攻撃毎に定義されたテンプレートに、特定された上記個別攻撃パターンを構成する複数のセンサログデータに含まれる値を記載することで、個別攻撃の分析結果を表す情報を生成する。
さらに個別攻撃分析処理部12は、必要に応じて個別攻撃分析結果整形ルールに従い上記分析結果を表す情報を整形し、さらに攻撃シナリオ分析実施判定ルールに従い上記個別攻撃の分析結果が攻撃シナリオの分析に提供可能か否かを判定する。そして、提供可能と判定された個別攻撃の分析結果を表す情報を、個々の車両に対する「点」の攻撃を表す分析情報として、上記個別攻撃分析結果記憶部34に記憶させる処理を行う。
攻撃シナリオ分析処理部13は、上記個別攻撃分析結果記憶部34から所定の期間内に得られた複数の個別攻撃パターンの分析結果を読み込む。そして、仮紐付け判定ルールに従い、上記複数の個別攻撃パターンの分析結果を予め用意されている攻撃シナリオ知識情報で定義される複数の攻撃シナリオと突合して、上記個別攻撃パターンを含む攻撃シナリオを特定し、かつ当該攻撃シナリオ内における上記個別攻撃パターンのステップ位置を特定する。そして攻撃シナリオ分析処理部13は、上記攻撃シナリオの特定結果をもとに、紐付け確定判定ルールに従い攻撃シナリオを特定する。
また攻撃シナリオ分析処理部13は、攻撃シナリオ分析ルールに従い、上記特定された攻撃シナリオと当該攻撃シナリオを構成する上記個別攻撃パターン、および当該各攻撃派端を構成するセンサログデータに含まれる値を、攻撃シナリオ毎に定義されたテンプレートに記載することにより攻撃シナリオの分析結果を表す情報を生成する。
さらに攻撃シナリオ分析処理部13は、上記攻撃シナリオの分析結果を、必要に応じて攻撃シナリオ分析結果整形ルールに従い整形する。そして、整形処理後の攻撃シナリオの分析結果を表す情報を、個々の車両に対する一連の攻撃シナリオ(「線」の攻撃)を表す分析情報として、攻撃シナリオ分析結果記憶部35に記憶させる。
関連性分析処理部14は、上記個別攻撃分析結果記憶部34および攻撃シナリオ分析結果記憶部35に記憶された個別攻撃の分析結果または攻撃シナリオの分析結果に基づいて、複数の車両MV1~MVnを対象とする個別攻撃又は攻撃シナリオの集計を行う。そして、その集計結果を表す情報を、複数の車両MV1~MVnに対する一連の「面」の攻撃の一つを表す情報として、統計分析結果記憶部36に記憶させる処理を行う。
傾向性分析処理部15は、上記個別攻撃分析結果記憶部34に記憶された個別攻撃の分析結果または攻撃シナリオ分析結果記憶部35に記憶された攻撃シナリオの分析結果を任意の観点で分析する。そして、その分析結果を表す情報を、複数の車両MV1~MVnに対する一連の「面」の攻撃の一つを表す情報として、統計分析結果記憶部36に記憶させる処理を行う。
分析レポート生成処理部16は、上記分析対象のログデータ、上記個別攻撃の分析結果、上記攻撃シナリオの分析結果、および上記統計情報をもとに、予め用意されたテンプレートに従い分析レポート情報を生成する。分析レポート情報は、個々の車両に対する個別攻撃(「点」の攻撃)の分析結果と、攻撃シナリオ(「線」の攻撃)の分析結果と、複数の車両に対する攻撃の関連性および傾向性(「面」の攻撃)の分析結果がそれぞれ反映されたものとなる。分析レポート生成処理部16は、生成された上記分析レポート情報を分析レポート記憶部37に記憶させる。
分析レポート送信処理部17は、例えばAPI(Application Programming Interface)サーバにより構成される。分析レポート送信処理部17は、SIRTサーバISVから送られる取得要求に応じて上記分析レポート記憶部37から分析レポート情報を読み出し、読み出された上記分析レポート情報を通信I/F40から要求元のSIRTサーバISVへ送信する処理を行う。
(動作例)
次に、以上のように構成された車両SOCサーバSSVの動作例を説明する。
(1)車載装置VUに関係するサイバー攻撃の種類
車載装置VUに対するサイバー攻撃の種類には、例えば、
(a) 改ざんされたWebサイトや攻撃者の端末から、インターネットINWを経由して車載装置VU内の通信機器(例えばTCU5やIVI3)にマルウェア感染等を引き起こす攻撃
(b) 外部の無線通信機器から車載装置VUの通信機器(例えばTCU5またはIVI3)に対し、悪意を持った遠隔操作コマンドを送信し、運転者の意図に反した操作を引き起こす攻撃
(c) OBD-IIポート6にパーソナルコンピュータ等の外部端末を不正に接続し、この外部端末からECU4等に対し不正コマンドを入力してECU4の設定変更やECU4の情報の搾取、運転者の意図に反した操作を引き起こす攻撃
(d) マルウェアに感染済のスマートフォン等の携帯端末をBluetoothまたはWiFiの無線インタフェースに接続し、上記携帯端末を踏み台として車載装置VUのECU4等への不正コマンドの送信や、OSの乗っ取り、ファームウェアの書き換え等を行う攻撃
(e) IVI3のアプリケーションにマルウェアを感染させ、車載装置VUのECU4等への不正コマンドの送信や、OSの乗っ取り、ファームウェアの書き換え等を行う攻撃
等がある。
また、サイバー攻撃のパターンには、例えば以下の複数の段階がある。
(1) 初期潜入;例えば車載装置VUの通信機器(TCU5やIVI3)に対しマルウェア等を感染させる行為
(2) 基盤構築;マルウェアを感染させた通信機器(TCU5やIVI3)から、例えば車両メーカのOEMセンタCNまたはインターネットINWを介して、攻撃者のサーバや端末との間にC&C通信による遠隔制御基盤を構築する行為
(3) 内部潜入・調査;例えばTCU5、IVI3またはCGW1内に潜入してその内部調査を行う行為
(4) 目的遂行;TCU5、IVI3またはECU4から情報を搾取する行為や、TCU5またはIVI3を踏み台としてOEMセンタCNまたはインターネットINWに接続されたサーバ等に対し攻撃する行為、TCU5またはIVI3を経由してECU4等の車載装置VU内部の構成要素を遠隔制御する行為
(5) 初期潜入+目的遂行;TCU5またはIVI3に潜入した後、上記基盤構築や内部潜入・調査の段階を省いて、上記情報の搾取や、車載装置VUを踏み台としたOEMセンタCNまたはインターネットINWに接続されたサーバ等への攻撃、ECU4等の車載装置VU内部の構成要素を遠隔制御する行為。
以上のようなサイバー攻撃の種類およびパターンを考慮し、車載装置VU内の各構成要素、例えばTCU5、IVI3、ECU4およびCGW1には、それぞれセンサが設置される。
例えば、TCU5およびIVI3には、ネットワーク経由の攻撃をTCU5またはIVI3において検出するホスト設置型センサが設けられる。このセンサは、例えば、脅威インテリジェンス(IPアドレス)との突き合わせにより攻撃を検出する機能、通常では発生しない送受信IPアドレス、ポートへのアクセス(許可/拒否/廃棄)の発生や、ログイン成功/失敗の発生、送受信MAC(Media Access Control Address)アドレスの発生を異常として検出する機能、SSL/TSL証明書の検証エラーログを異常として検出する機能、CAN2のIDフィルタの検証による拒否ログの発生を異常として検出する機能、CAN2のIDS検査ロジックで検出されたものを異常として検出する機能、CANメッセージのMAC検証エラーの発生を異常として検出する機能を有する。
また、TCU5およびIVI3には、当該TCU5およびIVI3上で発生した攻撃を検出するセンサも設けられる。このセンサは、例えば、アンチウイルスのシグネチャで検出したものを攻撃として検出する機能、サンドボックスの動的解析/ふるまい検知で検出したものを攻撃として検出する機能、ホワイトリスティングの実行禁止ファイルの実行試行時のログを異常として検出する機能、署名不整合の検出ログを異常として検出する機能、通常発生しないログイン成功/失敗が発生した際に異常として検出する機能、通常発生しない権限操作を異常として検出する機能、通常発生しないプロセスの実行/終了を異常として検出する機能、通常発生しないリソース利用量の増加等を異常として検出する機能、セキュアブート時の署名不整合を異常として検出する機能を有する。
いずれのセンサも、それぞれ検出結果を示すセンサログデータを、例えば通信終了後に出力する。各センサログデータは、車載装置VUの例えばTCU5から対応する車両メーカのOEMセンタCNへ送信される。また、車両メーカのOEMセンタCNにもセンサが設置される。このセンサは、車載装置VUに対するネットワーク経由の攻撃をネットワーク上で検出するもので、先に述べたホスト設置型センサとほぼ同様の機能を有する。
なお、センサログデータを、以後センサログまたはログデータとも呼ぶ。
(2)車両SOCサーバSSVにおけるサイバー攻撃の分析
図6は、車両SOCサーバSSVの全体の処理手順と処理内容の一例を示すフローチャートである。
(2-1)センサログデータの取得
各車両MV1~MVnの車載装置VUでは、先に述べたようにTCU5およびIVI3等の各構成要素に設置されたセンサが、サイバー攻撃による異常の発生を監視している。そして、異常の発生が検出されるとその検出結果を示すセンサログデータが、検出時刻を表すタイムスタンプ情報と、センサの識別情報または異常の発生を検出した構成要素、例えばTCU5またはIVI3の識別情報と紐付けられた状態で、対応する車両メーカのOEMセンタCNへ送信される。
車両メーカのOEMセンタCNは、自社が製造または販売管理する車両MV1~MVnから送信されたセンサログデータを受信すると、受信されたセンサログデータを、検出時刻または受信時刻を示すタイムスタンプ情報と、検出元のセンサの識別情報または異常の発生が検出された構成要素の識別情報と紐付けた状態で一旦保存する。そして、例えば車両SOCサーバSSVからの取得要求に応じて、車両メーカの識別情報と共に車両SOCサーバSSVへ転送する。
これに対し、車両SOCサーバSSVの制御部10は、ステップS1により分析対象データの取得タイミングになるまで待機し、取得タイミングになるとステップS2において、車両メーカのOEMセンタCNに対し取得要求を送信する。そして、上記取得要求に応じてOEMセンタCNから転送される、未取得のセンサログデータを通信I/F40を介して受信する。さらに、受信された上記センサログデータを、検出時刻を示すタイムスタンプ情報と、検出元のセンサの識別情報または異常の発生が検出された構成要素の識別情報、および車両メーカの識別情報とそれぞれ対応付けた状態で、ログデータ記憶部31に記憶させる。すなわち、車両SOCサーバSSVはポーリング方式によりセンサログデータを取得する。
なお、車両SOCサーバSSVによるセンサログデータの取得処理は、上記ポーリング方式を使用する以外に、OEMセンタCNが車両MV1~MVnからセンサログデータを受信したときに自律的に転送するセンサログデータを受動的に取得するものであってもよい。
(2-2)センサログデータに対する前処理
車両SOCサーバSSVの制御部10は、分析処理に先立ち、ログデータ受信処理部11の制御の下、ステップS3においてセンサログデータに対する前処理を行う。
図7は、ログデータ受信処理部11によるログデータの前処理手順と処理内容を示すフローチャートである。
ログデータ受信処理部11は、ログデータ記憶部31から例えば分析対象とする個々の車両に係るセンサログデータを読み込む。そしてログデータ受信処理部11は、先ずステップS31において、フィルタリングルールに従い、分析に使用しないセンサログデータを除外して必要なセンサログデータを選別する処理を行う。例えば、重複するセンサログデータ、発生元のセンサ種別による不要なセンサログデータ、およびログ項目の値に基づく不要なセンサログデータをそれぞれ排除する。
ログデータ受信処理部11は、続いてステップS32において、拡張ルールに従い、フィルタリング処理後の上記センサログデータに対し、後段の個別攻撃および攻撃シナリオの分析に必要となる拡張情報を拡張情報記憶部32から読み出して付加する。付加される拡張情報としては、例えば、先に述べたようにシステム構成、IPアドレスから地域を特定するために用いるGeoIP、緯度経度から住所を検索するReverse Geocoding、共通脆弱性識別子CVE、ドメインの所有者情報Whoisが考えられる。
ログデータ受信処理部11は、続いてステップS33において、事前分析ルールに従い、上記選別されかつ拡張されたセンサログデータに対し、後段の分析に必要となる情報を付加する処理と、後段の分析に対する要否判定を行う。付加対象の情報としては、例えばログの発生原因となった通信の発生元、および通信先となるECU4の識別情報が考えられる。また要否判定では、例えばセンサログデータが分析の起点となるログであるか否かが判定される。
ログデータ受信処理部11は、最後にステップS34において、上記一連の処理が終了したセンサログデータを、分析対象のログデータとして分析対象ログ記憶部33に保存させる。なお、ログデータ受信処理部11は、上記分析に必要なセンサログデータを選別する処理と、上記拡張情報をセンサログデータに付加する処理のうち、一方のみを行うようにしてもよい。
(2-3)個別攻撃の分析
車両SOCサーバSSVの制御部10は、次に個別攻撃分析処理部12の制御の下、ステップS4において、分析対象のログデータをもとに個々の車両に対する個別攻撃の種類等を分析する。
図8は、個別攻撃分析処理部12による分析処理の処理手順と処理内容の一例を示すフローチャートである。
個別攻撃分析処理部12は、上記分析対象ログ記憶部33から車両別に分析対象のログデータを読み込む。そして、個別攻撃分析処理部12は、先ずステップS41において、センサログ関連付けルールに従い、同一の個別攻撃を構成する可能性がある複数のログデータを選択し、選択された複数のログデータを相互に関連付けることで、同一攻撃に係るログデータの組合せを生成する。例えば、車両識別番号(Vehicle Identification Number:VIN)が同一であること、ログデータの検出時刻が所定期間内に含まれることを条件とし、当該各条件に該当するログデータを関連付けてログデータの組合せを生成する。
個別攻撃分析処理部12は、続いてステップS42において、センサログ除外ルールに従い、予め記憶されている個別攻撃の知識情報に基づいて、上記ログデータの組合せが存在し得ない組合せであるか否かを判定し、その判定結果に基づいて存在し得ない組合せを分析対象から除去する。
個別攻撃分析処理部12は、次にステップS43において、個別攻撃ID付与ルールに従い、上記ログデータの組合せを、上記個別攻撃の知識情報に定義される複数の個別攻撃パターンとそれぞれ突合する。そして、突合結果をもとに、上記ログデータの組合せに対応する個別攻撃パターンを特定し、上記ログデータの組合せに対し上記特定された個別攻撃パターンに対応する個別攻撃IDを付与する。具体的には、例えばログデータに含まれるセンサ設置箇所の識別情報およびセンサ種別の少なくとも一方に基づいて個別攻撃パターンを特定し、その個別攻撃IDを付与する。
以上述べた個別攻撃パターンの特定処理の一例を、図10および図11に示す例1および例2を用いて説明する。
図10に示す例1では、所定期間に含まれる時刻t1、t2、t3にそれぞれ得られたセンサログL4,L5,L6の組合せ、センサログL1,L2,L3の組合せ、センサログL7,L8,L9の組合せが、それぞれ個別攻撃知識情報に定義される複数の個別攻撃パターンP2,P1,P3に対応する。このため、上記センサログL4,L5,L6の組合せ、センサログL1,L2,L3の組合せ、センサログL7,L8,L9の組合せに対し、それぞれ上記各個別攻撃パターンの識別情報P2,P1,P3が個別攻撃IDとして付与される。
図11に示す例2では、時刻t1に得られたセンサログL1,L2の組合せが個別攻撃知識情報に定義される個別攻撃パターンP1とP2に対応し、またその後の時刻T2において得られたセンサログL3,L4,L5の組合せが個別攻撃知識情報に定義される個別攻撃パターンP3とP4とP5に対応する。このため、上記センサログL1,L2の組合せに対しては、個別攻撃パターンの識別情報P1とP2が個別攻撃IDとして付与され、またセンサログL3,L4,L5の組合せに対しては、個別攻撃パターンP3とP4とP5が個別攻撃IDとして付与される。
個別攻撃分析処理部12は、次にステップS44において、個別攻撃分析ルールに従い、個別攻撃ID毎に定義されたテンプレートに、特定された上記個別攻撃パターンを構成する複数のセンサログデータに含まれる値を記載することで、個別攻撃の分析結果を表す情報、つまり個々の車両MV1~MVnに対する「点」の攻撃を表す分析情報を生成する。
個別攻撃分析処理部12は、続いてステップS45において、個別攻撃分析結果の整形ルールに従い上記分析結果を表す情報を整形する。さらにステップS46において、攻撃シナリオ分析実施判定ルールに従い、上記個別攻撃IDが付与されたセンサログデータの組合せが攻撃シナリオの分析に提供可能な情報か否かを判定する。例えば、上記センサログデータの組合せが単一の個別攻撃にのみ対応するものである場合には、攻撃シナリオの分析処理が必要と判定する。一方、複数の個別攻撃に対応する場合には、攻撃シナリオの分析処理が不要と判定する場合と、攻撃シナリオの分析処理が必要と判定する場合がある。後者は、攻撃シナリオの分析を経ないと個別攻撃を特定できない場合である。個別攻撃分析処理部12は、攻撃シナリオの分析処理が必要と判定された場合に、そのセンサログデータの組合せを、ステップS47により個別攻撃分析結果記憶部34に記憶させる。
(2-5)攻撃シナリオの分析
車両SOCサーバSSVの制御部10は、次に攻撃シナリオ分析処理部13の制御の下、ステップS5において、上記個別攻撃の分析結果を表す情報をもとに個々の車両MV1~MVnに対する一連の攻撃を表す攻撃シナリオを分析する。
図9は、攻撃シナリオ分析処理部13による攻撃シナリオ分析処理の処理手順と処理内容の一例を示すフローチャートである。
攻撃シナリオ分析処理部13は、上記個別攻撃分析結果記憶部34から、車両MV1~MVn別に、かつ検出時刻別に、個別攻撃分析結果を示す情報、つまり個別攻撃IDを読み出す。この状態で、攻撃シナリオ分析処理部13は、先ずステップS51において、仮紐付けルールに従い、上記個別攻撃IDを、予め記憶されている攻撃シナリオ知識情報に定義された複数の攻撃シナリオと突合する。そして、この突合の結果をもとに、ステップS52において上記個別攻撃IDを含む攻撃シナリオを攻撃シナリオ候補としてすべて選択する。またこのとき、ステップS53において、上記攻撃シナリオ候補内の上記個別攻撃のステップ位置も特定する。そして攻撃シナリオ分析処理部13は、ステップS54において、上記個別攻撃とこの個別攻撃を含むすべての攻撃シナリオ候補とを仮に紐付ける。
攻撃シナリオ分析処理部13は、続いてステップS55において、紐付け確定ルールに従い、異なる時刻において得られた複数の個別攻撃が特定の攻撃シナリオを構成するか否か、つまり攻撃シナリオの妥当性を判定する。具体的には、異なる検出時刻において得られた複数の上記攻撃シナリオ候補の中から、異なる検出時刻において得られた上記個別攻撃IDをすべて含む攻撃シナリオ候補を、攻撃シナリオとして特定する。
以上述べた攻撃シナリオの特定処理の一例を、図10および図11に示す例1および例2を用いて説明する。
図10に示す例1では、最初の時刻t1に得られた個別攻撃P2を含む攻撃シナリオA1,A2,A3,A4が攻撃シナリオ候補として先ず選択される。そして、選択された上記攻撃シナリオ候補A1,A2,A3,A4の中から、次の時刻t2に得られた個別攻撃P1を含む攻撃シナリオ候補A3,A4が選択される。同様に、選択された上記攻撃シナリオ候補A3,A4の中から、次の時刻t3に得られた個別攻撃P3を含む攻撃シナリオA4が攻撃シナリオとして特定される。すなわち、この例では、特定された攻撃シナリオA4とこの攻撃シナリオA4を構成する個別攻撃群P2,P1,P3が分析結果として出力される。
図11に示す例2では、最初の時刻t1に得られた個別攻撃P2,P2を含む攻撃シナリオA1,A2,A3,A4が攻撃シナリオ候補として先ず選択される。そして、次の時刻t2においても、個別攻撃P3,P4,P5を含む攻撃シナリオ候補としてA1,A2,A3,A4が選択されるので、この例では最終的に攻撃シナリオとしてA1,A2,A3,A4がすべて特定される。
攻撃シナリオ分析処理部13は、続いてステップS56において、上記攻撃シナリオの分析処理により関連付けられたセンサログデータ群に対応する個別攻撃が一意に定まった場合に、上記個別攻撃の分析結果を更新する。すなわち、個別攻撃の分析処理において個別攻撃を一意に特定できず、個別攻撃の分析結果を確定できていなかった場合でも、攻撃シナリオ分析処理の結果から個別攻撃分析を一意に特定できた場合には、個別攻撃の分析結果を確定させる。
攻撃シナリオ分析処理部13は、次にステップS57において、攻撃シナリオ分析ルールに従い、上記攻撃シナリオの分析結果に基づいて攻撃シナリオの分析結果を表す情報、つまり個々の車両に対する一連の攻撃を表す「線」の分析結果を表す情報を生成する。例えば、攻撃シナリオ毎に定義されたテンプレートに、特定された上記攻撃シナリオとこの攻撃シナリオを構成する複数の個別攻撃、およびこの複数の個別攻撃を構成する複数のセンサログデータを、それぞれの分析に使用した個別攻撃知識情報と攻撃シナリオ知識情報と共に書き込むことにより、「線」の分析結果を表す情報を生成する。
攻撃シナリオ分析処理部13は、次にステップS58において、攻撃シナリオ分析結果整形ルールに従い、上記攻撃シナリオの分析結果を、必要に応じて攻撃シナリオ分析結果整形ルールに従い整形する。そして、ステップS59により、整形処理後の攻撃シナリオの分析結果を表す情報を、分析対象の車両の識別情報と関連付けて攻撃シナリオ分析結果記憶部35に記憶させる。
(2-6)複数の車両に対する攻撃の関連性の分析結果の取得
車両SOCサーバSSVの制御部10は、次にステップS6において、関連性分析処理部14が出力した、統計分析結果記憶部36に記憶された複数の車両MV1~MVnへの一連の「面」の攻撃を表す統計情報を取得する。関連性分析処理部14は、例えば、タイマを用いて定期的に、個別攻撃分析結果記憶部34および攻撃シナリオ分析結果記憶部35から、それぞれ複数の車両に関する個別攻撃の分析結果および攻撃シナリオの分析結果を読み込む。
そして関連性分析処理部14は、読み込まれた上記複数の車両MV1~MVnに関する個別攻撃または攻撃シナリオの分析結果をもとに、複数の車両を対象として上記個別攻撃または攻撃シナリオを集計した情報を得る。例えば特定の車両メーカのすべての車両に対し行われた攻撃、特定の車種に対し行われた攻撃の分析結果を集計する。そして、この集計した情報を、複数の車両MV1~MVnへの一連の「面」の攻撃を表す統計情報として統計分析結果記憶部36に記憶させる。
(2-7)複数の車両に対する攻撃の傾向性分析結果の取得
車両SOCサーバSSVの制御部10は、続いてステップS7において、傾向性分析処理部15が出力した、統計分析結果記憶部36に記憶された複数の車両MV1~MVnへの一連の「面」の攻撃を表す統計情報を取得する。傾向性分析処理部15は、例えば、タイマを用いて定期的に、個別攻撃分析結果記憶部34および攻撃シナリオ分析結果記憶部35からそれぞれ複数の車両MV1~MVnに関する個別攻撃の分析結果および攻撃シナリオの分析結果を読み込む。
そして傾向性分析処理部15は、読み込まれた上記複数の車両に関する個別攻撃または攻撃シナリオの分析結果を、任意の観点で分析する。例えば車両メーカ別、車種別または年式別に、攻撃の傾向性、例えば車載装置VUへのマルウェア感染、運転者の意図に反した操作、情報の搾取、OSの乗っ取り、ファームウェアの書き換え等を分析する。そして、その分析結果を表す情報を、複数の車両MV1~MVnへの一連の「面」の攻撃の一つを表す統計情報として統計分析結果記憶部36に記憶させる。
(2-8)分析レポートの生成
車両SOCサーバSSVの制御部10は、次にステップS8において、分析レポート生成処理部16の制御の下、先ず攻撃シナリオ分析結果記憶部35から個々の車両MV1~MVn毎に攻撃シナリオの分析結果を読み込むと共に、当該攻撃シナリオを構成する複数の個別攻撃の分析結果を個別攻撃分析結果記憶部34から読み込み、さらに当該複数の個別攻撃を構成する複数のセンサログデータを分析対象ログ記憶部33から読み込む。
そして分析レポート生成処理部16は、読み込まれた上記各分析結果およびセンサログデータをもとに、予め用意された車両別のテンプレートに従い分析レポート情報を生成する。かくして、例えば個々の車両MV1~MVn毎に、個別攻撃、つまり「点」の攻撃の分析結果と、攻撃シナリオ、つまり「線」の攻撃の分析結果が反映された分析レポート情報が生成される。分析レポート生成処理部16は、生成された上記車両MV1~MVn毎の分析レポート情報を、分析レポート記憶部37に記憶させる。
また分析レポート生成処理部16は、ステップS6およびステップS7において取得した統計情報、例えば車両メーカ別、車種別または年式別に、複数の車両MV1~MVnに対する攻撃の関連性および傾向性の分析結果を表す情報、つまり「面」の攻撃の分析結果を表す情報を読み込む。そして、読み込まれた各分析結果の情報をもとに、予め用意された車両メーカ別、車種別または年式別のテンプレートに従い、分析レポート情報を生成する。かくして、例えば車両メーカ毎、車種毎または年式毎に、統計的な「面」の攻撃の分析結果が反映された分析レポート情報が生成される。分析レポート生成処理部16は、生成された上記車両メーカ毎、車種毎または年式毎の分析レポート情報を、分析レポート記憶部37に記憶させる。
(3)分析レポート情報の提供
車両SOCサーバSSVの制御部10は、ステップS9において分析レポートの取得要求を監視している。この状態で、SIRTサーバISVから分析レポートの取得要求が送られると、車両SOCサーバSSVの制御部10は、分析レポート送信処理部17の制御の下、ステップS10において上記取得要求により指定された分析レポート情報を分析レポート記憶部37から読み出す。そして、読み出された上記分析レポート情報を通信I/F40から要求元のSIRTサーバISVへ送信する。
なお、車両SOCサーバSSVの制御部10は、上記分析レポート情報を生成せず、個別攻撃の分析結果、攻撃シナリオの分析結果、関連性の分析結果および傾向性の分析結果を、そのままSIRTサーバISVに提供するようにしてもよい。また、提供対象の分析結果は、上記分析結果の全種類であってもよいし、一部のみであってもよい。要するに、上記各分析結果は、SIRTサーバISVの要求に応じ選択的に提供されるようにしてもよい。
(作用・効果)
以上述べたように一実施形態では、車両SOCサーバSSVが、各車両MV1~MVnの車載装置VUから発生された複数のセンサログデータを車両メーカのOEMセンタCNから取得し、取得されたセンサログデータをもとに、先ず同一の個別攻撃を構成する可能性がある複数のセンサログデータの組合せを検出することにより個別攻撃パターンを特定する。次に、所定の期間内に共起された複数の個別攻撃パターンの組合せに着目して、攻撃シナリオを特定する。そして、特定された上記攻撃シナリオと、この攻撃シナリオを構成する複数の上記個別攻撃パターンと、この個別攻撃パターンを構成する複数のセンサログデータとに基づいて、個々の車両に対する分析レポート情報を生成し、出力するようにしている。
従って、個々に車両に対し、単発に発生する個別攻撃に止まらず、所定期間内に発生する複数の個別攻撃パターンの関連性から攻撃シナリオを特定して、これらを総合した分析レポートを生成し提供することが可能になる。すなわち、複数の段階、手段から構成される攻撃が一連のもの、つまり攻撃シナリオとして捉えられることで、SIRTサーバISVでは攻撃成功の要因、および影響範囲の特定を容易に行えるようになる。
また一実施形態では、上記個別攻撃の分析処理に先立ち、ログデータ受信処理部11によりフィルタリングルールおよび拡張ルールに従いセンサログデータから分析対象のログデータの抽出および拡張情報の付加を行い、さらに必要に応じ事前分析ルールに従い個別攻撃の分析処理に必要なログデータか否かを判定して、必要なログデータのみを個別攻撃の分析処理に提供するようにしている。このため、個別攻撃の分析処理を限定されたログデータを対象に行うことができ、これにより個別攻撃の分析精度を高めると共に、処理負荷の低減および処理時間の短縮を図ることができる。
さらに一実施形態では、個別攻撃の分析処理において、個別攻撃の分析結果が攻撃シナリオの分析に提供すべき情報であるか否かを判定している。そして、例えばセンサログデータの組合せが単一の個別攻撃にのみ対応するものである場合には、攻撃シナリオの分析処理が必要と判定する。一方、複数の個別攻撃に対応する場合には、攻撃シナリオの分析処理が不要と判定する場合と、攻撃シナリオの分析処理が必要と判定する場合があるため、その要否を判定する。そして、攻撃シナリオの分析処理が必要と判定された場合に、そのときのセンサログデータの組合せを攻撃シナリオの分析に提供し、攻撃シナリオの分析処理が不要と判定された場合には提供対象から除外するようにしている。このため、攻撃シナリオの分析処理を限定された個別攻撃の分析結果を対象に行うことができ、これにより攻撃シナリオの分析精度を高めると共に、処理負荷の低減および処理時間の短縮を図ることが可能となる。
さらに一実施形態では、複数の車両MV1~MVnに対する個別攻撃の分析結果と攻撃シナリオの分析結果をもとに、車両メーカ毎、車種毎或いは年式毎の攻撃の関連性および傾向性を分析し、その分析結果を分析レポートに反映するようにしている。このため、車両メーカは個々の車両に対する攻撃への対策に加えて、車両メーカ単位で、或いは車種単位または年式単位で攻撃に対する対策を講じることが可能となる。
[その他の実施形態]
(1)前記一実施形態では、車載装置VUから発生されたセンサログデータをネットワークMNWおよびOEMセンタCNを経由して取得する場合を例にとって説明した。しかしそれに限らず、例えば車両修理工場等において車載装置VUから発生されたセンサログデータを記録媒体に記憶させて車両SOCサーバSSVに提供し、車両SOCサーバSSVが提供された上記記憶媒体からセンサログデータを読み込んで分析処理を実行するようにしてもよい。
(2)前記一実施形態では、車両セキュリティ分析装置の全機能を1台の車両SOCサーバSSVにより実現する場合を例にとって説明した。しかし、それに限定されるものではなく、例えば車両SOCサーバを複数設け、車両セキュリティ分析装置の機能をこれら複数の車両SOCサーバにより分散処理するようにしてもよい。この場合、機能の分散の仕方としては、個別攻撃の分析処理と、攻撃シナリオの分析処理と、傾向性および関連性の分析処理をそれぞれ別のサーバに割り当てるようにしてもよいし、個別攻撃の分析処理および攻撃シナリオの分析処理を一つのサーバに割り当て、傾向性および関連性の分析処理を他の1台もしくは2台のサーバに割り当てるようにしてもよい。
(3)個別攻撃の分析処理および攻撃シナリオの分析処理を個々にまたは一括して、例えば、教師付の学習モデルを備えるニューラルネットワークを用いて実現してもよい。その他、車両セキュリティ分析装置の構成や各分析処理の手順と処理内容、分析レポートの構成等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
以上、本発明の実施形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、本発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
MV1~MVn…車両
VU…車載装置
SSV…車両SOCサーバ
ISV…SIRTサーバ
CN…車両メーカのOEMセンタ
OSV…管理サーバ
MNW…移動通信ネットワーク
INW…インターネット
GW1,GW2…ゲートウェイ
ESV…外部サーバ
1…車載ゲートウェイ
2…車載ネットワーク(CAN)
3…ナビゲーション装置(IVI)
4…電子制御ユニット(ECU)
5…通信制御ユニット(TCU)
10…制御部
11…ログデータ受信処理部
12…個別攻撃分析処理部
13…攻撃シナリオ分析処理部
14…関連性分析処理部
15…傾向性分析処理部
16…分析レポート生成処理部
17…分析レポート送信処理部
20…プログラム記憶部
30…データ記憶部
31…ログデータ記憶部
32…拡張情報記憶部
33…分析対象ログ記憶部
34…個別攻撃分析結果記憶部
35…攻撃シナリオ分析結果記憶部
36…統計分析結果記憶部
37…分析レポート記憶部
40…通信I/F
50…バス
上記課題を解決するためにこの発明の一態様は、車両に搭載された車載装置の動作状態に関係するセンサログデータを取得し分析する車両セキュリティ分析装置または分析方法において、前記センサログデータを取得し記憶するログデータ取得部または過程と、記憶された複数の前記センサログデータのうち、前記センサログデータの発生元となる車両の識別情報が同一で、かつ発生時刻が同一期間に含まれる複数の前記センサログデータの組合せを生成し、生成された前記センサログデータの組合せを個別攻撃の知識情報として予め定義された複数の個別攻撃パターンと突合して対応する個別攻撃パターンを特定し、特定された前記個別攻撃パターンを表す情報を含む第1の分析情報を生成する第1の分析処理部または過程と、所定の期間内に得られる複数の前記個別攻撃パターンを、攻撃シナリオ知識情報として予め定義された複数の攻撃シナリオと突合して、前記複数の個別攻撃パターンにより構成される前記攻撃シナリオを特定し、特定された前記攻撃シナリオを表す情報を含む第2の分析情報を生成する第2の分析処理部または過程と、生成された前記第1の分析情報および前記第2の分析情報を含む分析結果を出力する分析結果出力処理部または過程とを具備するものである。
この発明の一態様によれば、車載装置から発生された複数のセンサログデータをもとに、先ずセンサログデータの発生元となる車両の識別情報が同一で、かつ発生時刻が同一期間に含まれる複数のセンサログデータの組合せに着目して、個別攻撃パターンが特定される。次に、所定の期間内に得られる複数の個別攻撃パターンの組合せに着目して、攻撃シナリオが特定される。そして、特定された上記個別攻撃パターンおよび攻撃シナリオが、分析結果として出力される。

Claims (11)

  1. 車両に搭載された車載装置の動作状態に関係するセンサログデータを取得し分析する車両セキュリティ分析装置であって、
    前記センサログデータを取得し記憶するログデータ取得部と、
    記憶された複数の前記センサログデータのうち、同一の個別攻撃を構成する可能性がある複数の前記センサログデータの組合せを生成し、生成された前記センサログデータの組合せを個別攻撃知識情報として予め定義された複数の個別攻撃パターンと突合して対応する個別攻撃パターンを特定し、特定された前記個別攻撃パターンを表す情報を含む第1の分析情報を生成する第1の分析処理部と、
    所定の期間内に得られた複数の前記個別攻撃パターンを、攻撃シナリオ知識情報として予め定義された複数の攻撃シナリオと突合して、前記複数の個別攻撃パターンにより構成される前記攻撃シナリオを特定し、特定された前記攻撃シナリオを表す情報を含む第2の分析情報を生成する第2の分析処理部と、
    生成された前記第1の分析情報および前記第2の分析情報を含む分析結果を出力する分析結果出力処理部と
    を具備する車両セキュリティ分析装置。
  2. 記憶された複数の前記センサログデータの中から前記第1の分析処理部による前記個別攻撃の分析対象となるセンサログデータを選別し、選別された前記センサログデータを前記分析対象として前記第1の分析処理部に提供するログデータ事前処理部を、さらに具備する請求項1に記載の車両セキュリティ分析装置。
  3. 記憶された複数の前記センサログデータに、当該センサログデータの内容に基づいて前記個別攻撃パターンの分析に必要な拡張情報を付加し、前記拡張情報が付加された前記センサログデータを前記分析対象として前記第1の分析処理部に提供するログデータ事前処理部を、さらに具備する請求項1に記載の車両セキュリティ分析装置。
  4. 前記第1の分析処理部は、前記センサログデータの発生元となる車両の識別情報が同一で、かつ発生時刻が同一期間に含まれる複数の前記センサログデータを関連付けることにより、前記センサログデータの組合せを生成する、請求項1に記載の車両セキュリティ分析装置。
  5. 前記第1の分析処理部は、前記センサログデータに含まれるセンサ設置箇所およびセンサ種別を表す情報の少なくとも一方を複数の前記個別攻撃パターンと突合することにより、対応する前記個別攻撃パターンを特定する、請求項1に記載の車両セキュリティ分析装置。
  6. 前記第1の分析処理部は、特定された個別攻撃パターン毎に予め定義されたテンプレートに、前記個別攻撃パターンを構成する複数の前記センサログデータの内容を記載することにより、前記第1の分析情報を生成する、請求項1に記載の車両セキュリティ分析装置。
  7. 前記第1の分析処理部は、特定された前記個別攻撃パターンが前記攻撃シナリオの分析に提供すべき情報であるか否かを、攻撃シナリオの分析対象として予め定義された判定条件に基づいて判定し、提供すべきでない場合に当該個別攻撃パターンを前記第2の分析処理部に提供しない、請求項1に記載の車両セキュリティ分析装置。
  8. 前記第2の分析処理部は、複数の前記個別攻撃パターンを前記攻撃シナリオ知識情報として予め定義された複数の攻撃シナリオと突合して、前記個別攻撃パターンを含みかつ当該個別攻撃パターンの発生タイミングが所定期間に含まれる攻撃シナリオを特定する、請求項1に記載の車両セキュリティ分析装置。
  9. 前記第2の分析処理部は、特定された前記攻撃シナリオ毎に予め定義されたテンプレートに、前記攻撃シナリオに含まれる複数の前記個別攻撃パターンと、当該複数の個別攻撃パターンを構成するセンサログデータの内容を記載することにより、前記第2の分析情報を生成する、請求項1に記載の車両セキュリティ分析装置。
  10. 車両に搭載された車載装置の動作状態に関係するセンサログデータを取得し分析する装置が実行する車両セキュリティ分析方法であって、
    前記センサログデータを取得し記憶する過程と、
    記憶された複数の前記センサログデータのうち、同一の個別攻撃を構成する可能性がある複数の前記センサログデータの組合せを生成し、生成された前記センサログデータの組合せを個別攻撃の知識情報として予め定義された複数の個別攻撃パターンと突合して対応する個別攻撃パターンを特定し、特定された前記個別攻撃パターンを表す情報を含む第1の分析情報を生成する過程と、
    所定の期間内に得られた複数の前記個別攻撃パターンの組合せを、攻撃シナリオの知識情報として予め定義された複数の攻撃シナリオと突合して対応する攻撃シナリオを特定し、特定された前記攻撃シナリオを表す情報を含む第2の分析情報を生成する過程と、
    生成された前記第1の分析情報および前記第2の分析情報を含む分析結果を出力する過程と
    を具備する車両セキュリティ分析方法。
  11. 請求項1乃至9のいずれかに記載の車両セキュリティ分析装置が具備する前記各処理部の処理を、前記車両セキュリティ分析装置が備えるプロセッサに実行させるプログラム。
JP2021155773A 2021-09-24 2021-09-24 車両セキュリティ分析装置、方法およびそのプログラム Active JP7230146B1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021155773A JP7230146B1 (ja) 2021-09-24 2021-09-24 車両セキュリティ分析装置、方法およびそのプログラム
PCT/JP2022/035182 WO2023048185A1 (ja) 2021-09-24 2022-09-21 車両セキュリティ分析装置、方法およびそのプログラム
CN202280057250.1A CN117859128A (zh) 2021-09-24 2022-09-21 车辆安全分析装置、方法以及其程序

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021155773A JP7230146B1 (ja) 2021-09-24 2021-09-24 車両セキュリティ分析装置、方法およびそのプログラム

Publications (2)

Publication Number Publication Date
JP7230146B1 JP7230146B1 (ja) 2023-02-28
JP2023046923A true JP2023046923A (ja) 2023-04-05

Family

ID=85330631

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021155773A Active JP7230146B1 (ja) 2021-09-24 2021-09-24 車両セキュリティ分析装置、方法およびそのプログラム

Country Status (3)

Country Link
JP (1) JP7230146B1 (ja)
CN (1) CN117859128A (ja)
WO (1) WO2023048185A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116846623B (zh) * 2023-06-27 2024-05-03 广东为辰信息科技有限公司 针对车辆安全事件的关联分析方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018185712A (ja) * 2017-04-27 2018-11-22 株式会社日立製作所 セキュリティ監視システム及びセキュリティ監視方法
JP2019037002A (ja) * 2018-11-22 2019-03-07 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
JP2019102023A (ja) * 2017-12-08 2019-06-24 パナソニックIpマネジメント株式会社 システム及び方法
WO2019151406A1 (ja) * 2018-02-02 2019-08-08 クラリオン株式会社 車載装置、インシデント監視方法
WO2020202934A1 (ja) * 2019-03-29 2020-10-08 株式会社日立製作所 リスク評価対策立案システム及びリスク評価対策立案方法
WO2020212093A1 (en) * 2019-04-18 2020-10-22 International Business Machines Corporation Detecting sensitive data exposure via logging
WO2021084961A1 (ja) * 2019-10-29 2021-05-06 日立Astemo株式会社 分析装置及び分析方法
WO2021144859A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 侵入経路分析装置および侵入経路分析方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7139257B2 (ja) 2019-01-21 2022-09-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 車両セキュリティ監視装置、方法及びプログラム
JP7255710B2 (ja) * 2019-12-25 2023-04-11 株式会社デンソー 攻撃監視用センター装置、及び攻撃監視用端末装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018185712A (ja) * 2017-04-27 2018-11-22 株式会社日立製作所 セキュリティ監視システム及びセキュリティ監視方法
JP2019102023A (ja) * 2017-12-08 2019-06-24 パナソニックIpマネジメント株式会社 システム及び方法
WO2019151406A1 (ja) * 2018-02-02 2019-08-08 クラリオン株式会社 車載装置、インシデント監視方法
JP2019037002A (ja) * 2018-11-22 2019-03-07 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
WO2020202934A1 (ja) * 2019-03-29 2020-10-08 株式会社日立製作所 リスク評価対策立案システム及びリスク評価対策立案方法
WO2020212093A1 (en) * 2019-04-18 2020-10-22 International Business Machines Corporation Detecting sensitive data exposure via logging
WO2021084961A1 (ja) * 2019-10-29 2021-05-06 日立Astemo株式会社 分析装置及び分析方法
WO2021144859A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 侵入経路分析装置および侵入経路分析方法

Also Published As

Publication number Publication date
CN117859128A (zh) 2024-04-09
WO2023048185A1 (ja) 2023-03-30
JP7230146B1 (ja) 2023-02-28

Similar Documents

Publication Publication Date Title
JP7247089B2 (ja) 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
KR102506931B1 (ko) 전자화 장비 보안 검사 시스템 및 그 방법
US20200186560A1 (en) System and method for time based anomaly detection in an in-vehicle communication network
EP3915843A1 (en) Vehicle security monitoring device, method, and program
EP3393086B1 (en) Security processing method and server
US20240073233A1 (en) System and method for providing security to in-vehicle network
US20180351980A1 (en) System and method for providing fleet cyber-security
CN106828362B (zh) 汽车信息的安全测试方法及装置
JPWO2020075800A1 (ja) 分析装置、分析システム、分析方法及びプログラム
US20200183373A1 (en) Method for detecting anomalies in controller area network of vehicle and apparatus for the same
JP2018160786A (ja) 監視装置、監視方法およびコンピュータプログラム
WO2020075809A1 (ja) 情報処理装置、データ分析方法及びプログラム
DE102020215586A1 (de) Ein system und verfahren für network intrusion detection auf basis von physikalischen messungen
WO2023048185A1 (ja) 車両セキュリティ分析装置、方法およびそのプログラム
US11683336B2 (en) System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network
US11356468B2 (en) System and method for using inventory rules to identify devices of a computer network
WO2020075808A1 (ja) 情報処理装置、ログ分析方法及びプログラム
WO2020079896A1 (ja) 情報処理装置、情報処理方法及びプログラム
JP7230147B1 (ja) 車両セキュリティ分析装置、方法およびそのプログラム
WO2023223515A1 (ja) 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム
Olt Establishing security operation centers for connected cars
US20230379344A1 (en) Information processing system, information processing method, and program
WO2023170995A1 (ja) 車両診断システム
WO2023021840A1 (ja) 検知ルール出力方法、及び、セキュリティシステム
WO2018029692A1 (en) System and method for prevention of attacks in connected vehicles

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210924

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20210928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20210928

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230215

R150 Certificate of patent or registration of utility model

Ref document number: 7230146

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150