JP2023132005A - 車両診断システム - Google Patents

車両診断システム Download PDF

Info

Publication number
JP2023132005A
JP2023132005A JP2022037078A JP2022037078A JP2023132005A JP 2023132005 A JP2023132005 A JP 2023132005A JP 2022037078 A JP2022037078 A JP 2022037078A JP 2022037078 A JP2022037078 A JP 2022037078A JP 2023132005 A JP2023132005 A JP 2023132005A
Authority
JP
Japan
Prior art keywords
log
vehicle
communication
history
diagnostic system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022037078A
Other languages
English (en)
Inventor
恒太 井手口
Kota Ideguchi
晋也 笹
Shinya Sasa
隆 山口
Takashi Yamaguchi
康広 藤井
Yasuhiro Fujii
伸義 森田
Nobuyoshi Morita
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2022037078A priority Critical patent/JP2023132005A/ja
Priority to PCT/JP2022/030313 priority patent/WO2023170995A1/ja
Priority to CN202280090208.XA priority patent/CN118613795A/zh
Publication of JP2023132005A publication Critical patent/JP2023132005A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01MTESTING STATIC OR DYNAMIC BALANCE OF MACHINES OR STRUCTURES; TESTING OF STRUCTURES OR APPARATUS, NOT OTHERWISE PROVIDED FOR
    • G01M17/00Testing of vehicles
    • G01M17/007Wheeled or endless-tracked vehicles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】車両に生じた異常が攻撃によるものなのか単なる故障なのかを容易に診断する。【解決手段】診断サーバ1は、車両3内のECU32に対して所定の処理の実施を要求する要求信号に対してECU32が該所定の処理を実施したか否かを示す第1ログの履歴を取得するログ取得部13と、履歴に、所定の処理が実施されなかったことを示す不実施ログが含まれていた場合に、該不実施ログに対応する要求信号の送信に利用された通信の正当性を判定する通信判定部15と、を有する。【選択図】図2

Description

本発明は、車両診断システムに関し、特に、車両の機器に異常またはその兆候が生じた場合に、該異常の原因を特定するための診断システムに関する。
あらゆるモノがインターネットに繋がるIoT化が進む中、自動車業界においてもコネクテッドカーや自動運転車等IoT化が進められている。しかし、こういった自動車のIoT化は、利便性をもたらす反面、インターネットを介したサイバー攻撃の危険性をも高めることになる。
車両に対するサイバー攻撃を検知する技術に関して、特許文献1~3が挙げられる。特許文献1には、車両等のハッキング被害を抑制する車両診断装置に関する技術が記載されている。特許文献2には、車両ログから攻撃者による不審な挙動を検知し異常車両を検出する技術が記載されている。特許文献3には、車両から外部サーバへ送信する車両ログの解析に関する技術が記載されている。
特開第2021-079855号公報 国際公開第2021/038870号 再公表特許第2020/110414号公報
車両がサイバー攻撃を受けると、当然に車両の一部の機器に何等かの異常が生じる。しかし、近年のサイバー攻撃はその手口が巧妙になっていることもあり、異常が生じた車両の所有者は、当該異常が単に故障によるものだと判断する可能性が高い。このように判断した所有者は、整備工場に車両を持ち込んだり、カスタマーセンターに故障クレームとして報告したりすると考えられ、車両の提供者側はその対応をする必要がある。
しかしながら、車両に生じた異常がサイバー攻撃によるものだったにも関わらず単に故障によるものとして取り扱われた場合には、所有者はサイバー攻撃を受けたことを認識できず、攻撃者によるさらなる攻撃にさらされる危険性が高まる。また、後の検査段階等で異常がサイバー攻撃によるものであると判明した場合であっても、異常が生じた時点からすでに長時間経過していることも多いと考えられ、判明するまでの間に攻撃者によるさらなる攻撃をすでに受けていることもあり得る。したがって、車両に生じた異常がサイバー攻撃によるものかどうかを、迅速に判断することが要求される。
サイバー攻撃と単なる故障とを切り分けて判断するには、車両の提供者が例えばPSIRT(Product Security Incident Response Team)を設置し、自社の製品およびサービスのセキュリティレベル向上を目的とした安全管理、セキュリティ面におけるユーザーサポート、そして製品/サービスに関連するインシデントが発生したときの対応に備える必要があるが、これは時間もコストも増加させてしまう。
特許文献1~3に記載の技術もハッキング等車両に生じた異常を診断する技術に関するが、これらによっても車両に生じた異常が攻撃によるものなのか単なる故障なのかを切り分けて判断することはできない。
本発明は、上記課題に鑑みてなされたものであり、多大な時間やコストをかけずとも、車両に生じた異常やその兆候が攻撃によるものなのか単なる故障なのかを容易に診断することを目的とする。
上記課題を解決するために、本発明に係る車両診断システムは、車両内の機器に対して所定の処理の実施を要求する要求信号に対して該機器が該所定の処理を実施したか否かを示す第1ログの履歴を取得するログ取得部と、履歴に、所定の処理が実施されなかったことを示す不実施ログが含まれていた場合に、該不実施ログに対応する要求信号の送信に利用された通信の正当性を判定する通信判定部と、を有する。
本発明によれば、従来のように多大な時間やコストをかけずとも、車両に生じた異常やその兆候が攻撃によるものなのか単なる故障なのかを容易に診断することが可能になる。
本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
自動車供給に係る各フェーズ中保守フェーズにおいて各部門/組織に求められる運用を示す全体概要図。 本発明に係る車両診断システムが適用される診断サーバ及び車両の構成を示すブロック図。 本発明において取り扱われる各データのデータ構造を説明するための図。 診断サーバ、車両及び攻撃者が実施する処理の関係性を示すシーケンス図。 車両内のECUに故障が発生した場合に想定される処理の一覧。 車両内のECUが攻撃された場合に想定される処理の一覧。 ログ取得部が行う処理を示すフローチャート。 実施例1において車両診断システムが行う処理を示すフローチャート。 実施例2において車両診断システムが行う処理を示すフローチャート。
以下、図面に沿って実施例を説明する。
図1は、自動車供給に係る各フェーズ中保守フェーズにおいて各部門/組織に求められる運用を示す全体概要図である。
自動車の供給者は、需要者に自動車を供給する際に通常図1に示すような設計~保守のフェーズの運用を行う。この中で、近年は特に保守フェーズにおける顧客対応の多様化が求められている。
具体的には、顧客は、所有する車両に異常が生じた場合には上述したようにまずは故障が生じたと考え、カスタマーセンターに報告する。その後は、図示のようにカスタマーセンターから品質保証部門、開発部門、及びサプライヤに対して各種依頼/情報が伝達され、製品の改修及び調査結果の顧客への回答等が行われる。
また、上記処理と並行して、ディーラーや整備工場等の外部組織や、車両の出荷後における運用中のセキュリティを管理するVSOC(Vehicle Security Operation Center)から脅威・脆弱性情報やインシデント情報(セキュリティイベントに関するログ等)が検出された場合には、上述したPSIRTへと報告され、PSIRTからも品質保証部門、開発部門及びサプライヤへと情報が伝達される。
このように、前述のようにセキュリティ確保の観点からPSIRTを設置した場合には、車両になんらかの異常もしくはその可能性が生じた場合に、最初に報告を受ける窓口が分散することにもなり、故障とサイバー攻撃との切り分け業務に関する工数が増加し、車両異常への対応の遅延につながっている。
本発明はこうした背景を基になされたものである。図2に、本発明に係る車両診断システムの適用対象に関する概要図を示す。
本発明に係る車両診断システムは、例えばクラウド上の診断サーバ1上に実装される。診断サーバ1は、ネットワーク2を介して車両3と接続されている。車両診断システムとしてはクラウド上に実装されるものに限られず、CPU及びメモリを備えたハードウェアとして個々の車両内に搭載されるものを採用してもよい。
診断サーバ1は、通信部11、リクエストメッセージ生成部12、ログ取得部13、ログ処理部14、通信判定部15、異常特定部16、及び車両診断履歴記憶部17を有する。車両3は、通信部31と、複数のECU32を有する。ECU32は、自己診断が可能な各種制御系に関する機器である。
診断サーバ1の通信部11は、車両3の各ECU32に対してリクエストメッセージを送信し、各ECU32からレスポンスメッセージを受信する。リクエストメッセージ生成部12はこのリクエストメッセージを生成する。ログ取得部13は、車両3から受信した情報をログとして記録する。
ここで、リクエストメッセージ及びレスポンスメッセージ、並びにログ取得部13が取得するログの内容について図3を用いて説明する。まず、リクエストメッセージは、車両3の各ECU32に対して、自己診断等所定の処理の実施を要求するための指令信号であり、図3(a)に示すように、要求する処理の大枠を示す、1バイトの識別番号(SID)を含む。また、選択的に、要求する処理の詳細を示す、1バイトの識別番号(Sub function)、要求する処理の対象を示す、1~2バイトのID番号(Data ID)、及び処理の実施に必要な、上記以外のデータ(Data)を含む。
車両3内の各ECU32は、リクエストメッセージの受信に応じて処理の実施を試行し、その結果としてレスポンスメッセージを生成、診断サーバ1に送信する。レスポンスメッセージは、ECU32が要求された処理を実施できた場合には図3(b)のポジティブレスポンスメッセージであり、ECU32が要求された処理を実施できなかった場合には図3(c)のネガティブレスポンスメッセージである。
ポジティブレスポンスメッセージは、SIDと、要求された処理を実施した結果等を含む。具体的には、要求された処理詳細の値をそのまま復唱する[Sub function]、要求されたデータIDの値をそのまま復唱する[Data ID]、及び処理を実施した結果得られたデータを示す[Data]を含む。
ネガティブレスポンスメッセージは、ネガティブレスポンスであることを示す識別番号(SID:0x7Fで固定)と、実施できなかった処理のSIDRQと、実施できなかった理由を示すコード番号であるネガティブレスポンスコード(NRC)を含む。NRCは、ISO 14229-1にて定義される1バイトのコードであり、タイムアウト等単に処理を実施できなかった場合を示すコードの他、認証の多数回失敗や証明書検証失敗など、セキュリティ関連のエラーコードも含まれる。
また、上記のリクエストメッセージ及びレスポンスメッセージは、UDS(Unified Diagnostic Services)通信を利用して送受信される。UDSとは、ISO14229に準拠する、実務に利用した経験を踏まえてKWPを大幅に改良した、新しいダイアグ通信仕様の枠組みであり、仕様が整理され、標準化の範囲が大きく広げられた通信プロトコルである。近年においては特に車両診断の分野に用いられており、低位層であるCAN上にセッション層として実装される。
上述したレスポンスメッセージに関する情報を、ログ取得部13は、車両3の各ECUが要求された処理を実施できたか否かを示す第1ログとして取得する。リクエストメッセージは、1台のECU32に対して複数回生成されることもあれば、複数のECU32に対して生成されることもあり、したがってログ取得部13は、上記の情報を第1ログの履歴としてタイムスタンプとともに取得し、保存する。この履歴には、各ECU32へアクセスする際に利用されたUDS通信の内容に関する情報も含まれる。ログ取得部13が行う処理については図7のフローチャートに示されている。ステップ701でECU32に対しリクエストメッセージを送信し、ステップ702でECU32からレスポンスメッセージを受信し、ステップ703でログ情報としてログ取得部13内に記録している。
ログ取得部13はまた、ECU32になんらかの異常が生じた場合に生成される、該異常の種類を示す診断故障コード(DTC:Diagnosis Trouble Code)を第2ログとして取得し、保存することも可能である。DTCとは、車両の異常状態を表す3バイトのコードであり、ISO 15031-6にて定義されている。DTCは、図3(d)に示すようなデータ構造を有する。
DTCコードには標準化されたパラメータ領域とOEM定義のパラメータ領域があり、後者はOEMが独自に利用可能である。DTCにおいては、1バイトのステータスフラグ(FTB:Failure Type Byte)で該当DTCコードの状態(確定故障か未確定故障かなど)を表す。
また、DTCは、異常の原因究明のために、DTC発生時のECU制御データを記録するDTCスナップショットデータや、故障発生頻度や最初の発生時のオドメータ値などを記録するDTC拡張データを含むこともある。
ログ取得部13は、第1ログと同様に1台のECU及び/又は複数のECUにおいて生成されたDTCに関する情報を第2ログの履歴としてタイムスタンプとともに取得し、ログ取得部13内に記憶する。
ログ取得部13によって取得、記憶されたログは、ログ処理部14によって処理される。ログ処理部14は、上記のログのタイムスタンプを参照し、時系列に沿って抽出して並べ替え、ログ時系列データを生成する。
通信判定部15は、第1ログに、任意のECU32が、所定の処理を実施できなかったことを示す不実施ログが含まれていた場合、すなわちNRCが含まれていた場合に、このNRCが含まれるネガティブレスポンスメッセージに対応する処理の実施を要求した要求信号の送信に利用されたUDS通信の正当性を判定する。この判定方法については後述する。
異常特定部16は、通信判定部15によって不正な利用であると判定されたUDS通信が存在する場合に、その原因を特定する。
車両診断履歴記憶部17は、各車両3が、過去に実施した車両診断の履歴を保存する。この履歴は、通信判定部15によって、UDS通信の正当性の判定のために用いられる。また、この履歴については、ディーラー、整備工場、サプライヤからリアルタイムで取得できる。
次に、本実施例に係る診断サーバ、車両内ECU、及び攻撃者との間に発生しうるイベント(故障、攻撃)の一例について図4を用いて説明する。
前述のように、近年においては車両に対するサイバー攻撃が問題となっているが、攻撃者は車両に対するサイバー攻撃を仕掛ける際に上述したUDS通信を用いることが多い。これは、UDS通信は各ECUの機能を診断するという性質上管理者権限を有するといえるものであり、攻撃者からするとこの通信を利用することで各ECUに直接攻撃を仕掛けることが可能になるからである。
図4において、まず、ステップ401でECU32に故障が生じると、DTCコードが発行され、そのECUに記録される(ステップ402)。このDTCは自動で消去されることはなく、従って後にログとして取得することができる。
次に、攻撃者が何等かの理由でUDS通信を不正に利用し、ECU32にサイバー攻撃を仕掛けたとする(ステップ403)。この攻撃は必ずしも成功するとは限らない。それは、ECU32側が、UDS通信によるアクセスを検知すると、チャレンジ&レスポンス認証を行い、その結果ハッシュ値が一致せずに攻撃者のその後のアクセスを拒否する場合もあるからである。この場合には、上述したNRCを生成し、ネガティブレスポンスメッセージとして攻撃者に送信する(ステップ404、405)。また、この生成されたNRC及び攻撃者によって不正に利用されたUDS通信に関する情報もECU32内に記録される。
その後、診断サーバ1から、正常なUDS通信の利用によってECU32にリクエストメッセージが送信されたとする(ステップ406)。さらに、このリクエストメッセージに対して、なんらかの理由でECUによる処理が実施されず、NRCが生成されたと想定する(ステップ407)。すると、このNRCを含むネガティブレスポンスメッセージが診断サーバ1へと送信される(ステップ408)。診断サーバ1は、上述した一連の情報について、ログ情報として記録する(ステップ409)。
図4においては、生じ得るイベントとして、ECU32に故障が生じ、攻撃者による攻撃を受けたがその攻撃は失敗してNRCが生成され、診断サーバ1からのリクエストメッセージに対してNRCが生成される、という一連のフローを説明した。
上述したような、生じ得るイベントを網羅したものを図5及び図6に示す。図5は、ECU32に故障が生じた場合を示し、図6は攻撃者から攻撃を受けた場合を示している。
図5(a)については、図4中ステップ401、402に対応しており、図示は省略しているがその後リクエストメッセージに対してポジティブレスポンスメッセージが返信される例である。図5(b)については、図4中ステップ401、402が連続して生じる場合である。これはたとえば、セントラルECUに故障が生じた場合に、ゾーンECUにも故障が波及するような場合である。
図5(c)は、図4中ステップ401、402、406、407及び408のフローを経過した場合を示している。このように、ECU32に故障が生じた場合かつNRC応答が生じる場合には、利用されるUDS通信は正常なものであると想定される。
次に、攻撃者から攻撃を受けた場合について図6を用いて説明する。まず図6(a)は、攻撃者がUDS通信を用いずに(例えば物理的に)攻撃を仕掛けた場合である。この場合にはUDSの利用については何ら記録されず、ECUに異常が生じた場合にはDTCが発行されて記録される。
図6(b)は、図4中のステップ403、404、及び405に対応する場合である。図6(c)は、その後にECUに異常が生じ、ECUにDTCが記録された場合である。これは例えば、攻撃者による攻撃が長時間続き、当初はアクセスが拒否されてNRCが生成される状態だったがなんらかの理由で攻撃が成功した場合が考えられる。
図6(d)は、攻撃者による攻撃が成功し、ECUに異常が生じてDTCが記録された後、その後不正なUDS利用と判定されてNRCが発行された場合である。例えば、攻撃者がまず車両内のカーナビゲーションシステムに攻撃を与え、これが成功した場合にはカーナビゲーションシステムにおいてはDTCが記録される。その後、攻撃者は今度はカーナビゲーションシステムを介してセントラルゲートウェイに攻撃を与えたが、これは失敗した、というような場合である。図6(e)及び(f)については、上述したパターンが組み合わされた場合を示す。
図6から理解される通り、攻撃者による攻撃が生じた場合にNRC応答が生じるのは、不正なUDS通信の利用がされた場合である。したがって、このことを利用することによって、ECUに異常が生じた場合に、異常の原因が故障によるものなのか、攻撃によるものなのか切り分けることが可能になる。なお、NRC応答がない場合(図5(a)、(b)及び図6(a)並びに図6(e)及び(f)の一部)については、従来通りの方法で故障及び攻撃の切り分けを行う。
上記の、NRC応答があった場合に故障及び攻撃を切り分ける方法について図8のフローチャートを用いて説明する。まず、ステップ801において、ログ処理部14は、ログ取得部13が取得したログ情報について、時系列に沿って並べ替え、ログ時系列データを生成する。ステップ802において、ログ処理部14は、ログ時系列データから、正常なUDS通信に基づくNRCログを削除する。正常なUDS通信は、診断サーバ1の車両診断履歴記憶部17に保存されている車両診断の履歴を参照することで判定できる。つまり、車両診断の履歴には、その時点までに、ディーラー、整備工場、及びサプライヤ等、正当な権限を有する者によって実施された診断情報が記録されているため、例えばNRCが生成された時のタイムスタンプと、診断情報に含まれるタイムスタンプとを照合することによって、そのUDS通信が正当な利用であるかどうかを判定することができる。これを図4にあてはめると、診断サーバ1からの正常UDS通信の利用によって送信されたリクエストメッセージに対して、ステップ407で生成されたNRCは削除されることになる。このようにしてログ処理部14は修正ログ時系列データを生成する。
修正ログ時系列データは通信判定部15へと送られる。ステップ803において通信判定部15は、修正ログ時系列データに、なおNRCログが存在しているか判定する(ステップ803)。NRCログが最早存在しない場合には処理を終了する。NRCログが存在する場合には、異常特定部16は、ステップ804に移行してNRCの生成源(攻撃源)を特定する。これは、図4に当てはめると、修正ログ時系列データには、ステップ403の、攻撃者によるUDS通信を不正に利用したサイバー攻撃に応答してステップ404で生成されたNRCログが存在していることになり、従って通信判定部15は、このステップ403におけるUDS通信を不正な利用であると判定することが可能になる。そして、異常特定部16はステップ805において、このUDS通信の不正利用に関する異常情報を記録する。
このように、本実施例においては、車両内のECUがNRCを生成した場合に、該NRCに対応するUDS通信の利用の正当性を判定することのみによって故障及び攻撃の切り分けを行っている。したがって、従来のように、各部門に実際に異常が生じた製品を送り込んで分析したりPSIRTによる調査を行ったりせずとも、容易かつ迅速に異常の原因を特定することが可能になる。
上記の例は、NRCに関する第1ログのみ用いていたが、DTCに関する第2ログを用いると図9に示す処理フローとなる。図9に示す処理は、図8に示す処理に加えて、ステップ901から904に示す処理を実施する。
ステップ803にて修正ログ時系列データにNRCログが存在すると判定された場合に、ログ取得部13は、上述したDTCに関する第2ログを取得する(ステップ901)。そして、当該ログを通信判定部15へと送信し、UDS通信の誤検知があったか否かを判定する(ステップ902)。例えば、DTCが発行される1つの原因として、ECUに実装されている診断プログラム(UDS通信を利用するプログラム)が、ECU故障の影響で起動してしまい、UDS通信が実施される、というものがある。このUDS通信の利用は、攻撃者によるUDS通信の不正利用ではないものの、車両診断履歴に記録されておらず、ゆえに不正なUDS通信の利用とみなされてしまう可能性がある。
従って、DTCの示す内容を検証し、不正なUDS通信の利用であると判定されていたが、攻撃者による不正な利用ではないと判定されたUDS通信に対応するNRCについては、これを削除する(ステップ903)。その後はステップ904において再びNRCログが存在するか否かを判定し、存在する場合にはステップ804へと移行しNRCの発信源(攻撃源)を特定する。ステップ902で通信の誤検知がないと判定された場合も同様である。
このように、NRCに関する第1ログに加えて、DTCに関する第2ログをも考慮することによって、より精度良く故障及び攻撃の切り分けを行うことが可能になる。
なお、本実施例においてはNRCを第1ログとして取得する例を説明したが、ECUが処理を正常に実施したことを示すPRC(Positive Response Code)を第1ログとして取得することもできる。ただし、PRCはNRCよりも発行される頻度が高く、それゆえに通常は揮発的に記憶されること、発行の頻度が高いゆえに誤検知の可能性が高まることに留意する必要がある。
以上で説明した本発明の実施例によれば、以下の作用効果を奏する。
(1)本発明に係る車両診断システムは、車両内の機器に対して所定の処理の実施を要求する要求信号に対して該機器が該所定の処理を実施したか否かを示す第1ログの履歴を取得するログ取得部と、履歴に、所定の処理が実施されなかったことを示す不実施ログが含まれていた場合に、該不実施ログに対応する要求信号の送信に利用された通信の正当性を判定する通信判定部と、を有する。
上記構成により、多大な時間やコストをかけずとも、車両に生じた異常が攻撃によるものなのか単なる故障なのかを容易に診断することが可能になる。
(2)履歴を時系列に沿って抽出してログ時系列データを生成するログ処理部と、車両に実施された車両診断履歴を記憶する車両診断履歴記憶部と、をさらに有し、通信判定部は、ログ時系列データと車両診断履歴とを照合し、不実施ログに対応する記録が車両診断履歴内に存在する場合に、該不実施ログに対応する通信を正当であると判定する。車両の診断履歴は容易に収集することが可能であるため、複雑な処理を要さずにUDS通信の正当性を判定できる。
(3)ログ処理部は、ログ時系列データから、通信判定部によって正当であると判定された通信に対応する第1ログを削除して修正ログ時系列データを生成し、通信判定部は、修正ログ時系列データに不実施ログがさらに含まれていた場合に、該不実施ログに対応する通信を不正であると判定する。通信判定部によって正当であると判定された通信に対応する第1ログのみ削除するため、不正な通信に基づく第1ログを削除することなく、当初のログ時系列データよりもデータ容量を抑えつつ、扱いやすく、かつ信頼性の高い修正ログ時系列データを生成し、管理することが可能になる。
(4)ログ取得部は、機器に異常が生じた際に生成される、該異常の種類を示す第2ログの履歴をさらに取得し、通信判定部は、修正ログ時系列データに不実施ログがさらに含まれていた場合に、第2ログに基づいて、該不実施ログに対応する通信の正当性を再判定する。このように、NRCに関する第1ログに加えてDTCに関する第2ログをも考慮することで、より精度良くUDS通信の正当性を判定できる。
なお、本発明は、上記の実施例に限定されるものではなく、様々な変形が可能である。例えば、上記の実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、本発明は、必ずしも説明した全ての構成を備える態様に限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能である。また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、削除したり、他の構成を追加・置換したりすることが可能である。
1 診断サーバ(車両診断システム)、3 車両、13 ログ取得部、14 ログ処理部、15 通信判定部、17 車両診断履歴記憶部

Claims (4)

  1. 車両内の機器に対して所定の処理の実施を要求する要求信号に対して該機器が該所定の処理を実施したか否かを示す第1ログの履歴を取得するログ取得部と、
    前記履歴に、前記所定の処理が実施されなかったことを示す不実施ログが含まれていた場合に、該不実施ログに対応する前記要求信号の送信に利用された通信の正当性を判定する通信判定部と、を有する、
    ことを特徴とする車両診断システム。
  2. 請求項1に記載の車両診断システムであって、
    前記履歴を時系列に沿って抽出してログ時系列データを生成するログ処理部と、
    前記車両に実施された車両診断履歴を記憶する車両診断履歴記憶部と、をさらに有し、
    前記通信判定部は、前記ログ時系列データと前記車両診断履歴とを照合し、前記不実施ログに対応する記録が前記車両診断履歴内に存在する場合に、該不実施ログに対応する通信を正当であると判定する、
    ことを特徴とする車両診断システム。
  3. 請求項2に記載の車両診断システムであって、
    前記ログ処理部は、前記ログ時系列データから、前記通信判定部によって正当であると判定された前記通信に対応する前記第1ログを削除して修正ログ時系列データを生成し、
    前記通信判定部は、前記修正ログ時系列データに前記不実施ログがさらに含まれていた場合に、該不実施ログに対応する前記通信を不正であると判定する、
    ことを特徴とする車両診断システム。
  4. 請求項3に記載の車両診断システムであって、
    前記ログ取得部は、前記機器に異常が生じた際に生成される、該異常の種類を示す第2ログの履歴をさらに取得し、
    前記通信判定部は、前記修正ログ時系列データに前記不実施ログがさらに含まれていた場合に、前記第2ログに基づいて、該不実施ログに対応する前記通信の正当性を再判定する、
    ことを特徴とする車両診断システム。

JP2022037078A 2022-03-10 2022-03-10 車両診断システム Pending JP2023132005A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2022037078A JP2023132005A (ja) 2022-03-10 2022-03-10 車両診断システム
PCT/JP2022/030313 WO2023170995A1 (ja) 2022-03-10 2022-08-08 車両診断システム
CN202280090208.XA CN118613795A (zh) 2022-03-10 2022-08-08 车辆诊断系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022037078A JP2023132005A (ja) 2022-03-10 2022-03-10 車両診断システム

Publications (1)

Publication Number Publication Date
JP2023132005A true JP2023132005A (ja) 2023-09-22

Family

ID=87936413

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022037078A Pending JP2023132005A (ja) 2022-03-10 2022-03-10 車両診断システム

Country Status (3)

Country Link
JP (1) JP2023132005A (ja)
CN (1) CN118613795A (ja)
WO (1) WO2023170995A1 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180300477A1 (en) * 2017-04-13 2018-10-18 Argus Cyber Security Ltd. In-vehicle cyber protection
JP7000271B2 (ja) * 2018-07-25 2022-01-19 株式会社日立製作所 車両不正アクセス対策装置、及び車両不正アクセス対策方法
WO2020075801A1 (ja) * 2018-10-11 2020-04-16 日本電信電話株式会社 情報処理装置、異常分析方法及びプログラム
JP7102315B2 (ja) * 2018-10-12 2022-07-19 株式会社東芝 異常要因判定装置、制御システム、および異常要因判定方法
JP7255710B2 (ja) * 2019-12-25 2023-04-11 株式会社デンソー 攻撃監視用センター装置、及び攻撃監視用端末装置
JP7359002B2 (ja) * 2020-01-23 2023-10-11 株式会社デンソー サイバー攻撃分析支援装置
JP7409247B2 (ja) * 2020-07-14 2024-01-09 株式会社デンソー 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム

Also Published As

Publication number Publication date
WO2023170995A1 (ja) 2023-09-14
CN118613795A (zh) 2024-09-06

Similar Documents

Publication Publication Date Title
KR102506931B1 (ko) 전자화 장비 보안 검사 시스템 및 그 방법
CN111698255B (zh) 一种业务数据传输方法、设备及系统
KR100843781B1 (ko) 보수·진단 데이터 축적 서버, 보수·진단 데이터의축적·취득 시스템, 보수·진단 데이터의 축적·제공 시스템
US20170255777A1 (en) Methods and apparatus for identifying and removing malicious applications
KR20200103643A (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
EP3726796A1 (en) System and method for providing secure in-vehicle network
CN110881059B (zh) 一种应用部署系统、方法、发布引擎及计算机设备
CN111083132B (zh) 一种具有敏感数据的web应用的安全访问方法及系统
JP2023515379A (ja) 車両内ネットワークに対する侵入検知のためのシステム及びその実行方法
US20240236131A1 (en) Vehicle security analysis apparatus, and method and program storage medium
JP2016127299A (ja) 中継装置及びネットワーク構築方法
US12039050B2 (en) Information processing device
WO2023170995A1 (ja) 車両診断システム
CN109582454A (zh) 一种分布式存储集群中的权限释放控制方法、装置及设备
KR20210103972A (ko) 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법
WO2024195152A1 (ja) 攻撃分析装置
CN113726728B (zh) 一种安全防护系统及应用系统改造处理方法、装置
Tratter et al. Shared Mobility for Transport and Its Environmental Impact VeSIPreS: A Vehicular Soft Integrity Preservation Scheme for Shared Mobility
US20240236139A1 (en) Vehicle security analysis apparatus, method, and program storage medium
KR102060774B1 (ko) 전자기기의 장애 대응 시스템 및 방법
Strandberg et al. The Automotive BlackBox: Towards a Standardization of Automotive Digital Forensics
WO2021035429A1 (en) Method and system for security management on a mobile storage device
CN118631547A (zh) 端口的访问方法、装置、存储介质和处理器
Cerdeira Security assurance of an In-vehicle HMI Manager: specifying certifiable software for In-vehicle infotainment systems
Shan et al. Safety-security co-analysis with stpa: A case study on connected cars

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20220606

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240229