JP2023170125A - セキュリティ方法、および、セキュリティ装置 - Google Patents

セキュリティ方法、および、セキュリティ装置 Download PDF

Info

Publication number
JP2023170125A
JP2023170125A JP2022081617A JP2022081617A JP2023170125A JP 2023170125 A JP2023170125 A JP 2023170125A JP 2022081617 A JP2022081617 A JP 2022081617A JP 2022081617 A JP2022081617 A JP 2022081617A JP 2023170125 A JP2023170125 A JP 2023170125A
Authority
JP
Japan
Prior art keywords
software
ecu
update
unit
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022081617A
Other languages
English (en)
Inventor
薫 横田
Kaoru Yokota
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2022081617A priority Critical patent/JP2023170125A/ja
Priority to DE102023110645.7A priority patent/DE102023110645A1/de
Priority to US18/143,344 priority patent/US20230401317A1/en
Publication of JP2023170125A publication Critical patent/JP2023170125A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】車両が攻撃を受けた際にも、車両の運転機能に制限をかけずに当該攻撃に対処できるセキュリティ方法などを提供する。【解決手段】本開示の一態様に係るセキュリティ方法は、車載通信ネットワークにおいて不正コマンドが検知された場合(S310で「異常検知ログ」)、不正コマンドを送信可能なECU(Electronic Control Unit)を特定し(S320)、特定されたECUに、特定されたECUが用いるソフトウェアの更新を実行させ(S330)、ソフトウェアの更新を実行させた後、特定されたECUがソフトウェアの更新を実行することを禁止させる(S340)。【選択図】図6

Description

本開示は、セキュリティ方法、および、セキュリティ装置に関する。
従来、車載通信ネットワークなどの通信ネットワークにおけるセキュリティを提供するシステムがある。
特許文献1には、車両への攻撃を検知したときに、攻撃が車両の各制御に与える影響に応じて、各制御に抑制をかける装置が開示されている。
特開2019-75056号公報
しかしながら、特許文献1に開示されている装置では、応急処置的には攻撃を回避できるが、脆弱性の解析またはセキュリティパッチの作成などの恒久対応が行われるまで車両の使用ができなくなる虞がある。これでは、攻撃を受けた車両は、運転自体ができなくなったり、一部の機能が使用不能になったり、修理のためにサービスセンターなどに持ち込まなければならないなどの不具合が生じる。
本開示は、車両が攻撃を受けた際にも、車両の運転機能に制限をかけずに当該攻撃に対処できるセキュリティ方法などを提供する。
本開示の一態様に係るセキュリティ方法は、車載通信ネットワークにおいて不正コマンドが検知された場合、前記不正コマンドを送信可能なECU(Electronic Control Unit)を特定し、特定された前記ECUに、特定された前記ECUが用いるソフトウェアの更新を実行させ、前記ソフトウェアの更新を実行させた後、特定された前記ECUが前記ソフトウェアの更新を実行することを禁止させる。
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
本開示の一態様に係るセキュリティ方法などによれば、車両が攻撃を受けた際にも、車両の運転機能に制限をかけずに当該攻撃に対処できる。
図1は、実施の形態に係るセキュリティシステムの概略図である。 図2は、実施の形態に係る車両の構成を示すブロック図である。 図3は、実施の形態に係るセキュリティ装置の構成を示すブロック図である。 図4は、実施の形態に係るセキュリティシステムにおけるソフトウェアの更新の無効化の処理手順を示すシーケンス図である。 図5は、実施の形態に係るセキュリティシステムにおけるソフトウェアの更新の有効化の処理手順を示すシーケンス図である。 図6は、実施の形態に係るセキュリティ装置の処理手順を示すフローチャートである。
(本開示の基礎となった知見)
車両における車載ネットワークで攻撃(具体的には、サイバー攻撃)が検知された場合には、運転者などの車両の搭乗者の安全確保のために、攻撃による車両の異常動作の阻止を目的とした応急処置的な即時対応が必要となる。即時対応としては、例えば、縮退動作、車両制御抑制、または、外部との通信の遮断などが挙げられる。
縮退動作とは、自動制御で車両を路肩など安全な場所に緊急停止させる動作である。車両制御抑制とは、アクチュエータ(ハンドル、ブレーキ、および、アクセルなど)の制御に制限を行い、攻撃による異常動作の影響を抑制する処理である。外部との通信の遮断とは、車外からのリモートでの車両への不正制御攻撃を想定して、Wi-Fi(登録商標)またはモバイル通信などの車両と車外の外部機器との通信を遮断する処理である。
しかしながら、例えば、縮退動作では、攻撃自体が遮断されたわけではないため、再び運転を始めると同様の攻撃が再開される虞がある。そのため、車両は、緊急停止した後に、身動きが取れなくなる虞がある。
また、例えば、車両制御抑制では、通常の運転制御も制限されるため、運転者も正しい運転ができなくなる虞がある。
また、例えば、外部との通信の遮断では、外部との通信を必要とする自動運転機能などが使えなくなる虞がある。また、この場合、外部との通信を再開すると再び同様の攻撃が開始される虞がある。
上記のような即時対応では、応急処置的には攻撃を回避できるが、脆弱性の解析またはセキュリティパッチの作成などの恒久対応が行われるまで車両の使用ができなくなる虞がある。これでは、攻撃を受けた車両は、運転自体ができなくなったり、一部の機能が使用不能になることで、当該車両を運搬する他の車両を用いて修理のためにサービスセンターなどに持ち込まなければならないなどの不具合が生じる。
そこで、本願発明者らは、車両が攻撃を受けた際にも、車両の運転機能に制限をかけずに、かつ、攻撃が検知された後に素早く当該攻撃に対処できるセキュリティ方法などを見出した。
本開示の一態様に係るセキュリティ方法は、車載通信ネットワークにおいて不正コマンドが検知された場合、前記不正コマンドを送信可能なECU(Electronic Control Unit)を特定し、特定された前記ECUに、特定された前記ECUが用いるソフトウェアの更新を実行させ、前記ソフトウェアの更新を実行させた後、特定された前記ECUが前記ソフトウェアの更新を実行することを禁止させる。
即時対応が必要な攻撃とは、例えば、不正CAN(Controller Area Network)制御コマンドを挿入されて車両が異常動作するような攻撃である。不正CAN制御コマンドの挿入攻撃は、CAN制御コマンド送信が可能な、ECU(Electronic Control Unit)が用いるソフトウェアの不正書き換えによって行われる。例えば、車外からの遠隔指示で不正CAN制御コマンドを送信できるように、ソフトウェアが書き換えられる。例えば、エントリポイントへの不正接続(侵入)が行われ、ソフトウェアが不正に書き換えられ(つまり、乗っ取られ)、不正CAN制御コマンドが送信される(つまり、攻撃が実行される)。そこで、不正CAN制御コマンドを検知すると、不正CAN制御コマンドの送信元のECUを特定し、送信元のECUに対して強制的にソフトウェアの更新(アップデート)を実行させる。これにより、例えば、不正書き換えされていない状態にソフトウェアが更新される。さらに、更新されたECUのソフトウェアの更新機能を、例えば、恒久対応が完了するまで(具体的には、脆弱性対策済のパッチソフト配信が準備できるまで)、一時的に無効化する。つまり、ソフトウェアの書き換えコマンドを無効化する。そのため、不正CAN制御コマンドによる攻撃を受けても運転機能に制限をかけずに即時対応できる。つまり、本開示の一態様に係るセキュリティ方法によれば、車両が攻撃を受けた際にも、車両の運転機能に制限をかけずに当該攻撃に対処できる。これによれば、例えば、運転者は、攻撃を受けた車両を運転して自宅へ退避したり、攻撃を受けた車両を運転してサービスセンターに持ち込んだりなどの事後対応ができる。
また、例えば、前記ソフトウェアの更新に用いられる情報は、特定された前記ECUが搭載されている車両に搭載される記憶部に記憶されている。
これによれば、車両の外部に位置するサーバなどと通信することなく、ソフトウェアの更新を実行できる。
また、例えば、前記ソフトウェアの更新を実行させる処理では、特定された前記ECUに前記ソフトウェアのロールバックを実行させる。
これによれば、不正コマンドに対する対策が施されたセキュリティパッチなどの更新ソフトウェアを準備することなく、ソフトウェアを攻撃されていない状態にすぐに更新(変更)することができる。
また、例えば、特定された前記ECUが前記ソフトウェアの更新を実行することを禁止させた後に、前記不正コマンドに対する対策が施された旨を示す情報が取得された場合、特定された前記ECUが前記ソフトウェアの更新を実行することを有効化させる。
これによれば、例えば、不正コマンドに対する対策が施されたセキュリティパッチが完成した場合などのように、不正コマンドを送信することになった攻撃と同様の攻撃に対して対処が完了した場合に、必要に応じてソフトウェアの更新を実行することができる。
また、本開示の一態様に係るセキュリティ装置は、車載通信ネットワークにおいて不正コマンドが検知された場合、前記不正コマンドを送信可能なECU(Electronic Control Unit)を特定する特定部と、特定された前記ECUに、特定された前記ECUが用いるソフトウェアの更新を実行させる更新指示部と、前記ソフトウェアの更新を実行させた後、特定された前記ECUが前記ソフトウェアの更新を実行することを禁止させる更新禁止指示部と、を備える。
これによれば、本開示の一態様に係るセキュリティ方法と同様の効果を奏する。
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
以下、本開示の実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態)
[構成]
図1は、実施の形態に係る車両への情報を提供するセキュリティシステム1の概略図である。
セキュリティシステム1は、インターネットなどのネットワーク500を介して互いに通信可能に接続されたセキュリティ装置100、車両200、監視サーバ300、および、OTAサーバ400を備える車載通信ネットワークシステムである。
セキュリティ装置100は、車両200の状態を監視するための装置である。セキュリティ装置100は、監視サーバ300と通信可能に接続されている。
セキュリティ装置100は、車両200で検知された車両200への攻撃(具体的には、サイバー攻撃)に関する情報(検知情報ともいう)を取得し、取得した検知情報に基づいて車両200の状態を監視する。具体的には、セキュリティ装置100は、取得した検知情報に基づいて、車両200が備える複数のECU220(図2参照)のそれぞれが用いるソフトウェアの更新の有効化/無効化を切り替える。
セキュリティ装置100は、例えば、監視サーバ300と通信するための移動体通信網の規格に対応したセルラモジュールを含むTCU(Telematics Control Unit)と、異常検知部210およびソフトウェア更新部230と通信するための通信インターフェースと、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどで実現されるコンピュータである。
なお、セキュリティ装置100が備える通信インターフェースは、有線LAN(Local Area Network)インターフェースであってもよいし、無線LANインターフェースであってもよい。また、セキュリティ装置100が備える通信インターフェースは、LANインターフェースに限らずに、通信ネットワークとの通信接続を確立できる通信インターフェースであれば、どのような通信インターフェースであってもよい。
また、セキュリティ装置100は、車両200が備えるTCUおよびECUなどがTCUおよびECUなどの本来機能に加えてセキュリティ装置100の機能を兼ねることによって実現されてもよい。
車両200は、セキュリティ装置100を搭載しており、セキュリティ装置100が検知情報を受信する車両である。車両200は、例えば、自動二輪車または自動四輪車などの任意の車両である。本実施の形態では、車両200は、自動運転機能を搭載した自動運転車である。
車両200は、例えば、ハードウェア構成として、TCUと、複数のECU220などからなり、複数のECU220のそれぞれは、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、TCUや他のECUなどとCAN制御コマンド信号の送受信をするための入出力ポート、および、プログラムを実行するプロセッサなどで実現されるコンピュータである。複数のECU220は、それぞれ、前述の入出力ポートによってCANなどの車載通信ネットワークに接続され、車載通信ネットワークを介して通信可能となっている。
なお、車両200は、自動運転車でなくてもよい。
監視サーバ300は、セキュリティ装置100と通信し、車両200の状態を監視するためのコンピュータである。セキュリティ装置100は、例えば、SOC(Security Operation Center)などの監視センターで用いられるサーバである。監視サーバ300は、セキュリティ装置100と通信可能に接続されている。監視サーバ300は、セキュリティ装置100と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどで実現される。
OTAサーバ400は、車両200が備える複数のECU220のそれぞれが用いるソフトウェアを記憶するOTA(Over-The-Air)サーバである。OTAサーバ400は、車両200(具体的には、車両200が備えるソフトウェア更新部230(図2参照))と通信可能に接続されている。
OTAサーバ400は、例えば、車両200と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどによって実現される。
図2は、実施の形態に係る車両200の構成を示すブロック図である。なお、図2では、ネットワーク500の図示を省略している。
車両200は、異常検知部210と、複数のECU220と、ソフトウェア更新部230と、記憶部240と、を備える。本実施の形態では、車両200にセキュリティ装置100が搭載されている。
異常検知部210は、例えばNIDS(Network-based Intrusion Detection System)であって、複数のECU220とのそれぞれとバス(本実施の形態では、バスAおよびバスB)を介して通信可能に接続され、接続されたバスに流れるデータを監視する処理部である。具体的には、異常検知部210は、ECU220と接続されたバスに流れるデータを監視することで、車両200(より具体的には、ECU220)に行われる攻撃を検知する。異常検知部210は、セキュリティ装置100と通信可能に接続されており、攻撃の検知結果を示す検知情報(異常検知ログ)をセキュリティ装置100に送信する。
異常検知部210は、例えば、ECUなどによって実現される。
複数のECU220は、それぞれ、車両200に搭載され、車載通信ネットワーク(より具体的には、それぞれが接続されるバス)を介して通信可能となっているECUである。複数のECU220は、例えば、車両200が備える機器の制御を実行する。当該機器は、例えば、エンジン、モータ、メータ、トランスミッション、ブレーキ、ステアリング、パワーウィンドウ、および、エアコンなどを含む。また、複数のECU220の少なくとも1つは、例えば、車両200の自律運転に係る車両動作を制御する制御回路である。例えば、複数のECU220は、これらの各種機器のそれぞれに対応して設けられている。複数のECU220のそれぞれは、図示しないが、各ECU220が実行するプログラム(ソフトウェア)を格納している記憶部(不揮発性の記憶領域)を備えている。当該記憶部は、例えば、不揮発性のメモリである。
複数のECU220は、それぞれ、当該機器を制御するためのコマンドを送信する。当該コマンドは、例えば、CAN(Controller Area Network)などの通信プロトコルに準拠したコマンド(CAN制御コマンドともいう)である。
異常検知部210は、バスに流れるコマンドを監視することで、複数のECU220が攻撃されているか否か、より具体的には、複数のECU220のそれぞれが用いるソフトウェアが意図せず改ざんされているか否かを判定する。
なお、ECU220およびECU220が接続されるバスの数は、特に限定されない。
ソフトウェア更新部230は、複数のECU220のそれぞれが用いるソフトウェアの更新を実行する処理部である。具体的に例えば、ソフトウェア更新部230は、OTAサーバ400と通信可能に接続されており、OTAサーバ400から最新のソフトウェアを取得し、取得したソフトウェアに複数のECU220が用いるソフトウェアの更新を実行させる。ソフトウェア更新部230は、例えば、取得した最新のソフトウェア(つまり、インストール済みのソフトウェアのバックアップであって、後述するロールバックに用いられる更新ソフトウェア)を記憶部240に記憶させる。
ソフトウェア更新部230は、例えば、TCUおよびECUなどにより実現される。
記憶部240は、車両200に搭載され、複数のECU220のそれぞれが用いるソフトウェアを記憶する記憶装置である。記憶部240は、例えば、HDD(Hard Disk Drive)またはSSD(Solid State Drive)などにより実現される。また、例えば、記憶部240には、ソフトウェアの更新に用いられる情報が記憶される。例えば、記憶部240には、ソフトウェアの更新に用いられる情報として、後述するロールバックに用いられる更新ソフトウェア(つまり、ロールバックによって用いられるロールバック用ソフトウェア)または、更新に用いられる任意のソフトウェアなどの更新ソフトウェアが記憶されていてもよい。
なお、記憶部240は、ROM(Read Only Memory)、および/または、認証による正当性が確認できなければ書き換え不可なRAM(Random Access Memory)を有していてもよい。ロールバック用ソフトウェアなどの更新ソフトウェアは、これらのROMおよび/またはRAMに記憶されてもよい。
これにより、更新ソフトウェアの不正な書き換えが行われることが抑制され得る。
図3は、実施の形態に係るセキュリティ装置100の構成を示すブロック図である。
セキュリティ装置100は、制御部110と、異常検知ログ受信部120と、不正ECU特定部130と、ソフトウェア更新指示部140と、ソフトウェア更新無効化部150と、対応完了通知受信部160と、ソフトウェア更新有効化部170と、記憶部180と、を備える。
制御部110は、セキュリティ装置100が備える各装置を制御する処理部である。例えば、制御部110は、異常検知ログ受信部120、不正ECU特定部130、ソフトウェア更新指示部140、ソフトウェア更新無効化部150、対応完了通知受信部160、および、ソフトウェア更新有効化部170を制御することで、各部に各処理を実行させる。
異常検知ログ受信部120は、異常検知部210から、車載通信ネットワークにおいてバスに異常なコマンド(以下、不正CAN制御コマンドともいう)が流れていることを示す情報(異常検知ログともいう)を受信する。なお、不正CAN制御コマンドは、不正コマンドの一例である。異常検知ログには、例えば、不正検知されたコマンドの内容、および、車載通信ネットワークを構成する複数のバスのうちのどのバスに不正CAN制御コマンドが流れていたかを示す情報などが含まれる。異常検知部210が不正CAN制御コマンドの送信元のECU220が特定可能である場合には、異常検知ログに当該送信元のECU220を示す情報が含まれていてもよい。
不正ECU特定部130は、車載通信ネットワークにおいて不正CAN制御コマンドを検知した場合、その不正CAN制御コマンドを送信可能なECU220を特定する処理部である。例えば、不正ECU特定部130は、異常検知ログ受信部120が受信した異常検知ログに基づいて、その不正CAN制御コマンドを送信可能なECU220を特定する。
不正CAN制御コマンドを送信可能なECU220とは、例えば、不正CAN制御コマンドが流れるバスと接続されたECU220である。例えば、不正ECU特定部130は、図2に示すバスAおよびバスBのうちのバスAに不正CAN制御コマンドが流れていることを異常検知部210が検知した場合、バスAおよびバスBの少なくとも一方に接続された5つのECU220のうち、バスAと接続されている3つのECU220を、不正CAN制御コマンドを送信可能なECU220として特定してもよい。
また、コマンドの内容によっては、ハードウェアレベルでECU220ごとに特定のコマンドしか送信されないような仕組み(例えばTxフィルタリングなど)がある場合がある。このような場合には、例えば、不正ECU特定部130は、不正CAN制御コマンドの内容に基づいて、当該不正CAN制御コマンドを送信可能なECU220を特定する。ECU220ごとの送信可能なコマンドに関する情報は、例えば、記憶部180に予め記憶されていてもよい。
なお、不正ECU特定部130が特定するECU220の数は、特に限定されない。
ソフトウェア更新指示部140は、不正ECU特定部130によって特定されたECU220に、特定されたECU220が用いるソフトウェアの更新を実行させる。具体的には、ソフトウェア更新指示部140は、不正ECU特定部130によって特定されたECU220が使用するソフトウェアの更新を実行させる指示(具体的には、指示を示す情報)を、ソフトウェア更新部230に送信する。例えば、ソフトウェア更新部230は、ソフトウェア更新指示部140から指示を受信した場合、当該指示に従って、特定されたECU220に当該特定されたECU220が用いるソフトウェアの更新を実行させる。例えば、ソフトウェア更新指示部140は、ソフトウェアの更新を実行させる処理では、不正ECU特定部130によって特定されたECU220にソフトウェアのロールバックを実行させる指示を、ソフトウェア更新部230に送信する。また、例えば、ソフトウェア更新部230は、ソフトウェア更新指示部140から指示を受信した場合、OTAサーバ400または記憶部240から取得された更新ソフトウェアを用いて、特定されたECU220に当該特定されたECU220が用いるソフトウェアの更新を実行させる。例えば、ソフトウェア更新部230は、ソフトウェアの更新の指示を実行させる指示を取得した場合、特定されたECU220に、用いるソフトウェアを、更新ソフトウェアに変更させたりロールバックさせるなどのように、用いるソフトウェアの更新を実行させる。
ソフトウェア更新無効化部150は、不正ECU特定部130によって特定されたECU220に、ソフトウェア更新指示部140が指示することによって特定されたECU220が用いるソフトウェアの更新を実行させた後、特定されたECU220がソフトウェアの更新を実行することを禁止させる。具体的には、ソフトウェア更新無効化部150は、不正ECU特定部130によって特定されたECU220が使用するソフトウェアの更新を禁止させる指示、つまり、ソフトウェアの更新を無効化させる指示を、ソフトウェア更新部230に送信する処理部である。ソフトウェア更新部230は、ソフトウェアの更新を無効化させる指示を取得した場合、特定されたECU220に、用いるソフトウェアの更新を無効化させる指示を送信する。特定されたECU220は、用いるソフトウェアの更新を無効化させる指示を取得した場合、用いるソフトウェアの更新を有効化させる指示を取得するまで、仮にソフトウェアの更新を指示するコマンドを取得してもソフトウェアの更新を実行しない。
このようなソフトウェアの更新を無効化させる指示は、例えば、所定の認証手段によって正しい指示であるか否かがソフトウェア更新部230およびECU220によって確認された上で実行される。所定の認証手段としては、例えば、秘密鍵暗号または公開鍵暗号を用いた認証鍵交換(AKE:Authenticated Key Exchange)プロトコルによって、ソフトウェア更新部230あるいはECU220が、ソフトウェアの更新を無効化する指示を送信するソフトウェア更新無効化部150あるいはソフトウェア更新部230の認証と一時鍵の共有とを行う。そして、認証されたソフトウェア更新無効化部150あるいはソフトウェア更新部230は、共有された一時鍵を用いてソフトウェア更新の無効化を指示するコマンドを暗号化してソフトウェア更新部230あるいはECU220に送信する。当該コマンドを受信したソフトウェア更新部230あるいはECU220は、暗号化されたコマンドの復号化を行って、正しいコマンドが復号化された場合に限って、ソフトウェア更新の無効化を行う。
なお、上記は認証手段の一例であって、所定の認証手段は、この方法に限定されない。例えば、無効化させる指示が、セキュリティ装置100から送信された指示であるか否かに基づいて、当該指示が正しい指示であるか否かが判定されてもよい。
対応完了通知受信部160は、不正ECU特定部130によって特定されたECU220が使用するソフトウェアについて、不正CAN制御コマンドを送信しないように対策が施されたことを示す情報を、監視サーバ300から受信する処理部である。
ソフトウェア更新有効化部170は、不正ECU特定部130によって特定されたECU220が使用するソフトウェアの更新を許可させる指示、つまり、ソフトウェアの更新を有効化させる指示を、ソフトウェア更新部230に送信する処理部である。
例えば、不正CAN制御コマンドに対する対策が施された旨を示す情報が取得された場合、ソフトウェア更新有効化部170は、特定されたECU220がソフトウェアの更新を実行することを有効化させる指示をソフトウェア更新部230に送信する。ソフトウェア更新部230は、ソフトウェアの更新を有効化させる指示を取得した場合、特定されたECU220に、用いるソフトウェアの更新を有効化させる指示を送信する。特定されたECU220は、用いるソフトウェアの更新を有効化させる指示を取得した場合、仮にソフトウェアの更新を指示するコマンドを取得したとき、ソフトウェアの更新を実行するように処理を変更する。
このようなソフトウェアの更新を有効化させる指示は、例えば、所定の認証手段によって正しい指示であるか否かがソフトウェア更新部230およびECU220によって確認された上で実行される。
なお、所定の認証手段は、特に限定されない。例えば、先述の秘密鍵暗号または公開鍵暗号を用いた認証鍵交換(AKE:Authenticated Key Exchange)プロトコルに基づく方法であってもよいし、有効化させる指示が、セキュリティ装置100から送信された指示であるか否かに基づいて、当該指示が正しい指示であるか否かが判定されてもよい。
また、有効化させる指示の認証手段と、無効化させる指示の認証手段とは、同じであってもよいし、異なっていてもよい。
また、不正CAN制御コマンドに対する対策が施された旨を示す情報は、ソフトウェア更新無効化部150が、不正ECU特定部130によって特定されたECU220がソフトウェアの更新を実行することを禁止させた後に、不正CAN制御コマンドに対する対策が施された更新ソフトウェア(対策済み更新ソフトウェアまたはセキュリティパッチともいう)が作成されたことなど示す情報であってもよいし、対策済み更新ソフトウェアそのものであってもよく、特に限定されない。
ソフトウェア更新部230は、不正CAN制御コマンドに対する対策が施された更新ソフトウェア(対策済み更新ソフトウェアまたはセキュリティパッチともいう)をOTAサーバ400などから取得した場合、例えば、特定されたECU220が用いるソフトウェアを、対策済み更新ソフトウェアを用いて更新を実行させる指示を、特定されたECU220に送信する。
なお、ソフトウェア更新部230が不正CAN制御コマンドに対する対策済み更新ソフトウェアをOTAサーバ400などから取得したか否かの判定が、例えば、対応完了通知受信部160が監視サーバ300などから不正CAN制御コマンドが送信されることに対する対応が完了した旨を示す情報(対応完了通知ともいう)を受信したかに基づいてなされてもよい。例えば、制御部110は、対応完了通知を、対応完了通知受信部160を介して監視サーバ300から受信した場合、ソフトウェア更新部230が不正CAN制御コマンドに対する更新ソフトウェアをOTAサーバ400などから取得したと判定し、ソフトウェア更新有効化部170に、特定されたECU220がソフトウェアの更新を実行することを有効化させる指示をソフトウェア更新部230に送信させてもよい。さらに、この場合、制御部110は、ソフトウェア更新指示部140に、特定されたECU220に当該対策済み更新ソフトウェアを用いてソフトウェアの更新を実行させる指示をソフトウェア更新部230に送信させてもよい。
制御部110および不正ECU特定部130などの処理部と、異常検知ログ受信部120、ソフトウェア更新指示部140、ソフトウェア更新無効化部150、対応完了通知受信部160、および、ソフトウェア更新有効化部170などが備える処理部は、プロセッサおよび当該プロセッサが実行する制御プログラムを記憶するメモリなどにより実現される。また、異常検知ログ受信部120、ソフトウェア更新指示部140、ソフトウェア更新無効化部150、対応完了通知受信部160、および、ソフトウェア更新有効化部170は、情報の送受信をするための通信インターフェースなどの通信部を備える。異常検知ログ受信部120、ソフトウェア更新指示部140、ソフトウェア更新無効化部150、対応完了通知受信部160、および、ソフトウェア更新有効化部170が備える通信部は、同じ通信インターフェースで実現されてもよいし、異なる通信インターフェースで実現されてもよい。
記憶部180は、異常検知部210および監視サーバ300などから受信した情報を記憶する記憶装置である。記憶部180は、HDDまたはSSDなどにより実現される。なお、記憶部180に、不正ECU特定部130によって特定されたECU220が用いるソフトウェアの更新に用いられる情報(例えば、更新ソフトウェア)が記憶されてもよい。例えば、ソフトウェア更新指示部140は、ソフトウェアの更新を実行させる指示とともに、記憶部180に記憶された更新ソフトウェアをソフトウェア更新部230に送信してもよい。ソフトウェア更新部230は、特定されたECU220に、セキュリティ装置100から取得した更新ソフトウェアを用いてソフトウェアの更新を実行させてもよい。
なお、記憶部180は、ROM、および/または、認証による正当性が確認できなければ書き換え不可なRAMを有していてもよい。ロールバック用ソフトウェアなどの更新ソフトウェアは、これらのROMおよび/またはRAMに記憶されてもよい。
これにより、更新ソフトウェアの不正な書き換えが行われることが抑制され得る。
[処理手順]
続いて、セキュリティシステム1およびセキュリティ装置100の処理手順について説明する。
図4は、実施の形態に係るセキュリティシステム1におけるソフトウェアの更新の無効化の処理手順を示すシーケンス図である。なお、図4に示す対象ECU221は、車両200が備える複数のECU220のうち、セキュリティ装置100によって不正CAN制御コマンドを送信可能と特定されたECU220である。図4には、1台の対象ECU221を示しているが、複数であってもよい。
まず、異常検知部210は、車両200の車載通信ネットワークにおけるコマンドを監視する。異常検知部210は、異常を検知した場合、つまり、車載通信ネットワークに不正CAN制御コマンドが流れていることを検知した場合(S110)、異常検知ログをセキュリティ装置100に送信する。
次に、セキュリティ装置100は、異常検知ログに基づいて、車両200が備える複数のECU220のうちの、不正CAN制御コマンドを送信可能なECU220である対象ECU221を特定する(S120)。
次に、セキュリティ装置100は、ソフトウェア更新部230に、対象ECU221が用いるソフトウェアの更新を実行させる指示(更新指示)を、対象ECU221を示す情報(例えば、ECU220ごとに固有に定められる識別子であって、対象ECU221の識別子)とともに送信する(S130)。
次に、ソフトウェア更新部230は、更新ソフトウェアをOTAサーバ400などから取得する(S140)。ソフトウェア更新部230は、記憶部240またはセキュリティ装置100から更新ソフトウェアを取得してもよい。
次に、ソフトウェア更新部230は、取得した更新ソフトウェアに、対象ECU221が用いているソフトウェアを書き換えるための書き込みの処理を行う(S150)。例えば、ソフトウェア更新部230は、取得した更新ソフトウェアを対象ECU221に送信することで、対象ECU221が用いているソフトウェアを更新ソフトウェアに書き換え、つまり、ソフトウェアの更新を、対象ECU221に実行させる。
次に、対象ECU221は、用いるソフトウェアの書き換えを行う(S160)。つまり、対象ECU221は、更新ソフトウェアを用いてソフトウェアの更新を実行する。さらに、対象ECU221は、例えば、ソフトウェア更新部230に、ソフトウェアの書き換えが完了した旨を示す情報をソフトウェア更新部230に送信する。また、例えば、ソフトウェア更新部230は、例えば、セキュリティ装置100に、対象ECU221がソフトウェアの書き換えが完了した旨を示す情報を送信する。
次に、セキュリティ装置100は、ソフトウェア更新部230に、対象ECU221が用いるソフトウェアの更新を無効化させる指示(更新無効化指示)を、対象ECU221を示す情報とともにソフトウェア更新部230に送信する(S170)。
次に、ソフトウェア更新部230は、対象ECU221が用いているソフトウェアの更新を無効化するための処理を行う。例えば、ソフトウェア更新部230は、ソフトウェアの更新を無効化する指示(更新無効化指示)を対象ECU221に送信することで、対象ECU221が用いているソフトウェアの更新を無効化させる(S180)。
次に、対象ECU221は、用いているソフトウェアの更新を無効化する、つまり、ソフトウェアの書き換えのロックを行う(S190)。これにより、対象ECU221が用いるソフトウェアの更新が行われないようにする。
図5は、実施の形態に係るセキュリティシステム1におけるソフトウェアの更新の有効化の処理手順を示すシーケンス図である。図5は、例えば、図4の処理が行われた後に実行される処理である。
例えば、図4に示すステップS110で検知された異常(不正CAN制御コマンド)に対する対策が施された対策済み更新ソフトウェアが作成されるなどのように、当該異常に対する対応の準備が完了したとする。監視サーバ300は、当該異常に対する対応の準備が完了した旨を示す情報(恒久対応準備完了通知)をセキュリティ装置100に送信する(S210)。
次に、セキュリティ装置100は、ソフトウェア更新部230に、対象ECU221が用いるソフトウェアの更新を有効化させる指示(更新有効化指示)を、対象ECU221を示す情報(例えば、対象ECU221の識別子)とともにソフトウェア更新部230に送信する(S220)。
次に、ソフトウェア更新部230は、対象ECU221が用いているソフトウェアの更新を有効化するための処理を行う。例えば、ソフトウェア更新部230は、ソフトウェアの更新を有効化する指示(更新有効化指示)を対象ECU221に送信することで、対象ECU221が用いているソフトウェアの更新を有効化させる(S230)。
次に、対象ECU221は、用いているソフトウェアの更新を有効化する、つまり、書き換えロックを解除することで書き換えの有効化を行う(S240)。これにより、対象ECU221が用いるソフトウェアの更新が実行可能になるようにする。この際に、例えば、対象ECU221は、ソフトウェア更新部230に、ソフトウェアの更新を有効化した旨を示す情報を送信してもよい。
次に、ソフトウェア更新部230は、不正CAN制御コマンドに対する対策が施された対策済み更新ソフトウェアを例えばOTAサーバ400から取得する(S250)。
次に、ソフトウェア更新部230は、取得した対策済み更新ソフトウェアに、対象ECU221が用いているソフトウェアを書き換えるための書き込みの処理を行う(S260)。例えば、ソフトウェア更新部230は、取得した対策済み更新ソフトウェアを対象ECU221に送信することで、対象ECU221に、対象ECU221が用いているソフトウェアを、対策済み更新ソフトウェアに書き換えさせる。
次に、対象ECU221は、用いるソフトウェアの書き換えを行う(S270)。つまり、対象ECU221は、対策済み更新ソフトウェアを用いてソフトウェアの更新を実行する。対象ECU221は、例えば、ソフトウェア更新部230に、ソフトウェアの書き換えが完了した旨を示す情報をソフトウェア更新部230に送信する。また、例えば、ソフトウェア更新部230は、例えば、セキュリティ装置100に、対象ECU221がソフトウェアの書き換えが完了した旨を示す情報を送信する。
図6は、実施の形態に係るセキュリティ装置100の処理手順を示すフローチャートである。
制御部110は、異常検知ログ受信部120または対応完了通知受信部160を介して、異常検知部210または監視サーバ300から受信した情報(受信データ)の確認を行う(S310)。
受信データが異常検知ログであった場合(S310で「異常検知ログ」)、図4のシーケンス図で示すような処理が行われる。具体的には、不正ECU特定部130は、異常検知ログ受信部120を介して異常検知ログが受信された場合、不正CAN制御コマンドを送信可能なECU220(つまり、対象ECU221)を特定する(S320)。
次に、ソフトウェア更新指示部140は、特定されたECU220が用いるソフトウェアの更新を指示する(S330)。具体的には、ソフトウェア更新指示部140は、特定されたECU220に、特定されたECU220が用いるソフトウェアの更新を実行させる。
次に、ソフトウェア更新無効化部150は、特定されたECU220が用いるソフトウェアの更新を無効化させる(S340)。具体的には、ソフトウェア更新無効化部150は、ソフトウェアの更新を実行させた後、特定されたECU220がソフトウェアの更新を実行することを禁止させる。
一方、受信データが恒久対応準備完了通知であった場合(S310で「恒久対応準備完了通知」)、図5のシーケンス図で示すような処理が行われる。具体的には、ソフトウェア更新有効化部170は、異常検知ログ受信部120を介して恒久対応準備完了通知が受信された場合、特定されたECU220が用いるソフトウェアの更新を有効化させる(S350)。具体的には、ソフトウェア更新有効化部170は、特定されたECU220がソフトウェアの更新を実行することを可能にさせる。これにより、例えば図5に示すステップS250~S270のように、特定されたECU220が更新ソフトウェアを用いて処理を行うようになる。
[まとめ]
以上説明したように、実施の形態に係るセキュリティ方法は、車載通信ネットワークにおいて不正CAN制御コマンドが検知された場合(S310で「異常検知ログ」)、不正CAN制御コマンドを送信可能なECU220を特定し(S320)、特定されたECU220に、特定されたECU220が用いるソフトウェアの更新を実行させ(S330)、ソフトウェアの更新を実行させた後、特定されたECU220がソフトウェアの更新を実行することを禁止させる(S340)。
これによれば、ECUが用いるソフトウェアの不正書き換えによって不正CAN制御コマンドを送信させることによる攻撃を受けても運転機能に制限をかけずに即時対応できる。そのため、車両200が攻撃を受けた際にも、車両200の運転機能に制限をかけずに当該攻撃に対処できる。これによれば、例えば、運転者は、攻撃を受けた車両200を運転して自宅へ退避したり、サービスセンターへ車両200を持ち込んだりなどの事後対応ができる。
また、例えば、ソフトウェアの更新に用いられる情報は、特定されたECU220が搭載されている車両200に搭載される記憶部に記憶されている。当該記憶部は、例えば、記憶部240であってもよいし、記憶部180であってもよい。記憶部180にソフトウェアの更新に用いられる情報が記憶されている場合、ソフトウェア更新部230は、セキュリティ装置100から当該情報を取得してもよい。
これによれば、車両200の外部に位置するOTAサーバ400などと通信することなく、ソフトウェアの更新を実行できる。
また、例えば、ソフトウェアの更新を実行させる処理(S330)では、特定されたECU220にソフトウェアのロールバックを実行させる。
これによれば、不正CAN制御コマンドに対する対策が施されたセキュリティパッチなどの更新ソフトウェアを準備することなく、ソフトウェアを攻撃されていない状態にすぐに更新(変更)することができる。
また、例えば、特定されたECU220がソフトウェアの更新を実行することを禁止させた後(S340の後)に、不正CAN制御コマンドに対する対策が施された旨を示す情報が取得された場合(S310で「恒久対応準備完了通知」)、特定されたECU220がソフトウェアの更新を実行することを有効化させる(S350)。
これによれば、例えば、不正CAN制御コマンドに対する対策が施されたセキュリティパッチ(対策済み更新ソフトウェア)が作成された場合などのように、不正CAN制御コマンドを送信することになった攻撃と同様の攻撃に対して対処が完了した場合に、必要に応じてソフトウェアの更新を実行することができる。
また、本開示の一態様に係るセキュリティ装置100は、車載通信ネットワークにおいて不正CAN制御コマンドを検知した場合、不正CAN制御コマンドを送信可能なECUを特定する特定部と、特定されたECU220に、特定されたECU220が用いるソフトウェアの更新を実行させる更新指示部と、ソフトウェアの更新を実行させた後、特定されたECU220がソフトウェアの更新を実行することを禁止させる更新禁止指示部と、を備える。特定部の一例が、不正ECU特定部130である。また、更新指示部の一例が、ソフトウェア更新指示部140である。また、更新禁止指示部の一例が、ソフトウェア更新無効化部150である。
これによれば、本開示の一態様に係るセキュリティ方法と同様の効果を奏する。
(その他の実施の形態)
以上、一つまたは複数の態様に係るセキュリティ装置などについて、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を上記実施の形態に施したものも、本開示の範囲内に含まれてもよい。
例えば、上記実施の形態では、セキュリティ装置100は、車両200に搭載されるとして説明したが、車両200の外部に配置されていてもよい。
また、例えば、セキュリティ装置100が、異常検知部210および/またはソフトウェア更新部230を備えてもよい。
また、例えば、セキュリティ装置100は、OTAサーバ400と通信して更新ソフトウェア、および/または、対策済み更新ソフトウェアを取得してもよい。
また、例えば、不正CAN制御コマンドに対する対策が施された旨を示す情報は、対策済み更新ソフトウェアであってもよい。
また、例えば、セキュリティ装置100から更新ソフトウェアおよび/または対策済み更新ソフトウェアがソフトウェア更新部230に送信されてもよい。
また、例えば、車両200は、OTAサーバ400と通信可能に接続されている場合には、記憶部240を備えなくてもよい。また、例えば、車両200は、ECU220が攻撃を受けた際に更新に用いられるソフトウェア(更新ソフトウェア)を予め記憶している記憶部240を備える場合には、OTAサーバ400と通信可能に接続されていなくてもよい。
また、ECU220がロールバックする際のソフトウェアは、ECU220が備えるメモリに記憶されていてもよいし、記憶部180または記憶部240などのECU220とは異なる機器に記憶されていてもよい。
また、例えば、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。
また、例えば、上記実施の形態において、処理部の各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記実施の形態の各装置などを実現するプログラムは、例えば、図4、図5、または、図6に示すフローチャートまたはシーケンス図の各ステップをコンピュータに実行させる。
なお、以下のような場合も本開示に含まれる。
(1)上記の少なくとも1つの装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。そのRAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記の少なくとも1つの装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(2)上記の少なくとも1つの装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。当該RAMには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
(3)上記の少なくとも1つの装置を構成する構成要素の一部または全部は、その装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(4)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD(Compact Disc)-ROM、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送などを経由して伝送するものとしてもよい。
また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワークなどを経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
本開示は、車載通信ネットワークにおけるサイバー攻撃を監視するセキュリティ装置などに適用可能である。
1 セキュリティシステム
100 セキュリティ装置
110 制御部
120 異常検知ログ受信部
130 不正ECU特定部
140 ソフトウェア更新指示部
150 ソフトウェア更新無効化部
160 対応完了通知受信部
170 ソフトウェア更新有効化部
180、240 記憶部
200 車両
210 異常検知部
220 ECU
221 対象ECU
230 ソフトウェア更新部
300 監視サーバ
400 OTAサーバ
500 ネットワーク

Claims (5)

  1. 車載通信ネットワークにおいて不正コマンドが検知された場合、前記不正コマンドを送信可能なECU(Electronic Control Unit)を特定し、
    特定された前記ECUに、特定された前記ECUが用いるソフトウェアの更新を実行させ、
    前記ソフトウェアの更新を実行させた後、特定された前記ECUが前記ソフトウェアの更新を実行することを禁止させる
    セキュリティ方法。
  2. 前記ソフトウェアの更新に用いられる情報は、特定された前記ECUが搭載されている車両に搭載される記憶部に記憶されている
    請求項1に記載のセキュリティ方法。
  3. 前記ソフトウェアの更新を実行させる処理では、特定された前記ECUに前記ソフトウェアのロールバックを実行させる
    請求項1に記載のセキュリティ方法。
  4. 特定された前記ECUが前記ソフトウェアの更新を実行することを禁止させた後に、前記不正コマンドに対する対策が施された旨を示す情報が取得された場合、特定された前記ECUが前記ソフトウェアの更新を実行することを有効化させる
    請求項1に記載のセキュリティ方法。
  5. 車載通信ネットワークにおいて不正コマンドが検知された場合、前記不正コマンドを送信可能なECU(Electronic Control Unit)を特定する特定部と、
    特定された前記ECUに、特定された前記ECUが用いるソフトウェアの更新を実行させる更新指示部と、
    前記ソフトウェアの更新を実行させた後、特定された前記ECUが前記ソフトウェアの更新を実行することを禁止させる更新禁止指示部と、を備える
    セキュリティ装置。
JP2022081617A 2022-05-18 2022-05-18 セキュリティ方法、および、セキュリティ装置 Pending JP2023170125A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2022081617A JP2023170125A (ja) 2022-05-18 2022-05-18 セキュリティ方法、および、セキュリティ装置
DE102023110645.7A DE102023110645A1 (de) 2022-05-18 2023-04-26 Sicherheitsverfahren und Sicherheitsvorrichtung
US18/143,344 US20230401317A1 (en) 2022-05-18 2023-05-04 Security method and security device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022081617A JP2023170125A (ja) 2022-05-18 2022-05-18 セキュリティ方法、および、セキュリティ装置

Publications (1)

Publication Number Publication Date
JP2023170125A true JP2023170125A (ja) 2023-12-01

Family

ID=88600004

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022081617A Pending JP2023170125A (ja) 2022-05-18 2022-05-18 セキュリティ方法、および、セキュリティ装置

Country Status (3)

Country Link
US (1) US20230401317A1 (ja)
JP (1) JP2023170125A (ja)
DE (1) DE102023110645A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7373803B2 (ja) * 2020-09-29 2023-11-06 パナソニックIpマネジメント株式会社 情報送信装置、サーバ、及び、情報送信方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6556207B2 (ja) 2017-10-19 2019-08-07 三菱電機株式会社 車両用セキュリティ装置およびセキュリティ方法

Also Published As

Publication number Publication date
DE102023110645A1 (de) 2023-11-23
US20230401317A1 (en) 2023-12-14

Similar Documents

Publication Publication Date Title
JP6908563B2 (ja) セキュリティ処理方法及びサーバ
US10229547B2 (en) In-vehicle gateway device, storage control method, and computer program product
JP6574535B2 (ja) グローバル自動車安全システム
CN111066303B (zh) 与机动车辆驾驶员辅助系统相关的方法
US20190281052A1 (en) Systems and methods for securing an automotive controller network
EP2786543B1 (en) Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
JP6505318B2 (ja) 車両の電子制御ユニットへの不正アクセスイベントの通知
JP6625269B2 (ja) 車載認証システム、車両通信装置、認証管理装置、車載認証方法および車載認証プログラム
JP6852604B2 (ja) 車載装置、管理方法および管理プログラム
EP3565212B1 (en) Method for providing an authenticated update in a distributed network
JP6782444B2 (ja) 監視装置、監視方法およびコンピュータプログラム
WO2019116922A1 (ja) 車載更新装置、プログラム及びプログラム又はデータの更新方法
JP2018116510A (ja) 不正判定システム及び不正判定方法
JP2019071572A (ja) 制御装置及び制御方法
JP2023170125A (ja) セキュリティ方法、および、セキュリティ装置
JP2013026964A (ja) 車両用情報更新装置および車両用情報更新方法
WO2020137852A1 (ja) 情報処理装置
WO2021010224A1 (ja) セキュリティ処理装置
WO2020090418A1 (ja) 電子制御装置、電子制御装置のリプログラミング方法
JP2001202266A (ja) 車載制御ユニットの検査方法
CN114834393B (zh) 车辆控制系统
KR102411797B1 (ko) 하드웨어 기반의 차량 사이버보안시스템
JP2020035202A (ja) 情報処理装置、システム及び方法
US20230267204A1 (en) Mitigating a vehicle software manipulation

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20240304