JP2024016763A - 攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム - Google Patents
攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム Download PDFInfo
- Publication number
- JP2024016763A JP2024016763A JP2022119114A JP2022119114A JP2024016763A JP 2024016763 A JP2024016763 A JP 2024016763A JP 2022119114 A JP2022119114 A JP 2022119114A JP 2022119114 A JP2022119114 A JP 2022119114A JP 2024016763 A JP2024016763 A JP 2024016763A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- electronic control
- abnormality
- group
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 120
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000005856 abnormality Effects 0.000 claims abstract description 124
- 230000002159 abnormal effect Effects 0.000 claims abstract description 82
- 230000006870 function Effects 0.000 description 57
- 238000004458 analytical method Methods 0.000 description 50
- 238000004891 communication Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 18
- 238000012545 processing Methods 0.000 description 14
- 230000007123 defense Effects 0.000 description 13
- 101150063504 CAN2 gene Proteins 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 101150008604 CAN1 gene Proteins 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 101100058989 Candida albicans (strain SC5314 / ATCC MYA-2876) CAN3 gene Proteins 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000011265 semifinished product Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】複数のECUをグループ化して攻撃推定を行う場合に、ECUのグループ化に用いた手法が適切であるか否かを検証する。【解決手段】攻撃推定検証装置100は、異常ECUを示す識別情報と、異常ECUで検知された異常を示す異常情報と、異常ECUが属するグループを示すグループ情報と、を含むセキュリティログを取得するログ取得部と、攻撃の種別を示す攻撃情報と、予測異常情報と、予測グループ情報と、の対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部と、予測異常情報及び予測グループ情報の組み合わせから、電子制御システムが受けた攻撃を推定する攻撃推定部と、推定された攻撃が異常ECUが有すると仮定された特徴に関連する攻撃である場合に、グループ化が適切ではない又は異常ECUが有すると仮定された特徴が適切ではないと判定する検証部と、検証部による検証結果を通知する通知部と、を備える。【選択図】図8
Description
本発明は、主に自動車をはじめとする移動体に搭載された電子制御システムに対する攻撃を推定し、その推定結果を検証する攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。
車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献1には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め特定された異常検出パターンとを照合して、異常に対応する攻撃の種類を特定することが記載されている。
ところが、車両に搭載される電子制御システムの構成は、車両の種別や年式、製造メーカによって異なるため、サイバー攻撃を受けることによって異常が検出される項目や異常の発生場所は、電子制御システムの構成によって異なる可能性がある。そのため、異常が検出された項目の組み合わせを利用してサイバー攻撃を特定するためには、電子制御システムの構成毎に異常検出パターンや分析ルールを設定する必要がある。しかしながら、近年、車両の多機能化に伴って電子制御システムを構成する電子制御装置の数は増加しつつあるため、多くの電子制御装置に対応する異常検出パターンや分析ルールを設定すると、処理負荷が増大することに加えて、開発及びメンテナンスの側面から好ましくない。
そこで、本発明者は、詳細な検討の結果、電子制御システムを構成する複数の電子制御装置をいくつかのグループに分け、グループ毎に異常検出パターンや分析ルールを設定することによって、電子制御システムに対するサイバー攻撃の分析処理を低減する手法を見出した。この手法によれば、電子制御システム全体で設定すべき異常検出パターンや分析ルールの数を抑制することができる。さらに、構成が異なる複数の電子制御システムそれぞれに共通する異常検出パターンや分析ルールを適用できるように電子制御装置をグループ化することで、電子制御システムの構成によらずにサイバー攻撃を分析することも可能となる。しかしながら、電子制御装置のグループ化が適切ではない場合、攻撃を正確に分析することができない可能性があるため、このような手法を用いてサイバー攻撃を分析する場合、電子制御装置のグループ化が適切であるかどうかを検証することが望ましい。
そこで、本発明は、電子制御システムを構成する複数の電子制御装置をいくつかのグループに分けてサイバー攻撃を分析した後に、分析手法が適切であるか否かを検証することができる装置、方法、及びプログラムを提供することを目的とする。
本開示の一態様による攻撃推定検証装置は、電子制御システムを構成する複数の電子制御装置のうち異常が検知された電子制御装置である異常電子制御装置を示す識別情報と、前記異常電子制御装置で検知された異常を示す異常情報と、前記複数の電子制御装置それぞれが現実に有する及び有すると仮定された特徴に応じて前記複数の電子制御装置のうち1以上の電子制御装置をグループ化したグループであって、前記異常電子制御装置が属するグループを示すグループ情報と、を含むセキュリティログを取得するログ取得部(101)と、攻撃の種別を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生するグループを示す予測グループ情報と、の対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(102)と、前記異常情報及び前記グループ情報の組み合わせに対応する前記予測異常情報及び前記予測グループ情報の組み合わせから、前記電子制御システムが受けた攻撃を推定する攻撃推定部(104)と、前記攻撃推定部により推定された前記攻撃が、前記識別情報が示す前記異常電子制御装置が有すると仮定された特徴に関連する攻撃である場合に、前記グループのグループ化が適切ではない又は前記異常電子制御装置が有すると仮定された特徴が適切ではない、と判定する検証部(105)と、前記検証部による検証結果を通知する通知部(106)と、を備える。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成によれば、電子制御システムに対するサイバー攻撃の分析に要する処理負荷を低減し、開発及びメンテナンスを容易にすることが可能となることに加えて、攻撃分析手法が適切であるかを検証することで、適切な分析手法を適用した分析を行うことが可能となり、ひいては、電子制御システムに異常が発生した場合に異常を正確に分析することが可能となる。
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.第1の実施形態
(1)攻撃分析システム1
(a)攻撃分析システム1の構成
図1は、本実施形態の攻撃分析システム1の構成を概略的に説明する図である。攻撃分析システム1は、攻撃推定検証装置100と攻撃推定用ログ生成装置200とを有する。攻撃推定検証装置100は、後述する電子制御システムSに対するサイバー攻撃を推定し、その推定結果を検証する装置である。攻撃推定用ログ生成装置200は、攻撃推定検証装置100がサイバー攻撃を推定するために必要なログを生成する装置である。
(1)攻撃分析システム1
(a)攻撃分析システム1の構成
図1は、本実施形態の攻撃分析システム1の構成を概略的に説明する図である。攻撃分析システム1は、攻撃推定検証装置100と攻撃推定用ログ生成装置200とを有する。攻撃推定検証装置100は、後述する電子制御システムSに対するサイバー攻撃を推定し、その推定結果を検証する装置である。攻撃推定用ログ生成装置200は、攻撃推定検証装置100がサイバー攻撃を推定するために必要なログを生成する装置である。
(b)攻撃分析システム1と電子制御システムSの配置
図2は、本実施形態の攻撃分析システム1と電子制御システムSの配置を説明する図である。攻撃分析システム1は、電子制御システムSから必要な情報を取得することができる任意の配置をとりうる。以下、サイバー攻撃を攻撃と略して記載する。また、攻撃により影響を受ける電子制御システムS側からの視点に基づき、攻撃を異常と記載することがある。
図2は、本実施形態の攻撃分析システム1と電子制御システムSの配置を説明する図である。攻撃分析システム1は、電子制御システムSから必要な情報を取得することができる任意の配置をとりうる。以下、サイバー攻撃を攻撃と略して記載する。また、攻撃により影響を受ける電子制御システムS側からの視点に基づき、攻撃を異常と記載することがある。
例えば、図2aに示すように、電子制御システムS及び攻撃分析システム1が「移動体」である車両に「搭載」される場合と、図2bに示すように、電子制御システムSは「移動体」である車両に「搭載」され、攻撃分析システム1は車両の外部に設置されたサーバ装置で実現する場合と、図2cに示すように、電子制御システムSと、攻撃分析システム1のうち攻撃推定用ログ生成装置200が「移動体」である車両に「搭載」され、攻撃分析システム1のうち攻撃推定検証装置100のみがサーバ装置で実現する場合と、が想定される。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
図2aの場合、攻撃分析システム1と電子制御システムSとは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった車載ネットワークで接続されている。あるいは、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、有線無線を問わず任意の通信方式を用いて接続することができる。別の例として、電子制御システムSを構成する電子制御装置の少なくとも一つに攻撃推定検証装置100及び攻撃推定用ログ生成装置200の機能を内蔵することもできる。
図2aの場合、攻撃分析システム1は、電子制御システムSが攻撃を受けると遅滞なく、攻撃を分析することができ、ひいては攻撃に対する対応を迅速に行うことが可能である。
図2bの場合、攻撃分析システム1と電子制御システムSとは、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等の無線通信方式からなる通信手段を用いて接続することができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
図2bの場合、サーバ装置は、車両に搭載された電子制御システムSが攻撃を受けると、無線通信ネットワークを介して、電子制御システムSを構成する電子制御装置に搭載されたセキュリティセンサで生成されたセキュリティログを車両から受信する。そのため、攻撃分析システム1が車両に搭載される場合と比較して、攻撃を分析し分析結果を車両にフィードバックするまでに時間を要する反面、車両側の処理負荷を軽減することが可能である。また、サーバ装置の豊富なリソースを用いることができるので、複雑かつ大量の演算を実行することが可能である。
図2cの場合、サーバ装置で実現する攻撃推定検証装置100と攻撃分析用ログ生成装置200とは、図2bの場合と同様の無線通信方式又は有線通信方式からなる通信手段を用いて接続することができる。攻撃推定検証装置100による攻撃推定及び検証処理の処理負荷は、攻撃推定用ログ生成装置200による処理負荷と比較して大きいため、このように処理負荷の大きい処理のみをサーバ装置のリソースを用いて実現する。
以下に説明する各実施形態では、攻撃を受ける電子制御システムSは、車両に搭載された車載システムである例を挙げて説明する。しかしながら、電子制御システムSは車載システムに限定されるものではなく、任意の電子制御システムに適用することができる。例えば、電子制御システムSが車両に搭載されず、静止体に搭載されていてもよい。
なお、本実施形態の攻撃分析システム1は、車両に実装された電子制御システムSの攻撃を分析する場合はもちろん、実装する前の電子制御システムSについて、攻撃の分析手法が適切であるかどうかを検証するための試験用システムとして使用することもできる。
以下、第1の実施形態の攻撃推定検証装置100の説明に先立ち、攻撃推定検証装置100の周辺機器の構成、すなわち、攻撃を受ける電子制御システムSの構成、及び、攻撃推定用ログ生成装置200の構成について説明する。
(2)電子制御システムS
(a)全体構成
図3は、電子制御システムSの構成例を説明する図である。電子制御システムSは、複数の電子制御装置(以下、ECU(Electric Control Unit))から構成される。図3に例示する電子制御システムSは、CGW11、ECU12、ECU13、ECU14、ECU15、ECU16、ECU17を有する。
(a)全体構成
図3は、電子制御システムSの構成例を説明する図である。電子制御システムSは、複数の電子制御装置(以下、ECU(Electric Control Unit))から構成される。図3に例示する電子制御システムSは、CGW11、ECU12、ECU13、ECU14、ECU15、ECU16、ECU17を有する。
CGW11(Central GateWay)は、主にゲートウェイ(GW)機能を有する。例えば、車両の外部から無線通信を介して受信した情報を、車載ネットワークを介して接続されたECU12~17に転送する。図3では、車載ネットワークとしてCAN1~5を例示しているが、CANに代えて、LINや、イーサネット(ETH)等の通信ネットワークを用いてもよい。CGW11には、ゲートウェイ機能以外の機能を搭載することもできる。図3に示すCGW11は、2つの仮想マシン(以下、VM(Virtual Machine))、すなわち、VM111、VM112を有している。
ECU12~17は、CGW11とネットワークを介して接続されるECUである。ECU12~ECU17は、車両の各機能を実現する任意のECUであり、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。
以下の説明では、上述のCGW11、ECU12~ECU17の固有の特徴に着目しない場合は、それぞれを各ECU、あるいは単にECUと呼ぶ。
(b)多層防御と層
多くの電子制御システムSでは、攻撃に対するセキュリティ性を高めるために多層防御が採用されている。多層防御によれば、攻撃に対する対策としてセキュリティ機能を階層的・多層的に設けることで、攻撃を受けた場合に一の対策(すなわち、一層目)が突破されても、次の対策(すなわち、二層目)が攻撃を防御することができるため、電子制御システムの防御力を高めることができる。そのため、多層防御を採用した電子制御システムSでは、「セキュリティレベル」が異なる複数の層が存在することとなる。そこで、電子制御システムSをセキュリティレベルに応じて複数の層に分割し、各ECUをそれぞれいずれかの層に分類する。
多くの電子制御システムSでは、攻撃に対するセキュリティ性を高めるために多層防御が採用されている。多層防御によれば、攻撃に対する対策としてセキュリティ機能を階層的・多層的に設けることで、攻撃を受けた場合に一の対策(すなわち、一層目)が突破されても、次の対策(すなわち、二層目)が攻撃を防御することができるため、電子制御システムの防御力を高めることができる。そのため、多層防御を採用した電子制御システムSでは、「セキュリティレベル」が異なる複数の層が存在することとなる。そこで、電子制御システムSをセキュリティレベルに応じて複数の層に分割し、各ECUをそれぞれいずれかの層に分類する。
ここで、「セキュリティレベル」とは、攻撃に対する安全性、又は攻撃に対する抑止力を示す指標である。
図3に示す電子制御システムSは三層の防御層を有する。この例では、CGW11のVM111及びECU12~ECU13が第一層に属しており、CGW11のVM112及びECU14~15が第二層に属しており、ECU16~17が第三層に属している。
なお、図3の電子制御装置システムSは三層の防御層を有しているが、四層以上の防御層を設けてもよい。例えば、サブゲートウェイECUを介して接続されているECUを第四層としてもよい。あるいは、TCU(Telematics Control Unit)やIVI(In-Vehicle Infotainment system)といったエントリーポイントと呼ばれるECUは、図3に示す各ECUとは異なる防御層に属してもよい。
(c)セキュリティセンサ
電子制御システムSを構成する各ECUには、ECU内部やECUが接続されたネットワークを監視する単数又は複数のセキュリティセンサが搭載される。セキュリティセンサがECU内部又はネットワークに発生した異常を検知すると、セキュリティログを生成・出力する。セキュリティログは、セキュリティセンサが異常を検知したことを示す異常情報と、異常が検知されたECUを示す識別情報と、を含む。以下の実施形態では、異常が検知されたECUを異常ECUと称し、セキュリティセンサによって生成・出力されたセキュリティログを個別セキュリティログと称する。なお、本明細書では、説明を容易にするために、ECUと符号の組み合わせ(例えば、ECU12)を、そのままECUの識別情報として用いる。セキュリティセンサの例としては、ファイアウォール、プロキシ、認証などが挙げられるが、これらに限定されるものではない。
電子制御システムSを構成する各ECUには、ECU内部やECUが接続されたネットワークを監視する単数又は複数のセキュリティセンサが搭載される。セキュリティセンサがECU内部又はネットワークに発生した異常を検知すると、セキュリティログを生成・出力する。セキュリティログは、セキュリティセンサが異常を検知したことを示す異常情報と、異常が検知されたECUを示す識別情報と、を含む。以下の実施形態では、異常が検知されたECUを異常ECUと称し、セキュリティセンサによって生成・出力されたセキュリティログを個別セキュリティログと称する。なお、本明細書では、説明を容易にするために、ECUと符号の組み合わせ(例えば、ECU12)を、そのままECUの識別情報として用いる。セキュリティセンサの例としては、ファイアウォール、プロキシ、認証などが挙げられるが、これらに限定されるものではない。
なお、個別セキュリティログは、異常情報及び異常ECUの識別情報の他、電子制御システムSを特定する識別情報、セキュリティセンサが検知した異常が発生した位置を示す位置情報、異常を検知した時刻、異常を検知した回数、異常を検知した順番、異常の検知前に受信したデータの内容やIPアドレス(送信元及び送信先)の情報、等を含んでもよい。
(d)ドメインコントローラ
図3には示していないが、電子制御システムSを構成する複数のECUを機能や役割に応じてドメインと称される単位に分割して、ドメイン毎にECUを管理する、いわゆるドメイン・アーキテクチャと呼ばれるシステムがある。このようなドメイン・アーキテクチャでは、ドメインコントローラと呼ばれるECUがドメイン毎にECUを管理する。本願の電子制御システムSがドメイン・アーキテクチャである場合、ドメインコントローラであるECUと、ドメインコントローラによって管理されるECUとは、仮に同じ防御層に属している場合であっても、セキュリティが異なることが多い。そのため、ドメインコントローラと、当該ドメインコントローラによって管理されるECUは、後述する攻撃推定用ログ生成装置200において、同じグループであると判定されず、異なるグループであると判定される。
図3には示していないが、電子制御システムSを構成する複数のECUを機能や役割に応じてドメインと称される単位に分割して、ドメイン毎にECUを管理する、いわゆるドメイン・アーキテクチャと呼ばれるシステムがある。このようなドメイン・アーキテクチャでは、ドメインコントローラと呼ばれるECUがドメイン毎にECUを管理する。本願の電子制御システムSがドメイン・アーキテクチャである場合、ドメインコントローラであるECUと、ドメインコントローラによって管理されるECUとは、仮に同じ防御層に属している場合であっても、セキュリティが異なることが多い。そのため、ドメインコントローラと、当該ドメインコントローラによって管理されるECUは、後述する攻撃推定用ログ生成装置200において、同じグループであると判定されず、異なるグループであると判定される。
(3)攻撃推定用ログ生成装置200
図4を参照して、本実施形態の攻撃推定用ログ生成装置200の構成を説明する。攻撃推定用ログ生成装置200は、個別ログ取得部201、特徴数情報取得部202、特徴テーブル保存部203、グループ判定部204、及び出力部205を備える。上述したとおり、攻撃推定用ログ生成装置200は、攻撃推定検証装置100が攻撃を推定するために必要なログを生成する装置であり、攻撃推定検証装置100の前提となる装置であるといえる。
図4を参照して、本実施形態の攻撃推定用ログ生成装置200の構成を説明する。攻撃推定用ログ生成装置200は、個別ログ取得部201、特徴数情報取得部202、特徴テーブル保存部203、グループ判定部204、及び出力部205を備える。上述したとおり、攻撃推定用ログ生成装置200は、攻撃推定検証装置100が攻撃を推定するために必要なログを生成する装置であり、攻撃推定検証装置100の前提となる装置であるといえる。
個別ログ取得部201は、電子制御システムSで検知された異常を示す異常情報と、異常が検知されたECUである異常ECU(「異常電子制御装置」に相当)を示す識別情報と、を含む個別セキュリティログを取得する。
特徴数情報取得部202は、電子制御システムSを構成する各ECUが有すると仮定される特徴の最大数を示す特徴数情報を取得する。この特徴数情報には、例えば、攻撃分析システム1のユーザによって任意の値が入力される。
特徴テーブル保存部203は、電子制御システムSを構成する各ECUの識別情報と、各ECUが「現実に」有する特徴と、各ECUが有すると仮定される特徴と、特徴に応じて設定されたグループ情報と、の対応関係を示す特徴テーブルを保存する記憶部である。図5、図6は、特徴テーブルの一例を示す図である。各ECUが有すると仮定される特徴は、特徴数情報取得部202が取得する特徴数情報に応じて異なる。そのため、特徴テーブル保存部203は、特徴数情報の値毎に複数の特徴テーブルを保存する。
ここで、「現実に」とは、特徴を利用して何らかの機能を実現できる状態にあればよく、例えば、仮想マシンの特徴も現実に有する特徴に含まれる。
図5、図6では、説明を容易にするために、特徴テーブルが、各ECUが現実に有する特徴、及び各ECUが有すると仮定される特徴を含んでいる。しかしながら、特徴テーブルは必ずしも、これらの特徴を含んでいなくともよい。すなわち、特徴テーブルは単に、各ECUの識別情報と、グループ情報との対応関係を示すテーブルであってもよい。ただし、この場合、特徴テーブルのグループ情報は、現実に有する特徴及び有すると仮定される特徴に応じて予め設定される。
なお、特徴数情報が常に一定の値に設定される場合、特徴テーブル保存部203は、特徴数情報が示す値毎に特徴テーブルを保存する必要がないため、1つの特徴テーブルのみを保存する。この場合、攻撃推定用ログ生成装置200は特徴数情報取得部202を有しなくともよい。
グループ判定部204は、個別セキュリティログに含まれる異常ECUの識別情報に基づいて、異常ECUが属するグループを示すグループ情報を判定する。ここで、グループとは、電子制御システムSを構成する複数のECUのうち1以上のECUをグループ化したものである。ECUは、ECUが「現実に」有する特徴、及びECUが有すると仮定される特徴に応じてグループ化される。以下、ECUが現実に有する特徴を実特徴と称し、ECUが有すると仮定される特徴を仮特徴と称する。電子制御システムSを構成するECUのうち、同じ実特徴及び仮特徴を有するECUは同じグループにグループ化される。グループ判定部204による処理は後述する。
ここで、特徴とは、例えばネットワークである。この場合、ECUが現実に有する特徴とは、ECUに現実に接続されているネットワークであり、ECUが有すると仮定される特徴とは、ECUに現実には接続されていないが、接続されていると仮定されるネットワークである。
別の例では、特徴とはECUの機能である。この場合、ECUが現実に有する特徴とは、ECUが現実に発揮することができる機能であり、ECUが有すると仮定される特徴とは、ECUが現実に発揮することができないが、発揮することができると仮定される機能である。ECUの機能として、例えば、車載システムを構成するECUの場合、ECUの機能として例えば、車両を操舵する機能、外部との通信を制御する機能、ナビゲーションシステムに関する機能、等が挙げられる。あるいは、ECUの機能とは、各ECUが有する異常検知機能であってもよい。
出力部205は、個別セキュリティログに含まれる異常情報、異常ECUの識別情報、及びグループ判定部204が判定したグループ情報、を含むセキュリティログを攻撃推定検証装置100に出力する。このセキュリティログには、個別セキュリティログに含まれていた他の情報が含まれていてもよい。
次に、グループ判定部204による判定処理を説明する。グループ判定部204は、例えば、図5、図6に示すような特徴テーブルを用いて、実特徴及び仮特徴を判定する。図5は、特徴数情報が示す値が1であって、特徴がネットワークである場合の特徴テーブルである。図6は、特徴数情報が示す値が2であって、特徴がECUの機能である場合の特徴テーブルである。
個別ログ取得部201が個別セキュリティログを取得すると、グループ判定部204は、特徴数情報取得部202が取得した特徴数情報が示す特徴の最大数を参照する。例えば、個別セキュリティログに含まれる異常ECUの識別情報がECU12であり、特徴数情報取得部202が取得した特徴数情報が1であるとする。この場合、グループ判定部204は、図5に示す特徴テーブルを用いて、異常ECUの識別情報[ECU12]に対応付けられたグループ情報[G-01]を判定する。
なお、図5の特徴テーブルによれば、異常ECU12の実特徴、すなわち、異常ECU12が現実に接続されているネットワークはCAN1であり、異常ECU12の仮特徴、すなわち、異常ECUが接続されていると仮定されるネットワークはCAN2である。そして、ECUに現実に接続されている、又は接続されていると仮定されているネットワークが異常ECU12と同じであるVM111、ECU13は、ECU12と同じくグループ情報[G-01]が示すグループに属する。図7は、図3に示す電子制御システムSに、仮特徴であるネットワークを破線で追記した図である。ECU12にはCAN2が接続されていると仮定されている。図7では、ECU14、ECU17の仮特徴であるネットワークも破線で表している。図7によれば、ECU12、ECU13、VM111が同じネットワーク(CAN1、CAN2)に接続されていることが明らかである。
別の例として、例えば、個別セキュリティログに含まれる異常ECUの識別情報がECU14であり、特徴数情報取得部202が取得した特徴数情報が2であるとする。この場合、グループ判定部204は、図6に示す特徴テーブルを用いて、異常ECUの識別情報[ECU14]に対応付けられたグループ情報[G-02]を判定する。
なお、図6の特徴テーブルによれば、異常ECU14の実特徴、すなわち、異常ECU14が現実に有する機能は機能A及び機能Dであり、異常ECU14の仮特徴、すなわち、異常ECU14が有すると仮定される機能は機能Eである。そして、ECUが現実に有する、又は有すると仮定されている機能が異常ECU14と同じであるVM112、ECU15は、ECU14と同じくグループ情報[G-02]が示すグループに属する。
図3に示すように、電子制御システムSに多層防御が採用されている場合、グループ判定部204は、上述したネットワークや機能といった特徴に加えて、ECUのセキュリティレベルを特徴として判定し、ECUが属する層に応じてグループを判定してもよい。この場合、セキュリティレベルが異なるECUが同じグループとして判定されることはなく、異なるグループとして判定されることが望ましい。
例えば、特徴数情報が示す値が3である、すなわち、各ECUの仮特徴の最大数は3である場合を説明する。ECU12の仮特徴を、CAN2、CAN3、CAN4とした場合、ECU12の実特徴及び仮特徴はCAN1、CAN2、CAN3、CAN4である。また、ECU14の仮特徴をCAN1、CAN2、CAN4とした場合、ECU12の実特徴及び仮特徴はCAN1、CAN2、CAN3、CAN4である。そのため、ECU12とECU14は同じ実特徴及び仮特徴を有することとなる。しかしながら、ECU12が第一層に属するのに対し、ECU14は第二層に属する。そのため、ECU12とECU14とは同じグループとして判定はされない。
電子制御システムの物理的な構成が車種等によって異なる場合であっても、多層防御を採用する電子制御システムでは、共通するセキュリティ機能が配置される。そのため、いかなる構成を有する電子制御システムにおいても、セキュリティレベルに応じて電子制御システムを複数の層に分割することができる。さらに、電子制御システムの物理的な構成が異なっていても、それぞれの防御層で保護すべきECUには共通性があることが多い。そこで、電子制御システムのセキュリティレベルと、各ECUが有するネットワークや機能に応じてECUをグループ化することで、電子制御システムSのグループが、他の電子制御制御システムのグループと共通性を有するグループとなる。その結果、電子制御システムSと他の電子制御システムとで、共通する攻撃分析ルールを適用することが可能となる。
なお、ECUが有する特徴としてネットワーク及び機能を例示したが、これらに限定されるものではない。さらに、グループ判定部204は、ECUの特徴として、複数の種別が異なる特徴、すなわち、ネットワーク及び機能の両方に基づいてECUが属するグループを判定してもよい。
本明細書では、1つのネットワーク又は1つの機能が1つの特徴に対応するものとして説明しているが、ECUが有する複数のネットワーク又は複数の機能をまとめて、本明細書における特徴としてもよい。この場合、特徴数情報取得部202が取得する特徴の最大数とは、特徴に含まれる仮特徴の数を示すものである。
なお、図2bに示すように、攻撃分析システム1がサーバ装置である場合、攻撃推定用ログ生成装置200は多数の車両からそれぞれ個別セキュリティログを取得して、セキュリティログを生成する。そのため、特徴テーブル保存部202は、それぞれの車両が有する電子制御システムに対応した特徴テーブルを多数保存しておく必要がある。そこで、グループ判定部204が使用すべき特徴テーブルを容易に特定するために、個別セキュリティログは電子制御システムを特定する情報を含むことが望ましい。これにより、グループ判定部204は、個別セキュリティログに含まれるECUが現実に有する、又は有すると仮定される特徴を判定するために利用する特徴テーブルを容易に特定することができる。
(4)攻撃推定検証装置100
次に、本実施形態の攻撃推定検証装置100について、図8を参照して説明する。攻撃推定検証装置100は、攻撃推定用ログ取得部101、攻撃・異常関係テーブル保存部102、特徴テーブル保存部103、攻撃推定部104、検証部105、及び通知部106を備える。
次に、本実施形態の攻撃推定検証装置100について、図8を参照して説明する。攻撃推定検証装置100は、攻撃推定用ログ取得部101、攻撃・異常関係テーブル保存部102、特徴テーブル保存部103、攻撃推定部104、検証部105、及び通知部106を備える。
攻撃推定用ログ取得部101(「ログ取得部」に相当)は、攻撃推定用ログ生成装置200から出力された、攻撃推定用のセキュリティログを「取得する」。上述したとおり、ログ取得部101が取得するセキュリティログには、異常ECUを示す識別情報、異常ECUで検知された異常を示す異常情報、及び異常ECUが属するグループを示すグループ情報、が含まれる。
「取得する」とは、外部の装置からセキュリティログを取得する場合の他、当該攻撃推定検証装置がセキュリティログを自ら生成することにより取得する場合のいずれも含む。
攻撃・異常関係テーブル保存部102は、攻撃・異常関係テーブルを保存する記憶部である。攻撃・異常関係テーブルは、電子制御システムが受けることが想定される攻撃の種別を示す攻撃情報と、攻撃を受けた場合に電子制御システムにおいて発生することが予測される異常を示す予測異常情報と、予測される異常が発生するグループを示す予測グループ情報と、の対応関係を示すテーブルである。攻撃・異常関係テーブルは、電子制御システムSに固有のテーブルではなく、電子制御システムSとは異なる構成を有する他の電子制御システムの攻撃推定にも使用されるテーブルである。
図9は、攻撃・異常関係テーブルの一例を示す図である。図9に示す攻撃・異常関係テーブルでは、攻撃の種別(攻撃A~X)毎に、電子制御システムが当該攻撃を受けた場合に生じる異常と、異常が発生しうるグループを示している。図9はさらに、攻撃の種別と、当該サイバー攻撃を受けた場合に想定される攻撃起点及び攻撃対象との対応関係を示している。なお、攻撃起点及び攻撃対象はいずれも、電子制御システムSの構成に固有のECUを示すものではなく、攻撃起点及び攻撃対象のECUが属するグループである。そのため、攻撃起点及び攻撃対象はそれぞれ、攻撃起点グループ及び攻撃対象グループと称する。また、図9における異常Aとは、ECUが有する機能Aに異常が発生したことを示している。
例えば、攻撃種別が攻撃Aである攻撃を受けた場合、電子制御システムでは、グループ[G-01]に属するECUにおいて、異常A及び異常Cの異常が発生することが予測される。また、攻撃Aの攻撃起点グループは識別番号[G-00]が示すグループであり、攻撃対象グループは識別番号[G-01]が示すグループである。なお、攻撃起点は、電子制御システム内部である場合の他、電子制御システムの外部である場合が想定される。攻撃起点が電子制御システムの外部であるとは、車外から攻撃を受けている場合である。識別番号[G-00]は、攻撃起点が電子制御システムの外部であることを示している。
なお、図9は、1つの攻撃・異常関係テーブルを示しているが、攻撃・異常関係テーブル保存部102は、特徴数情報が示す値毎に攻撃・異常関係テーブルを保存する。仮特徴の最大数が異なる場合、攻撃推定用ログ生成装置200において異常ECUが属するグループが異なる可能性があり、攻撃推定に使用すべき攻撃・異常関係テーブルもまた異なるためである。
特徴テーブル保存部103は、攻撃推定用ログ生成装置200が有する特徴テーブルと同じ特徴テーブルを保存する記憶部である。すなわち、特徴テーブル保存部103は、図5、図6に示すような特徴テーブルを保存している。
攻撃推定部104は、攻撃・異常関係テーブルを用いて、電子制御システムSが受けた攻撃の種別を推定する。具体的には、攻撃推定部104は、攻撃・異常関係テーブルから、ログ取得部201が取得したセキュリティログに含まれる異常情報及びグループ情報の「組み合わせに対応する」予測異常情報及び予測グループ情報の組み合わせを特定する。なお、異常情報及びグループ情報の組み合わせと一致する予測異常情報及び予測グループ情報の組み合わせが攻撃・異常関係テーブルに存在しない場合、攻撃推定部104は、攻撃・異常関係テーブルに含まれる予測異常情報及び予測グループ情報の組み合わせの中から、最も近い組み合わせを特定する。そして、最も近い組み合わせを示す攻撃種別を、電子制御システムが受けた攻撃の種別であると推定する。
ここで、「組み合わせに対応する」とは、組み合わせが一致する、又は類似する組み合わせであることをいう。
例えば、セキュリティログに含まれる異常情報が異常A及び異常Eを示しており、グループ情報がG-02を示している場合を説明する。この場合、攻撃推定部104は、攻撃・異常関係テーブルから、異常情報(異常A、異常E)及びグループ情報(G-02)の組み合わせに対応する予測異常情報及び予測グループ情報の組み合わせを特定する。図9の例では、攻撃Bの予測異常情報及び予測グループ情報の組み合わせが、異常情報(異常A、異常E)及びグループ情報(G-02)の組み合わせと一致している。そこで、攻撃推定部104は、電子制御システムSが受けた攻撃の種別は攻撃Bであると推定する。
セキュリティログが、異常情報が示す異常の発生順序や回数を含む場合、攻撃推定部104は、攻撃種別を推定する際に、これらの情報をさらに用いてもよい。この場合、攻撃・異常関係テーブルには、予測異常情報として、異常の発生順序や回数が含まれる。
なお、最も近い組み合わせが複数存在する場合には、攻撃推定部104は、電子制御システムSが受けた攻撃の種別が、対応する複数の攻撃のうちのいずれかであると推定する。例えば、異常情報が異常Dを示しており、グループ情報がG-02を示している場合を検討する。図9には、異常情報(異常D)及びグループ情報(G-02)の組み合わせと一致する予測異常情報及び予測グループ情報の組み合わせはない。しかしながら、予測異常情報(異常D)及びグループ情報(G-02)の組み合わせを含むものとして、攻撃C及び攻撃Dがある。そこで、攻撃推定部104は、電子制御システムSが受けた攻撃の種別が攻撃C又は攻撃Dのいずれかであると推定する。
攻撃推定部104はさらに、電子制御システムSが受けた攻撃種別を推定することに加えて、当該攻撃の攻撃起点グループ及び攻撃対象グループを推定する。図9に示す通り、攻撃・異常関係テーブルは、攻撃種別と、攻撃起点グループ及び攻撃対象グループとを対応付けて保存しているため、攻撃推定部104は、攻撃・異常関係テーブルを用いて攻撃起点グループ及び攻撃対象グループを推定することが可能である。
検証部105は、攻撃推定用ログ生成装置200におけるECUのグループ化、又は、異常ECUが有すると仮定された特徴が適切であるか否かを検証する。具体的には、攻撃推定部104により推定された攻撃種別の攻撃が、異常ECUが有すると仮定された特徴に関連する攻撃である場合に、ECUのグループ化、又は、異常ECUが有すると仮定された特徴が適切ではないと判定する。検証部105の詳細な処理については、後述する。
通知部106は、検証部105による検証結果を、攻撃分析システム1のユーザに通知する。通知部106が通知する方法は任意である。例えば、通知部106は、音声又は文字によって検証結果を通知する。なお、通知部106は、攻撃推定用ログ生成装置200におけるECUのグループ化、又は、異常ECUが有すると仮定された特徴が適切でないと判定した場合に限り、検証結果を通知してもよい。
次に、検証部105による検証方法を説明する。まず、特徴がネットワークである場合の検証部105による検証方法を説明する。
例えば、攻撃推定部104が、攻撃種別が図9に示す攻撃Dであり、攻撃起点グループが[G-02]、攻撃対象グループが[G-03]であると推定したものとする。図3又は図7によれば、グループ[G-02]とグループ[G-03]はCAN4を介して接続されているため、攻撃Dの攻撃経路はCAN4を介して行われるものである。したがって、CAN4は、攻撃Dに関連するネットワークである。
ここで、検証部105は、特徴テーブル保存部103に保存されている特徴テーブルを参照して、セキュリティログに含まれる識別情報が示す異常ECUの仮特徴を特定する。識別情報がECU15を示している場合、図5に示す特徴テーブルによれば、ECU15に接続されていると仮定されたネットワークはない。つまり、攻撃推定部104が推定した攻撃Dは、識別情報が示す異常ECU15に接続されていると仮定されたネットワークに関連する攻撃ではない。この場合、検証部105は、ECUのグループ化は適切であると判定することができる。
これに対し、識別情報がECU14を示している場合、図5に示す特徴テーブルによれば、ECU14に接続されていると仮定されたネットワークはCAN4であり、検証部105は異常ECUの仮特徴はCAN4であると特定する。上述したとおり、攻撃推定部104により推定された攻撃DはCAN4を介して行われる攻撃であり、異常ECU14に接続されていると仮定されたネットワークを介した攻撃である。そこで、検証部105は、ECUのグループ化が適切ではない、又は、異常ECU14が有すると仮定された特徴が適切ではないと判定する。
これに対し、識別情報がECU14を示している場合、図5に示す特徴テーブルによれば、ECU14に接続されていると仮定されたネットワークはCAN4であり、検証部105は異常ECUの仮特徴はCAN4であると特定する。上述したとおり、攻撃推定部104により推定された攻撃DはCAN4を介して行われる攻撃であり、異常ECU14に接続されていると仮定されたネットワークを介した攻撃である。そこで、検証部105は、ECUのグループ化が適切ではない、又は、異常ECU14が有すると仮定された特徴が適切ではないと判定する。
次に、特徴がECUの機能である場合の検証部105による検証方法を説明する。
例えば、攻撃推定部104が、図9に示す攻撃種別が攻撃Aであると推定したものとする。上述した例と同様、検証部105は、特徴テーブルに保存されている特徴テーブルを参照して、セキュリティログに含まれる識別情報が示す異常ECUの仮特徴を特定する。
例えば、攻撃推定部104が、図9に示す攻撃種別が攻撃Aであると推定したものとする。上述した例と同様、検証部105は、特徴テーブルに保存されている特徴テーブルを参照して、セキュリティログに含まれる識別情報が示す異常ECUの仮特徴を特定する。
識別情報がECU12を示している場合、図6に示す特徴テーブルによれば、ECU12が有すると仮定された機能は機能Bであり、検証部105は異常ECU12の仮特徴は機能Bである特定する。ここで、攻撃推定部104が推定した攻撃Aは異常A及び異常Cが発生している場合の攻撃であり、機能A及び機能Cに異常が発生する場合の攻撃である。したがって、識別情報が示す異常ECU12が有すると仮定された特徴(機能B)に関連する攻撃ではない。この場合、検証部105は、ECUのグループ化や、異常ECUが有すると仮定された機能は適切であると判定することができる。
これに対し、識別情報がECU13を示している場合、図6に示す特徴テーブルによれば、ECU13が有すると仮定された機能は機能A、機能Bであり、検証部105は異常ECU13の仮特徴は機能A、機能Bである特定する。上述したとおり、攻撃推定部104により推定された攻撃Aは、異常Aが発生している場合の攻撃であり、異常ECU13が有すると仮定された機能(機能A)に対する攻撃である。そこで、検証部105は、ECUのグループ化が適切ではない、又は、異常ECU13が有すると仮定された特徴が適切ではないと判定する。
これに対し、識別情報がECU13を示している場合、図6に示す特徴テーブルによれば、ECU13が有すると仮定された機能は機能A、機能Bであり、検証部105は異常ECU13の仮特徴は機能A、機能Bである特定する。上述したとおり、攻撃推定部104により推定された攻撃Aは、異常Aが発生している場合の攻撃であり、異常ECU13が有すると仮定された機能(機能A)に対する攻撃である。そこで、検証部105は、ECUのグループ化が適切ではない、又は、異常ECU13が有すると仮定された特徴が適切ではないと判定する。
なお、攻撃分析システム1のユーザは、通知部106からの通知に基づき、特徴テーブルやECUが有すると仮定される特徴を設定しなおすことで、攻撃推定及び検証の精度を高めることができる。特に、攻撃分析システム1が試験用システムである場合には、実際の車両を用いた攻撃分析を運用する前に、テスト環境で特徴テーブルやECUが有すると仮定される特徴の適否を検証することができるため、運用後に適切な特徴テーブルや特徴を考慮した攻撃推定を行うことができる。試験用システムにおいて、特徴テーブルやECUが有すると仮定される特徴について検証したにもかかわらず、運用後に、異常ECUが有すると仮定された特徴に関連する攻撃を受けた場合には、特徴テーブルが改ざんされた可能性がある。このような場合、通知部106からの通知を受けたユーザは、ハッシュ値を利用して特徴テーブルの改ざんの検証をしてもよい。
(5)攻撃分析システム1及び攻撃推定検証装置100の動作
次に、図10を参照して、攻撃分析システム1の動作を説明する。図10は、攻撃分析システム1で実行される方法を示すだけでなく、攻撃分析システム1で実行可能なプログラムの処理手順を示すものでもある。そして、これらの処理は、図10に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
次に、図10を参照して、攻撃分析システム1の動作を説明する。図10は、攻撃分析システム1で実行される方法を示すだけでなく、攻撃分析システム1で実行可能なプログラムの処理手順を示すものでもある。そして、これらの処理は、図10に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
攻撃推定用ログ生成装置200の個別ログ取得部201は、電子制御システムSを構成するECUで生成された個別セキュリティログを取得する(S10)。
S101で個別セキュリティログを取得すると、特徴数情報取得部202は、仮特徴の最大数を示す特徴数情報を取得する(S11)。
グループ判定部204は、個別セキュリティログに含まれる異常ECUの識別情報に基づいて、異常ECUが属するグループを判定する(S12)。
そして、出力部205は、個別セキュリティログに含まれる異常情報と、識別情報と、S12で判定したグループを示すグループ情報と、を含むセキュリティログを、攻撃推定検証装置100に出力する。
S101で個別セキュリティログを取得すると、特徴数情報取得部202は、仮特徴の最大数を示す特徴数情報を取得する(S11)。
グループ判定部204は、個別セキュリティログに含まれる異常ECUの識別情報に基づいて、異常ECUが属するグループを判定する(S12)。
そして、出力部205は、個別セキュリティログに含まれる異常情報と、識別情報と、S12で判定したグループを示すグループ情報と、を含むセキュリティログを、攻撃推定検証装置100に出力する。
攻撃推定検証装置100のログ取得部101は、攻撃推定用ログ生成装置200から出力されたセキュリティログを取得する(S101)。
攻撃推定部104は、セキュリティログに含まれる異常情報とグループ情報との組み合わせに対応する攻撃・異常関係テーブルの予測異常情報及び予測グループ情報の組み合わせから、電子制御システムSが受けた攻撃を推定する(S102)。
検証部105は、識別情報に基づいて異常ECUの仮特徴を判定する(S103)。
次いで、検証部105は、S102で推定された攻撃が、S103で判定した仮特徴に関連する攻撃である場合に、グループのグループ化が適切ではない、又は、ECUが有すると仮定された特徴が適切ではない、と判定する検証処理を行う(S104)。
そして、通知部106は、検証部105による検証結果を、攻撃推定検証装置100のユーザに通知する(S105)。
攻撃推定部104は、セキュリティログに含まれる異常情報とグループ情報との組み合わせに対応する攻撃・異常関係テーブルの予測異常情報及び予測グループ情報の組み合わせから、電子制御システムSが受けた攻撃を推定する(S102)。
検証部105は、識別情報に基づいて異常ECUの仮特徴を判定する(S103)。
次いで、検証部105は、S102で推定された攻撃が、S103で判定した仮特徴に関連する攻撃である場合に、グループのグループ化が適切ではない、又は、ECUが有すると仮定された特徴が適切ではない、と判定する検証処理を行う(S104)。
そして、通知部106は、検証部105による検証結果を、攻撃推定検証装置100のユーザに通知する(S105)。
(6)小括
以上、本開示の攻撃分析システム1及び攻撃推定検証装置100によれば、電子制御システムSが攻撃を受けた場合に、ECUが現実に有する特徴だけでなく、ECUが有すると仮定される特徴を考慮して、電子制御システムSを構成する複数のECUをグループ化して攻撃の推定を行い、攻撃の推定結果を用いて、ECUをグループ化する処理が適切であるか否かを検証する。これにより、ECUのグループ化が適切ではない場合、又は、ECUが有すると仮定された特徴が適切ではない場合に、ユーザに検証結果をフィードバックすることで、精度の高い攻撃推定を実現することが可能となる。
以上、本開示の攻撃分析システム1及び攻撃推定検証装置100によれば、電子制御システムSが攻撃を受けた場合に、ECUが現実に有する特徴だけでなく、ECUが有すると仮定される特徴を考慮して、電子制御システムSを構成する複数のECUをグループ化して攻撃の推定を行い、攻撃の推定結果を用いて、ECUをグループ化する処理が適切であるか否かを検証する。これにより、ECUのグループ化が適切ではない場合、又は、ECUが有すると仮定された特徴が適切ではない場合に、ユーザに検証結果をフィードバックすることで、精度の高い攻撃推定を実現することが可能となる。
さらに、本開示の攻撃分析システム1及び攻撃推定検証装置100によれば、電子制御システムSを構成する多数のECU毎に、あるいは、構成が異なる複数の電子制御システム毎に、攻撃を推定して検証するためのツールを設ける必要がなくなるため、攻撃推定のための装置やプログラムの管理が容易になるとともに、攻撃の推定に要する処理負荷を軽減することができる。さらに、将来的に電子制御システムを構成するECUの数や構成が変化した場合にも適用することが可能となる。
(7)変形例
上述した第1の実施形態では、攻撃推定検証装置100が、攻撃推定用ログ生成装置200と同じ特徴テーブルを特徴テーブル保存部103に保存している構成を説明した。本変形例では、攻撃推定検証装置100が特徴テーブルを有しない構成を説明する。
上述した第1の実施形態では、攻撃推定検証装置100が、攻撃推定用ログ生成装置200と同じ特徴テーブルを特徴テーブル保存部103に保存している構成を説明した。本変形例では、攻撃推定検証装置100が特徴テーブルを有しない構成を説明する。
攻撃推定検証装置100が特徴テーブルを有しない場合、攻撃推定検証装置100の検証部105は、異常ECUが有すると仮定された特徴を判定することができず、ひいては、ECUのグループ化や、異常ECUが有すると仮定された特徴が適切であるか否かを検証することができない。そこで、本変形例の攻撃推定用ログ取得部101は、異常情報、識別情報、及びグループ情報に加えて、異常ECUの仮特徴を示す情報を含むセキュリティログを攻撃推定用ログ生成装置200から取得する。これにより、攻撃推定検証装置100は、特徴テーブルを有していなくとも、ECUのグループ化や、異常ECUが有すると仮定された特徴が適切であるか否かを検証することが可能となる。
あるいは、本変形例の攻撃推定用ログ取得部101は、異常ECUの仮特徴を示す情報に代えて、異常ECUの実特徴を示す情報を含むセキュリティログを取得してもよい。ただし、この場合、攻撃推定検証装置100は、それぞれのグループがいずれの実特徴及び仮特徴を有するかを予めメモリ等に保存しておく必要がある。そして、メモリ等に保存された実特徴及び仮特徴と、セキュリティログに含まれる実特徴との差分が、異常ECUの仮特徴であると判定する。
2.第2の実施形態
第1の実施形態では、攻撃推定検証装置100と攻撃推定用ログ生成装置200とが異なる装置である場合を説明した。これに対し、本実施形態では、攻撃推定検証装置100と攻撃推定用ログ生成装置200とが一体の装置として構成する。攻撃推定検証装置100と攻撃推定用ログ生成装置200とを一体として構成した装置を、攻撃分析装置(「攻撃推定検証装置」に相当)110とする。
第1の実施形態では、攻撃推定検証装置100と攻撃推定用ログ生成装置200とが異なる装置である場合を説明した。これに対し、本実施形態では、攻撃推定検証装置100と攻撃推定用ログ生成装置200とが一体の装置として構成する。攻撃推定検証装置100と攻撃推定用ログ生成装置200とを一体として構成した装置を、攻撃分析装置(「攻撃推定検証装置」に相当)110とする。
本実施形態における攻撃推定検証装置100及び攻撃推定用ログ生成装置200の構成、機能、及び動作は第1の実施形態と同じであるため、説明は省略する。なお、第1の実施形態では、攻撃推定検証装置100の特徴テーブル保存部103、及び攻撃推定用ログ生成装置200の特徴テーブル保存部203がそれぞれ特徴テーブルを保存していたが、本実施形態では、攻撃分析装置110は一の特徴テーブル保存部を有していれば足りる。そして、攻撃推定用ログ生成装置200がセキュリティログを生成する処理、及び攻撃推定検証装置100が攻撃推定結果を検証する処理では、同じ特徴テーブルを参照する。
本実施形態の攻撃分析装置110と電子制御システムSは、第1の実施形態の図2a、図2bと同様の配置を取ることができる。すなわち、攻撃分析装置110は「移動体」である車両に搭載されてもよく、サーバ装置で実現されてもよい。
3.総括
以上、本発明の実施形態における攻撃推定検証装置等の特徴について説明した。
以上、本発明の実施形態における攻撃推定検証装置等の特徴について説明した。
実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
実施形態は、車両に搭載される電子制御システムに対する攻撃を分析するための車両用の攻撃分析システム及び攻撃推定検証装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
また、本発明の攻撃推定検証装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
また攻撃推定検証装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明は、実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明の攻撃推定検証装置は、主として自動車に搭載された車載電子制御システムが受けた攻撃を推定・結果を検証する装置を対象としているが、車載電子制御システム以外のシステムに対する攻撃を推定・検証する装置を対象としてもよい。
100 攻撃推定検証装置、101 ログ取得部、102 攻撃・異常関係テーブル保存部、103 特徴テーブル保存部、104 攻撃推定部、105 検証部、106 通知部、201 個別ログ取得部、204 グループ判定部、205 出力部
Claims (13)
- 電子制御システムを構成する複数の電子制御装置のうち異常が検知された電子制御装置である異常電子制御装置を示す識別情報と、前記異常電子制御装置で検知された異常を示す異常情報と、前記複数の電子制御装置それぞれが現実に有する及び有すると仮定された特徴に応じて前記複数の電子制御装置のうち1以上の電子制御装置をグループ化したグループであって、前記異常電子制御装置が属するグループを示すグループ情報と、を含むセキュリティログを取得するログ取得部(101)と、
攻撃の種別を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生するグループを示す予測グループ情報と、の対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(102)と、
前記異常情報及び前記グループ情報の組み合わせに対応する前記予測異常情報及び前記予測グループ情報の組み合わせから、前記電子制御システムが受けた攻撃を推定する攻撃推定部(104)と、
前記攻撃推定部により推定された前記攻撃が、前記識別情報が示す前記異常電子制御装置が有すると仮定された特徴に関連する攻撃である場合に、前記グループのグループ化が適切ではない又は前記異常電子制御装置が有すると仮定された特徴が適切ではない、と判定する検証部(105)と、
前記検証部による検証結果を通知する通知部(106)と、
を備える攻撃推定検証装置(100,110)。 - 前記特徴は、前記複数の電子制御装置それぞれに現実に接続されている、又は接続されていると仮定されたネットワークであり、
前記検証部は、推定された前記攻撃が、前記異常電子制御装置に接続されていると仮定されたネットワークを介した攻撃である場合に、前記グループのグループ化が適切ではない又は前記異常電子制御装置に接続されていると仮定されたネットワークが適切ではないと判定する、
請求項1記載の攻撃推定検証装置。 - 前記特徴はさらに、前記電子制御システムをセキュリティレベルに応じて分割した複数の層のうち、前記複数の電子制御装置それぞれが属する層である、
請求項2記載の攻撃推定検証装置。 - 前記特徴は、前記複数の電子制御装置それぞれが現実に有する、又は有すると仮定された機能であり、
前記検証部は、推定された前記攻撃が、前記異常電子制御装置が有すると仮定された機能に対する攻撃である場合に、前記グループのグループ化が適切ではない又は前記異常電子制御装置が有すると仮定された機能が適切ではないと判定する、
請求項1記載の攻撃推定検証装置。 - 前記特徴はさらに、前記電子制御システムをセキュリティレベルに応じて分割した複数の層のうち、前記複数の電子制御装置それぞれが属する層である、
請求項4記載の攻撃推定検証装置。 - 前記攻撃推定検証装置はさらに、
前記識別情報と、前記異常電子制御装置が現実に有する又は有すると仮定された特徴と、の対応関係を示す特徴テーブルを保存する特徴テーブル保存部(103)を備え、
前記検証部は、前記特徴テーブルを用いて前記異常電子制御装置が有すると仮定された特徴を特定する、
請求項1記載の攻撃推定検証装置。 - 前記セキュリティログはさらに、前記異常電子制御装置が有すると仮定された特徴を示す情報を含む、
請求項1記載の攻撃推定検証装置。 - 当該攻撃推定検証装置はさらに、
前記識別情報と前記異常情報とを含む個別セキュリティログを取得する個別ログ取得部(201)と、
前記識別情報に基づいて、前記異常電子制御装置が属するグループを判定するグループ判定部(204)と、
前記識別情報と、前記異常情報と、前記グループ判定部が判定した前記グループを示す前記グループ情報と、を含む前記セキュリティログを出力する出力部(205)と、を備える、
請求項1記載の攻撃推定検証装置(110)。 - 当該攻撃推定検証装置はさらに、前記複数の電子制御装置それぞれが有すると仮定される特徴の最大数を示す特徴数情報を取得する特徴数情報取得部(202)を備え、
前記グループ判定部は、前記特徴数情報に基づき、前記異常電子制御装置が有すると仮定される特徴を判定する、
請求項8記載の攻撃推定検証装置。 - 当該攻撃推定検証装置及び前記電子制御システムは、移動体に搭載されている、
請求項1乃至9のいずれかに記載の攻撃推定検証装置。 - 前記電子制御システムは移動体に搭載された電子制御システムであり、
当該攻撃推定検証装置は、前記移動体の外部に配置されたサーバ装置である、
請求項1乃至9のいずれかに記載の攻撃推定検証装置。 - 攻撃推定検証装置で実行される攻撃推定検証方法であって、
前記攻撃推定検証装置は、攻撃の種別を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生するグループを示す予測グループ情報と、の対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部を備え、
当該攻撃推定検証方法は、
電子制御システムを構成する複数の電子制御装置のうち異常が検知された電子制御装置である異常電子制御装置を示す識別情報と、前記異常電子制御装置で検知された異常を示す異常情報と、前記複数の電子制御装置それぞれが現実に有する及び有すると仮定された特徴に応じて前記複数の電子制御装置のうち1以上の電子制御装置をグループ化したグループであって、前記異常電子制御装置が属するグループを示すグループ情報と、を含むセキュリティログを取得し、
前記異常情報及び前記グループ情報の組み合わせに対応する前記予測異常情報及び前記予測グループ情報の組み合わせから、前記電子制御システムが受けた攻撃を推定し、
検証部において、推定された前記攻撃が、前記識別情報が示す前記異常電子制御装置が有すると仮定された特徴に関連する攻撃である場合に、前記グループのグループ化が適切ではない又は前記異常電子制御装置が有すると仮定された特徴が適切ではない、と判定し、
前記検証部による検証結果を通知する、
攻撃推定検証方法。 - 攻撃推定検証装置で実行可能な攻撃推定検証プログラムであって、
前記攻撃推定検証装置は、攻撃の種別を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生するグループを示す予測グループ情報と、の対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部を備え、
前記攻撃推定検証プログラムは、
電子制御システムを構成する複数の電子制御装置のうち異常が検知された電子制御装置である異常電子制御装置を示す識別情報と、前記異常電子制御装置で検知された異常を示す異常情報と、前記複数の電子制御装置それぞれが現実に有する及び有すると仮定された特徴に応じて前記複数の電子制御装置のうち1以上の電子制御装置をグループ化したグループであって、前記異常電子制御装置が属するグループを示すグループ情報と、を含むセキュリティログを取得し、
前記異常情報及び前記グループ情報の組み合わせに対応する前記予測異常情報及び前記予測グループ情報の組み合わせから、前記電子制御システムが受けた攻撃を推定し、
検証部において、推定された前記攻撃が、前記識別情報が示す前記異常電子制御装置が有すると仮定された特徴に関連する攻撃である場合に、前記グループのグループ化が適切ではない又は前記異常電子制御装置が有すると仮定された特徴が適切ではない、と判定し、
前記検証部による検証結果を通知する、
攻撃推定検証プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022119114A JP2024016763A (ja) | 2022-07-26 | 2022-07-26 | 攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム |
US18/353,152 US20240039949A1 (en) | 2022-07-26 | 2023-07-17 | Attack estimation verification device, attack estimation verification method, and storage medium storing attack estimation verification program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022119114A JP2024016763A (ja) | 2022-07-26 | 2022-07-26 | 攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024016763A true JP2024016763A (ja) | 2024-02-07 |
Family
ID=89663874
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022119114A Pending JP2024016763A (ja) | 2022-07-26 | 2022-07-26 | 攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20240039949A1 (ja) |
JP (1) | JP2024016763A (ja) |
-
2022
- 2022-07-26 JP JP2022119114A patent/JP2024016763A/ja active Pending
-
2023
- 2023-07-17 US US18/353,152 patent/US20240039949A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20240039949A1 (en) | 2024-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210034745A1 (en) | Security system and methods for identification of in-vehicle attack originator | |
RU2725033C2 (ru) | Система и способ создания правил | |
RU2706887C2 (ru) | Система и способ блокирования компьютерной атаки на транспортное средство | |
US20220247772A1 (en) | Attack monitoring center apparatus and attack monitoring terminal apparatus | |
US11711387B2 (en) | Security management device, security management method, and computer program executed by security management device | |
WO2020208639A2 (en) | A system and method for detection of anomalous controller area network (can) messages | |
CN112600839A (zh) | 基于车联网平台构建安全威胁关联视图的方法及装置 | |
US11667264B2 (en) | Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program | |
US20220019661A1 (en) | Log analysis device | |
US20230007033A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
US20230007034A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
JP2023171904A (ja) | ログ管理装置及びセンタ装置 | |
US20220309153A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
JP2024016763A (ja) | 攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム | |
WO2022014193A1 (ja) | ログ管理装置及びセキュリティ攻撃検知・分析システム | |
US20240089281A1 (en) | Attack analysis device, attack analysis method, and storage medium | |
JP7517223B2 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
US20240089280A1 (en) | Attack analysis device, attack analysis method, and storage medium | |
JP2024051327A (ja) | 更新装置、更新方法、及び更新プログラム | |
JP2024051328A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
US20240111859A1 (en) | Log determination device, log determination method, log determination program, and log determination system | |
JP2024051323A (ja) | ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム | |
Tsuneyoshi et al. | A Simulation System for Analyzing Attack Methods in Controller Area Network Using Fuzzing Methods | |
JP2024051324A (ja) | ログ分析装置、ログ分析方法、及びログ分析プログラム |