JP2024051325A - 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム - Google Patents
車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム Download PDFInfo
- Publication number
- JP2024051325A JP2024051325A JP2022157431A JP2022157431A JP2024051325A JP 2024051325 A JP2024051325 A JP 2024051325A JP 2022157431 A JP2022157431 A JP 2022157431A JP 2022157431 A JP2022157431 A JP 2022157431A JP 2024051325 A JP2024051325 A JP 2024051325A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- vehicle
- vehicle configuration
- anomaly
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 153
- 230000005856 abnormality Effects 0.000 claims description 90
- 230000005540 biological transmission Effects 0.000 claims description 32
- 238000000034 method Methods 0.000 description 37
- 238000004891 communication Methods 0.000 description 30
- 238000010586 diagram Methods 0.000 description 30
- 230000006870 function Effects 0.000 description 25
- 238000001514 detection method Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 208000002693 Multiple Abnormalities Diseases 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000011265 semifinished product Substances 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】電子制御システムに対する攻撃・異常関係情報の生成に必要な情報を収集し、攻撃・異常関係情報を効率的に生成する。【解決手段】車両用攻撃分析装置11は、車両の構成に関する情報のうち車両が有する情報である車両構成基本情報を記憶する記憶部111、車両が有していない情報である車両構成追加情報を受信する受信部112、車両構成基本情報及び車両構成追加情報からなる車両構成情報を第1及び第2の車両構成情報に分類する車両構成情報分類部115、第1の車両構成情報を外部装置に送信する送信部113、第2の車両構成情報に基づき第2の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部116、第1及び第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成する攻撃・異常関係情報結合部117及び攻撃を推定する攻撃推定部118を備える。受信部はまた、外部装置で生成した第1の攻撃・異常関係情報を受信する。【選択図】図4
Description
本発明は、主に自動車をはじめとする車両に搭載された電子制御システムに対する攻撃を分析する装置であって、車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。
車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献1には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め特定された異常検出パターンとを照合して、異常に対応する攻撃の種類を特定することが記載されている。
ここで、本発明者は、以下の課題を見出した。
特許文献1のような既存の攻撃特定手法においては、検知した異常データと異常検出パターンとを照合するが、異常検出パターンは、車両の製造メーカや車種、年式により異なっている。また、同じ年式の車種でもディーラーオプションや仕向け地の相違、さらにはECUの交換やソフトウェアのアップデートの結果異なることがある。これらの多種多様な異常検出パターンを自動的に生成・管理するようにできれば、異常検出パターンの生成及び管理の工数が劇的に削減できることが期待される。
特許文献1のような既存の攻撃特定手法においては、検知した異常データと異常検出パターンとを照合するが、異常検出パターンは、車両の製造メーカや車種、年式により異なっている。また、同じ年式の車種でもディーラーオプションや仕向け地の相違、さらにはECUの交換やソフトウェアのアップデートの結果異なることがある。これらの多種多様な異常検出パターンを自動的に生成・管理するようにできれば、異常検出パターンの生成及び管理の工数が劇的に削減できることが期待される。
そこで、本発明は、攻撃・異常関係情報の生成に必要な情報を収集し、攻撃・異常関係情報を効率的に生成する車両用攻撃分析装置等を実現することを目的とする。
本開示の車両用攻撃分析装置(11)は、車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置であって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(111)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(112)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する車両構成情報分類部(115)と、
前記第1の車両構成情報を外部装置(31)に送信する送信部(113)と、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(116)と、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報を前記外部装置から受信する前記受信部(112)と、
前記第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成する攻撃・異常関係情報結合部(117)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(118)と、
を備える。
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(111)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(112)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する車両構成情報分類部(115)と、
前記第1の車両構成情報を外部装置(31)に送信する送信部(113)と、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(116)と、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報を前記外部装置から受信する前記受信部(112)と、
前記第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成する攻撃・異常関係情報結合部(117)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(118)と、
を備える。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、本開示の車両用攻撃分析装置等は、攻撃・異常関係情報の生成に必要な情報を収集し、攻撃・異常関係情報を効率的に生成することが可能となる。
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.各実施形態の前提となる構成
(1)車両用攻撃分析装置と電子制御システムS及びその他の装置との関係
図1は、各実施形態の車両用攻撃分析装置と電子制御システムS及びその他の装置の関係を説明する図である。図1に示すように、各実施形態の車両用攻撃分析装置11(12、13)及び電子制御システムSは「車両」に「搭載」されている。ここでは、車両用攻撃分析装置11(12、13)は電子制御システムSとは別の装置として記載しているが、車両用攻撃分析装置11(12、13)は電子制御システムSに含まれる一つの装置としてもよい。
ここで、
「車両」とは、例えば、自動車、自動二輪車、自転車を含み、またこれらに限らない。
「搭載」される、とは、車両に直接固定されている場合の他、車両に固定されていないが車両と共に移動する場合も含む。例えば、車両に乗った人が所持している場合、車両に載置された積荷に搭載されている場合、が挙げられる。
(1)車両用攻撃分析装置と電子制御システムS及びその他の装置との関係
図1は、各実施形態の車両用攻撃分析装置と電子制御システムS及びその他の装置の関係を説明する図である。図1に示すように、各実施形態の車両用攻撃分析装置11(12、13)及び電子制御システムSは「車両」に「搭載」されている。ここでは、車両用攻撃分析装置11(12、13)は電子制御システムSとは別の装置として記載しているが、車両用攻撃分析装置11(12、13)は電子制御システムSに含まれる一つの装置としてもよい。
ここで、
「車両」とは、例えば、自動車、自動二輪車、自転車を含み、またこれらに限らない。
「搭載」される、とは、車両に直接固定されている場合の他、車両に固定されていないが車両と共に移動する場合も含む。例えば、車両に乗った人が所持している場合、車両に載置された積荷に搭載されている場合、が挙げられる。
車両用攻撃分析装置11(12、13)は、電子制御システムSに対するサイバー攻撃を分析する装置である。具体的には、電子制御システムSを構成する複数の電子制御装置(以下、ECU(Electronic Control Unit)と称する)に設けられたセキュリティセンサが生成したセキュリティログを取得してサイバー攻撃を分析する装置である。
図2は、電子制御システムSの構成例を示す図である。電子制御システムSは、複数のECU20から構成されている。図2は5つのECU(ECU20a~ECU20e)を例示しているが、当然のことながら、電子制御システムSは任意の数のECUから構成される。以後の説明では、単数又は複数の電子制御装置全体を包括して説明する場合はECU20や各ECU20、個々の電子制御装置を特定して説明する場合はECU20a、ECU20b、ECU20c、・・・のように記載している。
図2の電子制御システムSにおいては、ECU20a、ECU20c、ECU20d、及びECU20eにセキュリティセンサが搭載されている。これに対し、ECU20bにはセキュリティセンサが搭載されていない。このように、電子制御システムSを構成する複数のECU20にセキュリティセンサが搭載されていればよく、必ずしも全てのECU20にセキュリティセンサが搭載されている必要はない。
電子制御システムSは任意のECUで構成することができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスタとスレーブとに分類されていてもよい。また、電子制御システムSに、電子制御装置同士を接続するゲートウェイ機能を有するモビリティコンピュータ(MC)や外部との通信を行う外部通信ECUを設けてもよい。例えば、ECU20aを外部通信ECU、ECU20cをMCとしてもよい。
さらに、ECU20は、物理的に独立したECUである場合の他、仮想的に実現された仮想ECU(あるいは、仮想マシンと呼ぶこともある。)であってもよい。
さらに、ECU20は、物理的に独立したECUである場合の他、仮想的に実現された仮想ECU(あるいは、仮想マシンと呼ぶこともある。)であってもよい。
図1及び図2の場合、車両用攻撃分析装置11(12、13)と電子制御システムSを構成する各ECU20とは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった車載通信ネットワークを介して接続されている。あるいは、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、有線無線を問わず任意の通信方式を用いて接続されてもよい。接続とは、データのやり取りが可能な状態をいい、異なるハードウェアが有線又は無線の通信ネットワークを介して接続されている場合はもちろん、同一のハードウェア上で実現された仮想マシン同士が仮想的に接続されている場合も含む。
SOC(Security Operation Center)サーバ31(32、33)(「外部装置」に対応)は、車両の外部でサイバー攻撃の検出や分析を行う装置であり、例えば車両に搭載した電子制御システムSからセキュリティログを受信してサイバー攻撃を分析する。サイバー攻撃を分析するという点では、車両用攻撃分析装置11(12、13)と同じ機能を有しているが、複数の車両からのセキュリティログを豊富なハードウェアリソースを用いて分析することができるので複雑かつ大量の分析を統計的に行うという分析態様に適している。ただし、SOCサーバ31(32、33)は車両から見て遠隔地にあるので、リアルタイムで個別の車両におけるサイバー攻撃を検出するためには、車両に設けられた車両用攻撃分析装置11(12、13)で分析を行う方が適している。
OEMセンタサーバ40は、例えば車両メーカや部品メーカが自社で製造販売した車両や部品の情報を管理・保存する装置である。情報の詳細については実施形態1で説明する。
車両用攻撃分析装置11(12、13)及び電子制御システムSと、SOCサーバ31
(32、33)及びOEMセンタサーバ40とは、無線通信方式又は/及び有線通信方式を用いて通信ネッワークを介して接続されている。
無線通信方式の例として、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等が挙げられる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
有線通信方式の例として、例えば、イーサネット(登録商標)等のLAN(Local Area Network)やインターネット、光回線、固定電話回線を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。
(32、33)及びOEMセンタサーバ40とは、無線通信方式又は/及び有線通信方式を用いて通信ネッワークを介して接続されている。
無線通信方式の例として、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等が挙げられる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
有線通信方式の例として、例えば、イーサネット(登録商標)等のLAN(Local Area Network)やインターネット、光回線、固定電話回線を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。
この他、無線通信回線と有線通信回線とを組み合わせた通信回線であってもよい。例えば、車両用攻撃分析装置11(12、13)とセルラーシステムにおける基地局装置との間は4G等の無線通信方式で、基地局装置とSOCサーバ31(32、33)若しくはOEMセンタサーバ40との間は通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。基幹回線とインターネットとの接点にはゲートウェイ装置を設けてもよい。
また、SOCサーバ31(32、33)とOEMセンタサーバ40との間もインターネットをはじめ任意の回線を用いて通信を行うことが可能である。
また、SOCサーバ31(32、33)とOEMセンタサーバ40との間もインターネットをはじめ任意の回線を用いて通信を行うことが可能である。
なお、各実施形態において、車両用攻撃分析装置11(12、13)とSOCサーバ31(32、33)とを合わせて、攻撃分析システム1(2、3)とする。
(2)攻撃・異常関係テーブル
図3を用いて、各実施形態で用いる攻撃・異常関係テーブルを説明する。
攻撃・異常関係テーブル(「攻撃・異常関係情報」に相当)は、電子制御システムSが受けることが想定される攻撃の種別等を示す攻撃情報と、攻撃を受けた場合に電子制御システムSにおいて発生することが予測される異常を示す予測異常情報、及び、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報との対応関係を示すテーブルである。
図3を用いて、各実施形態で用いる攻撃・異常関係テーブルを説明する。
攻撃・異常関係テーブル(「攻撃・異常関係情報」に相当)は、電子制御システムSが受けることが想定される攻撃の種別等を示す攻撃情報と、攻撃を受けた場合に電子制御システムSにおいて発生することが予測される異常を示す予測異常情報、及び、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報との対応関係を示すテーブルである。
図3は、攻撃・異常関係テーブルの一例を示す図である。図3に示す攻撃・異常関係テーブルでは、サイバー攻撃の種別(攻撃A~X)毎に、電子制御システムSがサイバー攻撃を受けた場合に生じる異常(予測異常情報に対応)と、異常が発生するECUの種別(予測異常位置情報に対応)を示している。サイバー攻撃を受けた場合、複数のECUで複数の異常が発生することが想定される。したがって、攻撃・異常関係テーブルは、攻撃を受けた場合に生じる複数の異常と、異常が発生したECUとの組み合わせを示すものであることが好ましい。なお、図3に示す例では、攻撃情報として、サイバー攻撃の種別(攻撃A~X)に加え、当該サイバー攻撃を受けた場合に想定される攻撃の起点位置及び攻撃の対象位置を含んでいる。
例えば、攻撃種別が攻撃Aであるサイバー攻撃を受けた場合、電子制御システムSでは、外部通信ECUにおいて、異常A、異常C、及び異常Dの異常が発生することが予測される。また、攻撃Aの攻撃起点位置は電子制御システムSの外部であり、攻撃対象位置は外部通信ECUである。なお、攻撃起点位置は、電子制御システムS内部の位置である場合の他、電子制御システムSの外部である場合が想定される。攻撃起点位置が電子制御システムSの外部であるとは、車外からサイバー攻撃を受けている場合である。
図3の攻撃・異常関係テーブルはデータ形式がテーブル状となっているが、任意の形式のデータベースであればよい。また、攻撃・異常関係テーブルの名称は任意である。例えば攻撃・異常関係テーブルは、パターンマッチングテーブル(PMT)や、異常検出パターンと呼ばれることもある。
攻撃・異常関係テーブルは、電子制御システムSを構成するECUの配置、ECUの接続関係(ネットワークトポロジともいう。)、ECUに設けられているセキュリティセンサの配置に基づき、ある攻撃があった場合にどのECUのどのセキュリティセンサがどの順に異常を検知するかのシミュレーションを行うことで、異常発生のパターンを作成・生成することができる。さらに、セキュリティセンサの監視対象やそのルールに関する情報に基づいてもよい。
もっとも攻撃・異常関係テーブルの作成・生成はこの方法に限られない。例えばAIや機械学習を用いてもよい。また、過去の攻撃におけるセキュリティセンサの異常発生パターンを用いて生成してもよい。
もっとも攻撃・異常関係テーブルの作成・生成はこの方法に限られない。例えばAIや機械学習を用いてもよい。また、過去の攻撃におけるセキュリティセンサの異常発生パターンを用いて生成してもよい。
また、電子制御システムSを構成するECUの配置、ECUの接続関係、ECUに設けられているセキュリティセンサの配置は、車両の構成に関する情報と紐づけることができる。したがって、これらが紐づけられたデータベースを用いることにより、車両の構成に関する情報を取得できれば、ECUの配置や接続関係等を介して異常発生のパターンを作成することができる。
2.実施形態1
(1)車両用攻撃分析装置11の構成
図4は、本実施形態における車両用攻撃分析装置11の構成を示すブロック図である。車両用攻撃分析装置11は、記憶部111、受信部112、送信部113、制御部114を備える。また、制御部114は、車両構成情報分類部115、攻撃・異常関係情報生成部116、攻撃・異常関係情報結合部117、及び攻撃推定部118を実現している。
(1)車両用攻撃分析装置11の構成
図4は、本実施形態における車両用攻撃分析装置11の構成を示すブロック図である。車両用攻撃分析装置11は、記憶部111、受信部112、送信部113、制御部114を備える。また、制御部114は、車両構成情報分類部115、攻撃・異常関係情報生成部116、攻撃・異常関係情報結合部117、及び攻撃推定部118を実現している。
記憶部111は、「車両の構成」に関する情報のうち車両用攻撃分析装置11を搭載する車両が有する情報である車両構成基本情報を記憶する。
ここで、「車両の構成」とは、車両全体に関係する構成の他、車両に搭載された機器や部品に関係する構成を含む。また、有体物だけでなく、プログラムやネットワーク等の無体物も含む。
ここで、「車両の構成」とは、車両全体に関係する構成の他、車両に搭載された機器や部品に関係する構成を含む。また、有体物だけでなく、プログラムやネットワーク等の無体物も含む。
車両構成基本情報として、以下の例が挙げられる。
車両全体に関係する情報として、車種、車両のモデル、年式、仕向け地等が挙げられる。
車両に搭載された電子制御システムSに関係する情報として、ECU等のハードウェアの種別やバージョン、インストールされているソフトウェア(ミドルウェアを含む)の種別やバージョン、セキュリティセンサの種別やバージョン、が挙げられる。その他、ネットワークトポロジ、セキュリティセンサの配置や仕様、が挙げられる。
車両全体に関係する情報として、車種、車両のモデル、年式、仕向け地等が挙げられる。
車両に搭載された電子制御システムSに関係する情報として、ECU等のハードウェアの種別やバージョン、インストールされているソフトウェア(ミドルウェアを含む)の種別やバージョン、セキュリティセンサの種別やバージョン、が挙げられる。その他、ネットワークトポロジ、セキュリティセンサの配置や仕様、が挙げられる。
さらに、車両構成基本情報として、ある攻撃に対して電子制御システムSが構成される各ECUに搭載されたセキュリティセンサのうちどのセキュリティセンサが異常を検知するかを示す発火ルールを有していてもよい。あるいは、車両構成基本情報として、攻撃種別と攻撃経路を示す情報を有していてもよい。これらの情報を有していれば、シミュレーションを行うことなく攻撃・異常関係テーブルを生成することができる。
車両構成基本情報が記憶部111に記憶されるタイミングとしては、車両の出荷時の他、ディーラーオプション装着時、部品の修理交換時、ソフトウェアアップデート時、が挙げられる。車両の出荷時には、車両が出荷された際に有するオリジナルの構成を示す情報が記憶される。その後、オリジナルの構成に別の構成を追加、あるいはオリジナルの構成を別の構成に変更した際に、追加又は変更した構成に関する情報が記憶される。すなわち、車両構成基本情報は、車両の出荷から現在に至るまでの情報が反映されている。
記憶部111は、ROM、フラッシュメモリ、ハードディスク(HDD)等の不揮発性メモリであっても、DRAM、SRAM等の揮発性メモリであってもよい。不揮発性メモリに記憶している車両構成基本情報を読み出して揮発性メモリに展開してもよく、この場合はいずれも本実施形態の記憶部111に相当する。
受信部112は、「車両の構成」に関する情報のうち車両用攻撃分析装置11を搭載する車両が有していない情報である車両構成追加情報を受信する。
車両構成追加情報の送信元は任意の装置であるが、信頼できる機器であることが望ましい。例えば、受信部112は、機器認証を用いて認証した装置若しくは認証された装置から車両構成追加情報を受信する。機器認証に代えて、受信する情報毎にメッセージ認証等を用いてもよい。
このような送信元の例として、SOCサーバ31やOEMセンタサーバ40が挙げられる。
このような送信元の例として、SOCサーバ31やOEMセンタサーバ40が挙げられる。
車両構成追加情報の例は、車両構成基本情報で挙げた例と同じである。車両構成基本情報として挙げた情報、例えばハードウェアの種別やバージョン、インストールされたソフトウェアの種別やバージョンが車両構成基本情報として記憶部111に記憶されていない場合は、これらの情報のリクエストをSOCサーバ31やOEMセンタサーバ40に送信し、これらから送信された情報を車両構成追加情報として受信する。受信した車両構成追加情報も記憶部111に記憶してもよい。
その他、車両構成追加情報の例として、車両の出荷後にメーカ側等で更新又は変更されたソフトウェアの情報、車両の出荷後にメーカ側等で追加された機器やハードウェアの種別、バージョン、又は接続先の情報、が挙げられる。
ある車両構成情報を、車両構成基本情報として車両の記憶部111に記憶しているか、それとも車両構成基本情報として車両の記憶部111に記憶はせず、OEMセンタサーバ40等から車両構成追加情報として受信するかは、車両の製造者等が独自のルールに基づいて定めればよい。例えば、情報漏洩による被害が大きい情報や車両の製造者等が秘匿したい情報は、OEMセンタサーバ40等で一元管理するようにしてもよい。
なお、「車両の構成」に関する情報を車両構成情報とする。車両構成情報は、車両構成基本情報と車両構成追加情報の両方を含む。
なお、「車両の構成」に関する情報を車両構成情報とする。車両構成情報は、車両構成基本情報と車両構成追加情報の両方を含む。
受信部112は、図4では1つのブロックで記載しているが、使用可能な通信方式に対応して複数の受信部として構成してもよい。
なお、受信部112は、車両構成追加情報の他、第1の攻撃・異常関係テーブルを外部装置から受信するが、これは後に説明する。
車両構成情報分類部115は、車両構成基本情報及び車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する。第1の車両構成情報はSOCサーバ31に送信する車両構成情報であり、SOCサーバ31で後述の攻撃・異常関係テーブルを生成するために用いられる。第2の車両構成情報は、SOCサーバ31に送信せず車両自身で後述の攻撃・異常関係テーブルを生成するために用いられる。車両構成情報は、車両のプロファイルとも呼ばれる。
第1の車両構成情報に分類するか第2の車両構成情報に分類するかの基準としては様々な例が挙げられる。例えば、車両構成情報の情報セキュリティレベルが「所定のレベル」「よりも」低い場合は第1の車両構成情報に分類し、車両構成情報の情報セキュリティレベルが「所定のレベル」「よりも」高い場合は第2の車両構成情報に分類する。セキュリティレベルが高いものはなるべく通信機器を介して他の装置に送信せず車両内部で処理することにより、情報漏洩が発生した際の損害をなるべく抑えることができる。
ここで、
「所定のレベル」とは、レベルが一定の場合の他、条件によってレベルが変動してもよい。
「よりも」とは、情報のセキュリティレベルが所定のレベルと同じである場合を包含する場合、同じである場合を包含しない場合、のいずれもであってもよい。前者は算術記号では「≧」又は[≦]、後者は「>」又は[<]と記載される。
ここで、
「所定のレベル」とは、レベルが一定の場合の他、条件によってレベルが変動してもよい。
「よりも」とは、情報のセキュリティレベルが所定のレベルと同じである場合を包含する場合、同じである場合を包含しない場合、のいずれもであってもよい。前者は算術記号では「≧」又は[≦]、後者は「>」又は[<]と記載される。
この他、攻撃・異常関係テーブルを生成するための演算量が多い車両構成情報は第1の車両構成情報に分類し、攻撃・異常関係テーブルを生成するための演算量が少ない車両構成情報は第2の車両構成情報に分類してもよい。これにより、より演算量の多い車両構成情報はSOCサーバ31で処理することにより、車両内部のリソースの使用を最小限に抑えるとともに、より早く攻撃・異常関係テーブルを生成することができる。
あるいは、プライバシーに関係しない情報は第1の車両構成情報に、プライバシーに関係する情報は第2の車両構成情報に分類してもよい。法規上や契約上外部装置に送信することができない情報は第2の車両構成情報に分類してもよい。
その他、車両の出荷後にメーカ側等で更新又は変更されたソフトウェアの情報、車両の出荷後にメーカ側等で追加された機器やハードウェアの種別、バージョン、又は接続先の情報、は、SOCサーバ31側で攻撃・異常関係テーブルを生成するために必要な情報を持っていることが想定されるので、第1の車両情報に分類してもよい。
あるいは、プライバシーに関係しない情報は第1の車両構成情報に、プライバシーに関係する情報は第2の車両構成情報に分類してもよい。法規上や契約上外部装置に送信することができない情報は第2の車両構成情報に分類してもよい。
その他、車両の出荷後にメーカ側等で更新又は変更されたソフトウェアの情報、車両の出荷後にメーカ側等で追加された機器やハードウェアの種別、バージョン、又は接続先の情報、は、SOCサーバ31側で攻撃・異常関係テーブルを生成するために必要な情報を持っていることが想定されるので、第1の車両情報に分類してもよい。
なお、車両構成情報のうち、第1の車両構成情報及び第2の車両構成情報のいずれにも含まれない情報があってもよい。
また、このような情報は、第2の車両構成情報に分類してもよい。この場合は、第2の車両構成情報は、車両構成情報のうち第1の車両構成情報を除いた残部である。
また、このような情報は、第2の車両構成情報に分類してもよい。この場合は、第2の車両構成情報は、車両構成情報のうち第1の車両構成情報を除いた残部である。
送信部113は、第1の車両構成情報をSOCサーバ31(「外部装置」に相当)に送信する。本実施形態では外部装置の例としてSOCサーバ31を挙げているが、その他の装置であってもよい。
なお、送信部113も、図4では1つのブロックで記載しているが、使用可能な通信方式に対応して複数の送信部として構成してもよい。
なお、送信部113も、図4では1つのブロックで記載しているが、使用可能な通信方式に対応して複数の送信部として構成してもよい。
攻撃・異常関係情報生成部116は、第2の車両構成情報に「基づき」、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係テーブル(「第2の攻撃・異常関係情報」に相当)を生成する。攻撃・異常関係テーブルの内容及び生成方法は1.(2)で説明した通りである。
ここで、「基づき」とは、第2の車両構成情報の全部に基づく場合の他、少なくとも一部に基づく場合も含む。
ここで、「基づき」とは、第2の車両構成情報の全部に基づく場合の他、少なくとも一部に基づく場合も含む。
これに対応して、SOCサーバ31では、送信部113から送信された第1の車両構成情報に「基づき」、第1の攻撃・異常関係テーブル(「第1の攻撃・異常関係情報」に相当)を生成する。
そして、受信部112は、第1の攻撃・異常関係テーブルをSOCサーバ31から受信する。
ここで、「基づき」とは、第1の車両構成情報の全部に基づく場合の他、少なくとも一部に基づく場合も含む。
そして、受信部112は、第1の攻撃・異常関係テーブルをSOCサーバ31から受信する。
ここで、「基づき」とは、第1の車両構成情報の全部に基づく場合の他、少なくとも一部に基づく場合も含む。
第1の攻撃・異常関係テーブルは、送信部113から送信された第1の車両構成情報に加え、電子制御システムSを搭載している車両が有しておらずかつSOCサーバ31が有している第3の車両構成情報に基づき生成されたものであってもよい。すなわち、第1の攻撃・異常関係テーブルには、第1の車両構成情報に基づき生成されたテーブルに加え、第3の車両構成情報に基づき生成されたテーブルを含んでいてもよい。
さらに、第1の攻撃・異常関係テーブルには、SOCサーバ31が有している車両構成情報以外の情報に基づき生成されたテーブルを含んでいてもよい。例えば、複数の車両から受信したセキュリティログに基づき統計的に求めた異常発生パターンを第1の攻撃・異常関係テーブルに含めてもよい。
さらに、第1の攻撃・異常関係テーブルには、SOCサーバ31が有している車両構成情報以外の情報に基づき生成されたテーブルを含んでいてもよい。例えば、複数の車両から受信したセキュリティログに基づき統計的に求めた異常発生パターンを第1の攻撃・異常関係テーブルに含めてもよい。
攻撃・異常関係情報結合部117は、受信部112でSOCサーバ31から受信した第1の攻撃・異常関係テーブルと、攻撃・異常関係情報生成部116で生成した第2の攻撃・異常関係テーブルを結合して攻撃・異常関係テーブル(「攻撃・異常関係情報」に相当)を生成する。生成した攻撃・異常関係テーブルは、記憶部111に記憶してもよい。
図5及び図6を用いて、第1の攻撃・異常関係テーブルと第2の攻撃・異常関係テーブルとを結合して攻撃・異常関係テーブルを生成する様子を説明する。
図5において、(a)の部分は第2の攻撃・異常関係テーブル、(b)の部分は第1の攻撃・異常関係テーブルであり、(a)と(b)を結合して攻撃・異常関係テーブルとしている。例えば、車両の出荷時に車両がデフォルトで持っていた攻撃・異常関係テーブル部分を第2の攻撃・異常関係テーブルとして車両が複製等の手段で生成し、車両の出荷後新たに追加された車両構成情報を用いて生成する必要のある部分は第1の攻撃・異常関係テーブルとしてもよい。第1の攻撃・異常関係テーブルには、SOCサーバ31が統計的に求めた異常発生パターンが含まれていてもよい。
これにより、新たに生成する攻撃・異常関係テーブルの部分はハードウェアリソースが豊富なSOCサーバ31で生成し、デフォルトで持っていた部分は処理の負担の軽い車両で生成することにより、攻撃・異常関係テーブルの生成を複数の装置で分担することができ、その結果攻撃・異常関係テーブルを効率よく生成することができる。
図6において、(a)の部分は第2の攻撃・異常関係テーブル、(b)の部分は第1の攻撃・異常関係テーブルであり、(a)と(b)を結合して攻撃・異常関係テーブルとしている。すなわち、図5の場合は行で分かれているのに対し、図6の場合は列で分かれている点が異なる。例えば、ディーラーオプション等、当該車両に特有のECUに関係するテーブルを第2の攻撃・異常関係テーブルとして車両が生成し、車両メーカ独自の情報で機密性が高いECUに関係するテーブルを第1の攻撃・異常関係テーブルとしてSOCサーバ31が生成してもよい。
これにより、機密性が高い情報に基づくテーブルの生成は一括してSOCサーバ31が行うことにより、情報漏洩のリスクを下げることができる。
攻撃推定部118は、攻撃・異常関係情報結合部117で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する。すなわち、攻撃推定部118は、電子制御システムSの各ECUのセキュリティセンサが生成したセキュリティログで示されたる異常発生パターンと攻撃・異常関係テーブルのそれとを比較し、所定のマッチング度(%)以上であれば、攻撃・異常関係テーブルの攻撃情報で特定する攻撃があったと推定する。
なお、攻撃・異常関係テーブルは、車両用攻撃分析装置11で用いる他、SOCサーバ31でも用いるようにしてもよい。そのために、送信部113は、攻撃・異常関係情報結合部117で生成した攻撃・異常関係テーブルをSOCサーバ31に送信してもよい。
(2)SOCサーバ31の構成
図7は、本実施形態におけるSOCサーバ31の構成を示すブロック図である。SOCサーバ31は、記憶部311、受信部312、送信部313、制御部314を備える。また、制御部314は、攻撃・異常関係情報生成部316、及び攻撃推定部318を実現している。
図7は、本実施形態におけるSOCサーバ31の構成を示すブロック図である。SOCサーバ31は、記憶部311、受信部312、送信部313、制御部314を備える。また、制御部314は、攻撃・異常関係情報生成部316、及び攻撃推定部318を実現している。
受信部312は、車両用攻撃分析装置11から送信された第1の車両構成情報を受信する。
攻撃・異常関係情報生成部316は、受信部312で受信した第1の車両構成情報に基づき、第1の攻撃・異常関係テーブルを生成する。攻撃・異常関係情報生成部316の構成及び機能は、攻撃・異常関係情報生成部116と同じであるので、攻撃・異常関係情報生成部116の説明を引用する。
送信部313は、攻撃・異常関係情報生成部316で生成した第1の攻撃・異常関係テーブルを車両用攻撃分析装置11に送信する。
なお、受信部312は、車両用攻撃分析装置11から送信された攻撃・異常関係テーブルを受信し、記憶部311に記憶するとともに、攻撃推定部318における攻撃推定に用いてもよい。攻撃推定部318の構成及び機能は、攻撃推定部118と基本的には同じであるので、攻撃推定部118の説明を引用する。
(3)攻撃分析システム1の構成
図1で説明した通り、図4の車両用攻撃分析装置11と図7のSOCサーバ31とを合わせて、攻撃分析システム1としている。以下、変形例やその他の実施形態においても同様である。
図1で説明した通り、図4の車両用攻撃分析装置11と図7のSOCサーバ31とを合わせて、攻撃分析システム1としている。以下、変形例やその他の実施形態においても同様である。
(4)攻撃分析システム1の動作
次に、図8を参照して、攻撃分析システム1の動作を説明する。図8は、攻撃分析システム1で実行される攻撃分析方法を示すだけでなく、攻撃分析システム1を構成する車両用攻撃分析装置11及びSOCサーバ31それぞれの動作である攻撃分析方法を示すものであり、さらには車両用攻撃分析装置11及びSOCサーバ31それぞれで実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図8に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以下、変形例やその他の実施形態のフロー図においても同様である。
次に、図8を参照して、攻撃分析システム1の動作を説明する。図8は、攻撃分析システム1で実行される攻撃分析方法を示すだけでなく、攻撃分析システム1を構成する車両用攻撃分析装置11及びSOCサーバ31それぞれの動作である攻撃分析方法を示すものであり、さらには車両用攻撃分析装置11及びSOCサーバ31それぞれで実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図8に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。以下、変形例やその他の実施形態のフロー図においても同様である。
車両用攻撃分析装置11の記憶部111は、車両の構成に関する情報のうち車両用攻撃分析装置11を搭載する車両が有する情報である車両構成基本情報を記憶する(S111)。
受信部112は、車両の構成に関する情報のうち車両用攻撃分析装置11を搭載する車両が有していない情報である車両構成追加情報を受信する(S112)。
車両構成情報分類部115は、車両構成基本情報及び車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する(S113)。
送信部113は、S113で分類した第1の車両構成情報をSOCサーバ31に送信する(S114)。
攻撃・異常関係情報生成部116は、S113で分類した第2の車両構成情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係テーブルを生成する(S115)。
受信部112は、車両の構成に関する情報のうち車両用攻撃分析装置11を搭載する車両が有していない情報である車両構成追加情報を受信する(S112)。
車両構成情報分類部115は、車両構成基本情報及び車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する(S113)。
送信部113は、S113で分類した第1の車両構成情報をSOCサーバ31に送信する(S114)。
攻撃・異常関係情報生成部116は、S113で分類した第2の車両構成情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係テーブルを生成する(S115)。
SOCサーバ31の受信部312は、車両用攻撃分析装置11からS114で送信された第1の車両構成情報を受信する(S311)。
攻撃・異常関係情報生成部316は、S311で受信した第1の車両構成情報に基づき、第1の攻撃・異常関係テーブルを生成する(S312)。
送信部313は、S312で生成した第1の攻撃・異常関係テーブルを車両用攻撃分析装置11に送信する(S313)。
攻撃・異常関係情報生成部316は、S311で受信した第1の車両構成情報に基づき、第1の攻撃・異常関係テーブルを生成する(S312)。
送信部313は、S312で生成した第1の攻撃・異常関係テーブルを車両用攻撃分析装置11に送信する(S313)。
車両用攻撃分析装置11の受信部112は、SOCサーバ31からS313で送信された第1の攻撃・異常関係テーブルを受信する(S116)。
攻撃・異常関係情報結合部117は、S116で受信した第1の攻撃・異常関係テーブルと、S115で生成した第2の攻撃・異常関係テーブルを結合して攻撃・異常関係テーブルを生成する(S117)。
送信部113は、S117で生成した攻撃・異常関係テーブルをSOCサーバ31に送信する(S118)。
攻撃推定部118は、S117で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S119)。
攻撃・異常関係情報結合部117は、S116で受信した第1の攻撃・異常関係テーブルと、S115で生成した第2の攻撃・異常関係テーブルを結合して攻撃・異常関係テーブルを生成する(S117)。
送信部113は、S117で生成した攻撃・異常関係テーブルをSOCサーバ31に送信する(S118)。
攻撃推定部118は、S117で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S119)。
SOCサーバ31の受信部312は、車両用攻撃分析装置11からS117で送信された攻撃・異常関係テーブルを受信する(S314)。
攻撃推定部318は、S314で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S315)。
攻撃推定部318は、S314で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S315)。
(5)小括
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ31やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、車両構成情報を車両用攻撃分析装置とSOCサーバ31に振り分けてそれぞれで攻撃・異常関係テーブルのパーツを生成するので、攻撃・異常関係テーブルを効率よく生成することができる。
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ31やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、車両構成情報を車両用攻撃分析装置とSOCサーバ31に振り分けてそれぞれで攻撃・異常関係テーブルのパーツを生成するので、攻撃・異常関係テーブルを効率よく生成することができる。
2.実施形態1の変形例
実施形態1は、第1の攻撃・異常関係テーブルと第2の攻撃・異常関係テーブルを車両用攻撃分析装置11で結合して攻撃・異常関係テーブルを生成した。
本変形例では、第1の攻撃・異常関係テーブルと第2の攻撃・異常関係テーブルをSOCサーバ31で結合して攻撃・異常関係テーブルを生成する。
実施形態1は、第1の攻撃・異常関係テーブルと第2の攻撃・異常関係テーブルを車両用攻撃分析装置11で結合して攻撃・異常関係テーブルを生成した。
本変形例では、第1の攻撃・異常関係テーブルと第2の攻撃・異常関係テーブルをSOCサーバ31で結合して攻撃・異常関係テーブルを生成する。
(1)車両用攻撃分析装置11の構成
図9は、本変形例における車両用攻撃分析装置11の構成を示すブロック図である。車両用攻撃分析装置11は、記憶部111、受信部112、送信部113、制御部114を備える。また、制御部114は、車両構成情報分類部115、攻撃・異常関係情報生成部116、及び攻撃推定部118を実現している。本変形例の車両用攻撃分析装置11では、実施形態1における攻撃異常関係情報結合部117は有していない。
以下、本変形例の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図4の説明を引用し説明を省略する。
図9は、本変形例における車両用攻撃分析装置11の構成を示すブロック図である。車両用攻撃分析装置11は、記憶部111、受信部112、送信部113、制御部114を備える。また、制御部114は、車両構成情報分類部115、攻撃・異常関係情報生成部116、及び攻撃推定部118を実現している。本変形例の車両用攻撃分析装置11では、実施形態1における攻撃異常関係情報結合部117は有していない。
以下、本変形例の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図4の説明を引用し説明を省略する。
送信部113は、第1の車両構成情報に加え、攻撃異常関係情報生成部116で生成した第2の攻撃・異常関係テーブルを、SOCサーバ31に送信する。送信するタイミングは第1の車両構成情報の送信と同時でもよいし、同時でなくてもよい。
受信部112は、第1の車両構成情報に基づきSOCサーバ31が生成した第1の攻撃・異常関係テーブルと、送信部113から送信した第2の攻撃・異常関係テーブルとをSOCサーバ31が結合して生成した攻撃・異常関係テーブルを、SOCサーバ31から受信する。
攻撃推定部118は、受信部112で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する。
(2)SOCサーバ31の構成
図10は、本変形例におけるSOCサーバ31の構成を示すブロック図である。SOCサーバ31は、記憶部311、受信部312、送信部313、制御部314を備える。また、制御部314は、攻撃・異常関係情報生成部316、攻撃・異常関係情報結合部317、及び攻撃推定部318を実現している。本変形例のSOCサーバ31では、実施形態1のSOCサーバ31の構成に加えて、攻撃・異常関係情報結合部317を備えている。
以下、本変形例の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図7の説明を引用し説明を省略する。
図10は、本変形例におけるSOCサーバ31の構成を示すブロック図である。SOCサーバ31は、記憶部311、受信部312、送信部313、制御部314を備える。また、制御部314は、攻撃・異常関係情報生成部316、攻撃・異常関係情報結合部317、及び攻撃推定部318を実現している。本変形例のSOCサーバ31では、実施形態1のSOCサーバ31の構成に加えて、攻撃・異常関係情報結合部317を備えている。
以下、本変形例の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図7の説明を引用し説明を省略する。
受信部312は、第1の車両構成情報に加え、第2の攻撃・異常関係テーブルを車両用攻撃分析装置11から受信する。受信するタイミングは第1の車両構成情報の受信と同時でもよいし、同時でなくてもよい。
攻撃・異常関係情報生成部316は、受信部312で受信した第1の車両構成情報に基づき、第1の攻撃・異常関係テーブルを生成する。
攻撃・異常関係情報結合部317は、受信部312で受信した第2の攻撃・異常関係テーブルと、攻撃・異常関係情報生成部316で生成した第1の攻撃・異常関係テーブルを結合して攻撃・異常関係テーブルを生成する。
送信部313は、攻撃・異常関係情報生成部316で生成した第1の攻撃・異常関係テーブルを車両用攻撃分析装置11に送信する。
(3)攻撃分析システム1の動作
次に、図11を参照して、攻撃分析システム1の動作を説明する。実施形態1と同じステップは同じステップ番号を付与している。
次に、図11を参照して、攻撃分析システム1の動作を説明する。実施形態1と同じステップは同じステップ番号を付与している。
車両用攻撃分析装置11の記憶部111は、車両の構成に関する情報のうち車両用攻撃分析装置11を搭載する車両が有する情報である車両構成基本情報を記憶する(S111)。
受信部112は、車両の構成に関する情報のうち車両用攻撃分析装置11を搭載する車両が有していない情報である車両構成追加情報を受信する(S112)。
車両構成情報分類部115は、車両構成基本情報及び車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する(S113)。
送信部113は、S113で分類した第1の車両構成情報をSOCサーバ31に送信する(S114)。
攻撃・異常関係情報生成部116は、S113で分類した第2の車両構成情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係テーブルを生成する(S115)。
送信部113は、S115で生成した第2の攻撃・異常関係テーブルをSOCサーバ31に送信する(S151)。
受信部112は、車両の構成に関する情報のうち車両用攻撃分析装置11を搭載する車両が有していない情報である車両構成追加情報を受信する(S112)。
車両構成情報分類部115は、車両構成基本情報及び車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する(S113)。
送信部113は、S113で分類した第1の車両構成情報をSOCサーバ31に送信する(S114)。
攻撃・異常関係情報生成部116は、S113で分類した第2の車両構成情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係テーブルを生成する(S115)。
送信部113は、S115で生成した第2の攻撃・異常関係テーブルをSOCサーバ31に送信する(S151)。
SOCサーバ31の受信部312は、S114で送信された第1の車両構成情報を車両用攻撃分析装置11から受信する(S311)。
攻撃・異常関係情報生成部316は、S311で受信した第1の車両構成情報に基づき、第1の攻撃・異常関係テーブルを生成する(S312)。
受信部312は、S151で送信された第2の攻撃・異常関係テーブルを車両用攻撃分析装置11から受信する(S351)。
攻撃・異常関係情報結合部317は、S312で生成した第1の攻撃・異常関係テーブルと、S351で受信した第2の攻撃・異常関係テーブルを結合して攻撃・異常関係テーブルを生成する(S352)。
送信部313は、S352で生成した攻撃・異常関係テーブルを車両用攻撃分析装置11に送信する(S353)。
攻撃推定部318は、S352で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S315)。
攻撃・異常関係情報生成部316は、S311で受信した第1の車両構成情報に基づき、第1の攻撃・異常関係テーブルを生成する(S312)。
受信部312は、S151で送信された第2の攻撃・異常関係テーブルを車両用攻撃分析装置11から受信する(S351)。
攻撃・異常関係情報結合部317は、S312で生成した第1の攻撃・異常関係テーブルと、S351で受信した第2の攻撃・異常関係テーブルを結合して攻撃・異常関係テーブルを生成する(S352)。
送信部313は、S352で生成した攻撃・異常関係テーブルを車両用攻撃分析装置11に送信する(S353)。
攻撃推定部318は、S352で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S315)。
車両用攻撃分析装置11の受信部112は、SOCサーバ31からS353で送信された攻撃・異常関係テーブルを受信する(S152)。
攻撃推定部118は、S152で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S119)。
攻撃推定部118は、S152で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S119)。
(4)小括
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ31やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、車両構成情報を車両用攻撃分析装置とSOCサーバ31に振り分けてそれぞれで攻撃・異常関係テーブルのパーツを生成するので、攻撃・異常関係テーブルを効率よく生成することができる。
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ31やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、車両構成情報を車両用攻撃分析装置とSOCサーバ31に振り分けてそれぞれで攻撃・異常関係テーブルのパーツを生成するので、攻撃・異常関係テーブルを効率よく生成することができる。
3.実施形態2
実施形態1や実施形態1の変形例は、車両用攻撃分析装置11とSOCサーバ31とが共同して攻撃・異常関係テーブルを生成した。
本実施形態では、車両用攻撃分析装置12が単独で攻撃・異常関係テーブルを生成する。
実施形態1や実施形態1の変形例は、車両用攻撃分析装置11とSOCサーバ31とが共同して攻撃・異常関係テーブルを生成した。
本実施形態では、車両用攻撃分析装置12が単独で攻撃・異常関係テーブルを生成する。
(1)車両用攻撃分析装置12の構成
図12は、本実施形態における車両用攻撃分析装置12の構成を示すブロック図である。車両用攻撃分析装置12は、記憶部121、受信部122、送信部123、制御部124を備える。また、制御部124は、攻撃・異常関係情報生成部126、及び攻撃推定部128を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図4の説明を引用し説明を省略する。図12において、図4と対応するブロックは下2桁を図4と同じ番号としているので、このルールに従って図4及びこれに対応する説明を図12の説明と読み替えて引用する。
図12は、本実施形態における車両用攻撃分析装置12の構成を示すブロック図である。車両用攻撃分析装置12は、記憶部121、受信部122、送信部123、制御部124を備える。また、制御部124は、攻撃・異常関係情報生成部126、及び攻撃推定部128を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図4の説明を引用し説明を省略する。図12において、図4と対応するブロックは下2桁を図4と同じ番号としているので、このルールに従って図4及びこれに対応する説明を図12の説明と読み替えて引用する。
記憶部121は、車両の構成に関する情報のうち車両用攻撃分析装置12を搭載する車両が有する情報である車両構成基本情報を記憶する。
受信部122は、車両の構成に関する情報のうち車両用攻撃分析装置12を搭載する車両が有していない情報である車両構成追加情報を受信する。
攻撃・異常関係情報生成部126は、車両構成基本情報及び車両構成追加情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係テーブル(「攻撃・異常関係情報」に相当)を生成する。攻撃・異常関係テーブルの内容及び生成方法は1.(2)で説明した通りである。
送信部123は、攻撃・異常関係情報生成部126で生成した攻撃・異常関係テーブルをSOCサーバ32に送信する。
攻撃推定部128は、攻撃・異常関係情報生成部126で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する。
(2)SOCサーバ32の構成
図13は、本実施形態におけるSOCサーバ32の構成を示すブロック図である。SOCサーバ32は、記憶部321、受信部322、送信部323、制御部324を備える。また、制御部324は、攻撃推定部328を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図7の説明を引用し説明を省略する。図13において、図7と対応するブロックは下2桁を図7と同じ番号としているので、このルールに従って図7及びこれに対応する説明を図13の説明と読み替えて引用する。
図13は、本実施形態におけるSOCサーバ32の構成を示すブロック図である。SOCサーバ32は、記憶部321、受信部322、送信部323、制御部324を備える。また、制御部324は、攻撃推定部328を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図7の説明を引用し説明を省略する。図13において、図7と対応するブロックは下2桁を図7と同じ番号としているので、このルールに従って図7及びこれに対応する説明を図13の説明と読み替えて引用する。
受信部322は、車両用攻撃分析装置12から送信された攻撃・異常関係テーブルを受信する。
攻撃推定部328は、受信部322で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する。
(3)攻撃分析システム2の動作
次に、図14を参照して、攻撃分析システム2の動作を説明する。
次に、図14を参照して、攻撃分析システム2の動作を説明する。
車両用攻撃分析装置12の記憶部121は、車両の構成に関する情報のうち車両用攻撃分析装置12を搭載する車両が有する情報である車両構成基本情報を記憶する(S121)。
受信部122は、車両の構成に関する情報のうち車両用攻撃分析装置12を搭載する車両が有していない情報である車両構成追加情報を受信する(S122)。
攻撃・異常関係情報生成部126は、S121で記憶した車両構成基本情報及びS122で受信した車両構成追加情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係テーブルを生成する(S123)。
送信部123は、S123で生成した攻撃・異常関係テーブルをSOCサーバ32に送信する。
攻撃推定部128は、S123で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S125)。
受信部122は、車両の構成に関する情報のうち車両用攻撃分析装置12を搭載する車両が有していない情報である車両構成追加情報を受信する(S122)。
攻撃・異常関係情報生成部126は、S121で記憶した車両構成基本情報及びS122で受信した車両構成追加情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係テーブルを生成する(S123)。
送信部123は、S123で生成した攻撃・異常関係テーブルをSOCサーバ32に送信する。
攻撃推定部128は、S123で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S125)。
SOCサーバ32の受信部322は、車両用攻撃分析装置12からS124で送信された攻撃・異常関係テーブルを受信する(S321)。
攻撃推定部328は、S321で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S322)。
攻撃推定部328は、S321で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S322)。
(4)小括
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ32やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、車両用攻撃分析装置12で攻撃・異常関係テーブルを生成するので、攻撃・異常関係テーブルの生成を自己完結することができる。
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ32やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、車両用攻撃分析装置12で攻撃・異常関係テーブルを生成するので、攻撃・異常関係テーブルの生成を自己完結することができる。
4.実施形態3
実施形態2では、車両用攻撃分析装置12が単独で攻撃・異常関係テーブルを生成した。
本実施形態では、SOCサーバ33が単独で攻撃・異常関係テーブルを生成する。
実施形態2では、車両用攻撃分析装置12が単独で攻撃・異常関係テーブルを生成した。
本実施形態では、SOCサーバ33が単独で攻撃・異常関係テーブルを生成する。
(1)車両用攻撃分析装置13の構成
図15は、本実施形態における車両用攻撃分析装置13の構成を示すブロック図である。車両用攻撃分析装置13は、記憶部131、受信部132、送信部133、制御部134を備える。また、制御部134は、攻撃推定部138を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図4の説明を引用し説明を省略する。図15において、図4と対応するブロックは下2桁を図4と同じ番号としているので、このルールに従って図4及びこれに対応する説明を図15の説明と読み替えて引用する。
図15は、本実施形態における車両用攻撃分析装置13の構成を示すブロック図である。車両用攻撃分析装置13は、記憶部131、受信部132、送信部133、制御部134を備える。また、制御部134は、攻撃推定部138を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図4の説明を引用し説明を省略する。図15において、図4と対応するブロックは下2桁を図4と同じ番号としているので、このルールに従って図4及びこれに対応する説明を図15の説明と読み替えて引用する。
記憶部131は、車両の構成に関する情報のうち車両用攻撃分析装置13を搭載する車両が有する情報である車両構成基本情報を記憶する。
受信部132は、車両の構成に関する情報のうち車両用攻撃分析装置13を搭載する車両が有していない情報である車両構成追加情報を受信する。
送信部133は、車両構成基本情報及び車両構成追加情報をSOCサーバ33に送信する。
受信部132は、車両構成基本情報及び車両構成追加情報に基づきSOCサーバ33が生成した攻撃・異常関係テーブルを、SOCサーバ33から受信する。
攻撃推定部138は、受信部132で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する。
(2)SOCサーバ33の構成
図16は、本実施形態におけるSOCサーバ33の構成を示すブロック図である。SOCサーバ33は、記憶部331、受信部332、送信部333、制御部334を備える。また、制御部334は、攻撃・異常関係情報生成部336、及び攻撃推定部328を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図7の説明を引用し説明を省略する。図16において、図7と対応するブロックは下2桁を図7と同じ番号としているので、このルールに従って図7及びこれに対応する説明を図16の説明と読み替えて引用する。
図16は、本実施形態におけるSOCサーバ33の構成を示すブロック図である。SOCサーバ33は、記憶部331、受信部332、送信部333、制御部334を備える。また、制御部334は、攻撃・異常関係情報生成部336、及び攻撃推定部328を実現している。
以下、本実施形態の特有の構成及び機能のみ説明し、実施形態1と共通の構成及び機能は図7の説明を引用し説明を省略する。図16において、図7と対応するブロックは下2桁を図7と同じ番号としているので、このルールに従って図7及びこれに対応する説明を図16の説明と読み替えて引用する。
受信部332は、車両用攻撃分析装置13から送信された車両構成基本情報及び車両構成追加情報を受信する。
攻撃・異常関係情報生成部336は、車両構成基本情報及び車両構成追加情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係テーブルを生成する。攻撃・異常関係テーブルの内容及び生成方法は1.(2)で説明した通りである。
送信部333は、攻撃・異常関係情報生成部336で生成した攻撃・異常関係テーブルを車両用攻撃分析装置13に送信する。
攻撃推定部338は、攻撃・異常関係情報生成部336で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する。
(3)攻撃分析システム2の動作
次に、図17を参照して、攻撃分析システム2の動作を説明する。
次に、図17を参照して、攻撃分析システム2の動作を説明する。
車両用攻撃分析装置13の記憶部131は、車両の構成に関する情報のうち車両用攻撃分析装置13を搭載する車両が有する情報である車両構成基本情報を記憶する(S131)。
受信部132は、車両の構成に関する情報のうち車両用攻撃分析装置13を搭載する車両が有していない情報である車両構成追加情報を受信する(S132)。
送信部133は、S131で記憶した車両構成基本情報及びS132で受信した車両構成追加情報をSOCサーバ33に送信する(S133).
受信部132は、車両の構成に関する情報のうち車両用攻撃分析装置13を搭載する車両が有していない情報である車両構成追加情報を受信する(S132)。
送信部133は、S131で記憶した車両構成基本情報及びS132で受信した車両構成追加情報をSOCサーバ33に送信する(S133).
SOCサーバ33の受信部332は、車両用攻撃分析装置13からS133で送信された車両構成基本情報及び車両構成追加情報を受信する(S331)。
攻撃・異常関係情報生成部336は、S331で受信した車両構成基本情報及び車両構成追加情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係テーブルを生成する(S332)。
送信部333は、S332で生成した攻撃・異常関係テーブルを車両用攻撃分析装置13に送信する。
攻撃推定部338は、S332で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S322)。
攻撃・異常関係情報生成部336は、S331で受信した車両構成基本情報及び車両構成追加情報に基づき、電子制御システムSが受ける攻撃を示す攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システムS内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係テーブルを生成する(S332)。
送信部333は、S332で生成した攻撃・異常関係テーブルを車両用攻撃分析装置13に送信する。
攻撃推定部338は、S332で生成した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S322)。
車両用攻撃分析装置13の受信部132は、SOCサーバ33からS333で送信された攻撃・異常関係テーブルを受信する(S134)。
攻撃推定部138は、S134で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S135)。
攻撃推定部138は、S134で受信した攻撃・異常関係テーブルを用いて電子制御システムSが受けた攻撃を推定する(S135)。
(4)小括
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ33やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、SOCサーバ33で攻撃・異常関係テーブルを生成するので、豊富なハードウェアリソースを用いて攻撃・異常関係テーブルを生成することができる。
以上、本実施形態によれば、車両が有していない車両構成追加情報を受信して攻撃・異常関係テーブルを生成するものであり、攻撃・異常関係テーブルを生成するときに車両が車両構成追加情報を取得すればよいので、車両構成追加情報を車両の出荷時から車両が持っている場合に比べ、個々の車両から車両構成追加情報が漏洩するリスクを低減することができる。つまり、車両構成追加情報をSOCサーバ33やOEMセンタサーバ40等で一元管理することができ、車両構成追加情報が漏洩するリスクを低減することができる。
また、本実施形態によれば、SOCサーバ33で攻撃・異常関係テーブルを生成するので、豊富なハードウェアリソースを用いて攻撃・異常関係テーブルを生成することができる。
5.その他
実施形態1及び3において、車両用攻撃分析装置11(13)は車両構成追加情報を受信することにより取得しているが、SOCサーバ31(33)から車両構成追加情報を受信する場合は、改めて同じ情報をSOCサーバ31(33)に送信しなくてもよい。
また、各実施形態において攻撃・異常関係テーブルを生成するタイミングは、車両の出荷時や、車両の構成が変化した時、車両で用いるソフトウェアのバージョンアップがあった時、あるいはSOCサーバ31(32、33)等で新たなパターンを追加する必要が生じた時、などであってもよい。
実施形態1及び3において、車両用攻撃分析装置11(13)は車両構成追加情報を受信することにより取得しているが、SOCサーバ31(33)から車両構成追加情報を受信する場合は、改めて同じ情報をSOCサーバ31(33)に送信しなくてもよい。
また、各実施形態において攻撃・異常関係テーブルを生成するタイミングは、車両の出荷時や、車両の構成が変化した時、車両で用いるソフトウェアのバージョンアップがあった時、あるいはSOCサーバ31(32、33)等で新たなパターンを追加する必要が生じた時、などであってもよい。
6.総括
以上、本発明の各実施形態における車両用攻撃分析装置等の特徴について説明した。
以上、本発明の各実施形態における車両用攻撃分析装置等の特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用攻撃分析装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
また、本発明の車両用攻撃分析装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
また車両用攻撃分析装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明の外部装置は、特にサーバ側で用いられることにより、各種サービスの提供を目的とするために用いられることが想定される。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明の車両用攻撃分析装置は、主として自動車に搭載された電子制御システムが受けたサイバー攻撃を分析する装置を対象としているが、自動車に搭載されない通常のシステムに対する攻撃を分析する装置を対象としてもよい。
11,12,13 車両用攻撃分析装置、111 記憶部、112 受信部、113 送信部、114 制御部、115 車両構成情報分類部、116 攻撃・異常関係情報生成部、117 攻撃・異常関係情報結合部、118 攻撃推定部、31,32,33 SOCサーバ、40 OEMセンタサーバ、1,2,3 攻撃分析システム
Claims (15)
- 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置であって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(111)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(112)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する車両構成情報分類部(115)と、
前記第1の車両構成情報を外部装置(31)に送信する送信部(113)と、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(116)と、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報を前記外部装置から受信する前記受信部(112)と、
前記第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成する攻撃・異常関係情報結合部(117)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(118)と、を備える、
車両用攻撃分析装置(11)。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置であって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(111)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(112)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する車両構成情報分類部(115)と、
前記第1の車両構成情報を外部装置(31)に送信する送信部(113)と、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(116)と、
前記第2の攻撃・異常関係情報を前記外部装置に送信する前記送信部(113)と、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報とを結合して生成した攻撃・異常関係情報を前記外部装置から受信する前記受信部(112)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(118)と、を備える、
車両用攻撃分析装置(11)。 - 前記車両構成追加情報は、機器認証を用いて認証した装置若しくは認証された装置から受信する、
請求項1又は2記載の車両用攻撃分析装置。 - 前記第1の車両構成情報は、情報のセキュリティレベルが所定のレベルよりも低い、
請求項1又は2記載の車両用攻撃分析装置。 - 前記第2の車両構成情報は、情報のセキュリティレベルが所定のレベルよりも高い、
請求項1又は2記載の車両用攻撃分析装置。 - 前記外部装置は、前記第1の車両構成情報に加え、前記車両が有しておらずかつ前記外部装置が有している第3の車両構成情報に基づき前記第1の攻撃・異常関係情報を生成する、
請求項1又は2記載の車両用攻撃分析装置。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置であって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(121)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(122)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(126)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(128)と、を備える、
車両用攻撃分析装置(12)。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置であって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(131)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(132)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を外部装置(33)に送信する送信部(133)と、
前記車両構成情報に基づき前記外部装置で生成した、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係情報を前記外部装置から受信する前記受信部(132)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(138)と、を備える、
車両用攻撃分析装置(13)。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置、及び外部装置からなる攻撃分析システムであって、
前記車両用攻撃分析装置(11)は、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(111)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(112)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する車両構成情報分類部(115)と、
前記第1の車両構成情報を外部装置に送信する送信部(113)と、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(116)と、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報を前記外部装置から受信する前記受信部(112)と、
前記第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成する攻撃・異常関係情報結合部(117)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(118)と、を備え、
前記外部装置(31)は、
前記第1の車両構成情報を受信する受信部(312)と、
前記第1の車両構成情報に基づき、前記第1の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(316)と、
前記第1の攻撃・異常関係情報を前記車両用攻撃分析装置に送信する送信部(313)と、を備える、
攻撃分析システム(1)。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置、及び外部装置からなる攻撃分析システムであって、
前記車載攻撃分析装置(11)は、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶する記憶部(111)と、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信する受信部(112)と、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類する車両構成情報分類部(115)と、
前記第1の車両構成情報を外部装置に送信する送信部(113)と、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(116)と、
前記第2の攻撃・異常関係情報を前記外部装置に送信する前記送信部(113)と、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報とを結合して生成した攻撃・異常関係情報を前記外部装置から受信する前記受信部(112)と、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(118)と、を備え、
前記外部装置(31)は、
前記第1の車両構成情報を受信する受信部(312)と、
前記第1の車両構成情報に基づき、前記第1の攻撃・異常関係情報を生成する攻撃・異常関係情報生成部(316)と、
前記第2の攻撃・異常関係情報を前記車両用攻撃分析装置から受信する前記受信部(312)と、
前記第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成する攻撃・異常関係情報結合部(317)と、
前記攻撃・異常関係情報を前記車両用攻撃分析装置に送信する送信部(313)と、を備える、
攻撃分析システム(1)。 - 前記外部装置は、さらに、前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する攻撃推定部(318)、を備える、
請求項9又は10記載の攻撃分析システム。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置で実行する攻撃分析方法であって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶し(S111)、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信し(S112)、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類し(S113)、
前記第1の車両構成情報を外部装置に送信し(S114)、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成し(S115)、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報を前記外部装置から受信し(S116)、
前記第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成し(S117)、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する(S119)、
攻撃分析方法。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置で実行する攻撃分析方法であって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶し(S111)、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信し(S112)、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類し(S113)、
前記第1の車両構成情報を外部装置に送信し(S114)、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成し(S115)、
前記第2の攻撃・異常関係情報を前記外部装置に送信し(S151)、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報とを結合して生成した攻撃・異常関係情報を前記外部装置から受信し(S152)、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する(S119)、
攻撃分析方法。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置で実行可能な攻撃分析プログラムであって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶し(S111)、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信し(S112)、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類し(S113)、
前記第1の車両構成情報を外部装置に送信し(S114)、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成し(S115)、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報を前記外部装置から受信し(S116)、
前記第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報を結合して攻撃・異常関係情報を生成し(S117)、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する(S119)、
攻撃分析プログラム。 - 車両に搭載される電子制御システムに対する攻撃を分析する車両用攻撃分析装置で実行可能な攻撃分析プログラムであって、
前記車両の構成に関する情報のうち前記車両が有する情報である車両構成基本情報を記憶し(S111)、
前記車両の構成に関する情報のうち前記車両が有していない情報である車両構成追加情報を受信し(S112)、
前記車両構成基本情報及び前記車両構成追加情報からなる車両構成情報を第1の車両構成情報及び第2の車両構成情報に分類し(S113)、
前記第1の車両構成情報を外部装置に送信し(S114)、
前記第2の車両構成情報に基づき、前記電子制御システムが受ける攻撃を示す攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す第2の攻撃・異常関係情報を生成し(S115)、
前記第2の攻撃・異常関係情報を前記外部装置に送信し(S151)、
前記第1の車両構成情報に基づき前記外部装置で生成した第1の攻撃・異常関係情報と前記第2の攻撃・異常関係情報とを結合して生成した攻撃・異常関係情報を前記外部装置から受信し(S152)、
前記攻撃・異常関係情報を用いて前記電子制御システムが受けた攻撃を推定する(S119)、
攻撃分析プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022157431A JP2024051325A (ja) | 2022-09-30 | 2022-09-30 | 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022157431A JP2024051325A (ja) | 2022-09-30 | 2022-09-30 | 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2024051325A true JP2024051325A (ja) | 2024-04-11 |
Family
ID=90622886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022157431A Pending JP2024051325A (ja) | 2022-09-30 | 2022-09-30 | 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2024051325A (ja) |
-
2022
- 2022-09-30 JP JP2022157431A patent/JP2024051325A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11575699B2 (en) | Security processing method and server | |
| US11569984B2 (en) | Key management method used in encryption processing for safely transmitting and receiving messages | |
| JP7492622B2 (ja) | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 | |
| US11403087B2 (en) | Over-the-air (OTA) mobility services platform | |
| US20230247038A1 (en) | Security processing method and server | |
| US10999156B2 (en) | Mobility services platform for self-healing mobility clients | |
| JPWO2019142458A1 (ja) | 車両監視装置、不正検知サーバ、および、制御方法 | |
| US11474889B2 (en) | Log transmission controller | |
| US11544408B2 (en) | Method and system for managing vehicle generated data | |
| JP2024051325A (ja) | 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム | |
| US20230156027A1 (en) | Log management device, log management method, computer program product, and security attack detection and analyzing system | |
| US20230007033A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
| US20220019662A1 (en) | Log management device and center device | |
| US20240111859A1 (en) | Log determination device, log determination method, log determination program, and log determination system | |
| JP2021117568A (ja) | サイバー攻撃分析支援装置 | |
| US20240114044A1 (en) | Log determination device, log determination method, log determination program, and log determination system | |
| JP7517223B2 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| US20240039949A1 (en) | Attack estimation verification device, attack estimation verification method, and storage medium storing attack estimation verification program | |
| US20240208441A1 (en) | Electronic control unit, electronic control system, log processing method, and non-transitory computer-readable storage medium storing log processing program | |
| JP2024051324A (ja) | ログ分析装置、ログ分析方法、及びログ分析プログラム | |
| JP2024051328A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP2024051327A (ja) | 更新装置、更新方法、及び更新プログラム | |
| JP2022153081A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP2022017118A (ja) | ログ送信制御装置 |