JP7347698B1 - 検知装置および検知方法 - Google Patents

検知装置および検知方法 Download PDF

Info

Publication number
JP7347698B1
JP7347698B1 JP2022578792A JP2022578792A JP7347698B1 JP 7347698 B1 JP7347698 B1 JP 7347698B1 JP 2022578792 A JP2022578792 A JP 2022578792A JP 2022578792 A JP2022578792 A JP 2022578792A JP 7347698 B1 JP7347698 B1 JP 7347698B1
Authority
JP
Japan
Prior art keywords
detection
unit
measurement
state
detection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022578792A
Other languages
English (en)
Other versions
JPWO2024009383A1 (ja
JPWO2024009383A5 (ja
Inventor
和弘 垣東
勇夫 加藤
大輔 相馬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Application granted granted Critical
Publication of JP7347698B1 publication Critical patent/JP7347698B1/ja
Publication of JPWO2024009383A1 publication Critical patent/JPWO2024009383A1/ja
Publication of JPWO2024009383A5 publication Critical patent/JPWO2024009383A5/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Testing Or Calibration Of Command Recording Devices (AREA)
  • Measuring Pulse, Heart Rate, Blood Pressure Or Blood Flow (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)

Abstract

検知装置は、前記検知装置が搭載される機器に関する物理量を計測する計測部と、前記計測部の計測結果に基づいて、前記機器に対する物理的な攻撃の複数段階の進行状態を検知する検知部とを備える。

Description

本開示は、検知装置および検知方法に関する。
特許文献1(特表2018-531446号公報)には、以下のような不正開封反応アセンブリが開示されている。すなわち、不正開封反応アセンブリは、不正開封反応センサを備え、前記不正開封反応センサが、反対側の第1の面および第2の面を有する少なくとも1つの形成されたフレキシブル層と、少なくとも1つの抵抗回路網を形成する回路線であって、前記少なくとも1つの形成されたフレキシブル層の前記第1の面または前記第2の面のうちの少なくとも1つの上に配置されている前記回路線とを備え、前記回路線を含む前記少なくとも1つの形成されたフレキシブル層が屈曲部を含み、前記回路線が前記少なくとも1つの形成されたフレキシブル層の前記屈曲部の上に少なくとも部分的にある。
特表2018-531446号公報
本開示の検知装置は、前記検知装置が搭載される機器に関する物理量を計測する計測部と、前記計測部の計測結果に基づいて、前記機器に対する物理的な攻撃の複数段階の進行状態を検知する検知部とを備える。
本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得たり、検知装置の一部または全部を実現する半導体集積回路として実現され得たり、検知装置を含むシステムとして実現され得る。
図1は、本開示の第1の実施の形態に係る機器の構成を示す斜視図である。 図2は、本開示の第1の実施の形態に係る機器の構成を示す平面図である。 図3は、本開示の第1の実施の形態に係る機器の構成を示す正面図である。 図4は、本開示の第1の実施の形態に係る検知装置の構成を示す縦断面図である。 図5は、本開示の第1の実施の形態に係る検知装置の構成を示す図である。 図6は、本開示の第1の実施の形態に係る機器の近接センサの一例を示す図である。 図7は、本開示の第1の実施の形態に係る機器の近接センサの電極を示す図である。 図8は、本開示の第1の実施の形態に係る機器の近接センサの電極を示す図である。 図9は、本開示の第1の実施の形態に係る検知装置の構成を示す機能ブロック図である。 図10は、本開示の第1の実施の形態に係る検知装置における静電容量の計測結果の一例を示す図である。 図11は、本開示の第1の実施の形態に係る検知装置における抵抗値の計測結果の一例を示す図である。 図12は、本開示の第1の実施の形態に係る検知装置における検知処理のフローチャートの一例を示す図である。 図13は、本開示の第1の実施の形態に係る検知装置における検知処理のシーケンスの一例を示す図である。 図14は、本開示の第2の実施の形態に係る検知装置の構成を示す縦断面図である。 図15は、本開示の第2の実施の形態に係る検知装置の構成を示す図である。 図16は、本開示の第2の実施の形態に係る検知装置の構成を示す機能ブロック図である。 図17は、本開示の第2の実施の形態に係る検知装置における音圧の計測結果の一例を示す図である。 図18は、本開示の第2の実施の形態に係る検知装置における音圧の計測結果の他の例を示す図である。 図19は、本開示の第2の実施の形態に係る検知装置における振動の計測結果の一例を示す図である。 図20は、本開示の第2の実施の形態に係る検知装置における振動の計測結果の他の例を示す図である。
従来、機器に対する物理的な攻撃を検知する技術が提案されている。特許文献1に記載の技術では、機器が不正に開封されたことを検知することができる。
[本開示が解決しようとする課題]
特許文献1に記載の技術を超えて、機器への物理的な攻撃に対するセキュリティ性をより向上させることが可能な技術が望まれる。
本開示は、上述の課題を解決するためになされたもので、その目的は、機器への物理的な攻撃に対するセキュリティ性をより向上させることが可能な検知装置および検知方法を提供することである。
[本開示の効果]
本開示によれば、機器への物理的な攻撃に対するセキュリティ性をより向上させることができる。
[本開示の実施形態の説明]
最初に、本開示の実施形態の内容を列記して説明する。
(1)本開示の実施の形態に係る検知装置は、前記検知装置が搭載される機器に関する物理量を計測する計測部と、前記計測部の計測結果に基づいて、前記機器に対する物理的な攻撃の複数段階の進行状態を検知する検知部とを備える。
このように、機器に関する物理量の計測結果に基づいて、機器に対する物理的な攻撃の複数段階の進行状態を検知する構成により、たとえば、機器に対する攻撃の進行度合いに応じた段階的な対処をより適切に実施することができる。したがって、機器への物理的な攻撃に対するセキュリティ性をより向上させることができる。
(2)上記(1)において、前記計測部は、前記機器に関する複数種類の物理量を計測してもよい。
このような構成により、機器に関する複数種類の物理量に基づいて、機器に対する物理的な攻撃の進行状態をより正確に検知することができる。
(3)上記(2)において、前記計測部は、前記機器に関する物理量として、前記検知装置に設けられた電極と前記攻撃を行う物体との間における静電容量、および前記検知装置に設けられた電極と前記物体との間における静磁界のうちの少なくともいずれか1つを計測してもよい。
このような構成により、攻撃を行う物体が機器に接触する前に、計測結果に基づいて当該物体の接近を検知することができるので、攻撃が開始される前に攻撃に対する対処を実施することができる。
(4)上記(1)から(3)のいずれかにおいて、前記計測部は、前記機器に関する物理量として、前記機器の振動および音圧の少なくともいずれか一方を計測してもよい。
このような構成により、機器に対する物理的な攻撃により生じる振動および音に基づいて攻撃の進行状態をより正確に検知することができる。
(5)上記(4)において、前記計測部は、所定の周波数成分の前記振動および前記音圧を計測してもよい。
このような構成により、たとえば機器に対する物理的な攻撃に固有の周波数成分に着目したより正確な検知を行うことができる。
(6)上記(1)から(5)のいずれかにおいて、前記検知部は、前記進行状態として、前記攻撃を行う物体が前記機器に接触しておらず、かつ前記物体と前記機器との間の距離が所定値未満の状態である近接状態を検知してもよい。
このような構成により、近接状態を検知した場合、接触による攻撃が開始される前に攻撃に対する対処を実施することができる。
(7)上記(6)において、前記検知部は、前記進行状態として、前記物体が前記機器に接触している状態である接触状態、前記機器の破壊行為が進行している状態である破壊中状態、および前記機器の破壊行為が完了した状態である破壊完了状態のうちの少なくともいずれか1つをさらに検知してもよい。
このような構成により、さらに、攻撃に関する物体が機器に接触した後における攻撃の進行度合いに応じて、処理しているデータの退避および消去等の段階的な対処をより適切に実施することができる。
(8)上記(1)から(7)のいずれかにおいて、前記検知部は、前記進行状態の検知結果を記憶部に保存してもよい。
このような構成により、検知結果を用いて、機器が受けた攻撃の内容を容易に検証することができる。
(9)上記(1)から(8)のいずれかにおいて、前記検知装置は、さらに、前記検知部により前記攻撃が検知された場合、所定の防御処理を行う処理部を備えてもよく、前記処理部は、前記検知部により検知された前記進行状態の段階に応じて異なる前記防御処理を行ってもよい。
このような構成により、機器に対する攻撃の進行度合いに応じた異なる内容の対処を検知処理において迅速に実施することができる。
(10)上記(9)において、前記処理部は、前記防御処理として、データの消去、データの退避、前記機器以外の外部装置への検知結果の通知、前記機器の再起動の制限、および前記機器の動作の一部または全部の停止のうちの少なくともいずれか1つを行ってもよい。
このような構成により、たとえばデータが不正に取得されること等を回避することができる。
(11)本開示の実施の形態に係る検知方法は、検知装置における検知方法であって、前記検知装置が搭載される機器に関する物理量を計測するステップと、前記機器に関する物理量の計測結果に基づいて、前記機器に対する物理的な攻撃の複数段階の進行状態を検知するステップとを含む。
このように、機器に関する物理量の計測結果に基づいて、機器に対する物理的な攻撃の複数段階の進行状態を検知する方法により、たとえば、機器に対する攻撃の進行度合いに応じた段階的な対処をより適切に実施することができる。したがって、機器への物理的な攻撃に対するセキュリティ性をより向上させることができる。
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
<第1の実施の形態>
[構成および基本動作]
図1は、本開示の第1の実施の形態に係る機器の構成を示す斜視図である。図2は、本開示の第1の実施の形態に係る機器の構成を示す平面図である。図3は、本開示の第1の実施の形態に係る機器の構成を示す正面図である。
図1、図2および図3を参照して、機器1は、筐体2と、コネクタ3とを備える。機器1は、工場、プラントおよびビル等の産業制御システムにおいて用いられる制御機器であってもよいし、車両に搭載される車載ECU(Electronic Control Unit)であってもよい。機器1には、後述する検知装置101が搭載されている。
筐体2の形状は、たとえば直方体である。コネクタ3は、機器1と他の機器とを電気的に接続するための接続部である。
図4は、本開示の第1の実施の形態に係る検知装置の構成を示す縦断面図である。図4は、図2におけるIV-IV線矢視断面図である。図4を参照して、筐体2は、ベース部2Aと、カバー部2Bとを含む。ベース部2Aには、回路基板4が配置される。カバー部2Bの内側には、近接センサ70が配置される。ベース部2Aおよびカバー部2Bは、たとえばネジ止めされることにより互いに固定されている。
図5は、本開示の第1の実施の形態に係る検知装置の構成を示す図である。図5は、筐体2のカバー部2Bを取り外した状態における機器1の平面図である。
図4および図5を参照して、筐体2の内部には、検知装置101が搭載されている。検知装置101は、計測用IC(Integrated Circuit)10と、CPU(Central Processing Unit)20,30と、入出力回路40と、電源回路50と、記憶装置60と、近接センサ70とを備える。計測用IC10および近接センサ70は、計測部の一例である。CPU20は、検知部の一例である。CPU30は、処理部の一例である。
計測用IC10、CPU20,30、入出力回路40、電源回路50および記憶装置60は、回路基板4に実装または形成される。
電源回路50は、計測用IC10、CPU20,30、入出力回路40および記憶装置60に電力を供給する。
CPU30は、機器1に固有の処理を行う。より詳細には、たとえば機器1が自動運転用の車載ECUである場合、当該機器1に搭載される検知装置101おけるCPU30は、自動運転のための各種処理を行う。
図6は、本開示の第1の実施の形態に係る機器の近接センサの一例を示す図である。図6は、近接センサ70の側面図を示している。図6を参照して、近接センサ70は、基板71と、基板71の2つの面のうちの回路基板4とは反対側の面71Aに形成された電極72Aと、基板71の2つの面のうちの回路基板4側の面71Bに形成された電極72Bとを備える。以下、電極72A,72Bの各々を電極72とも称する。
図7は、本開示の第1の実施の形態に係る機器の近接センサの電極を示す図である。図7は、電極72Aの平面図を示している。図7を参照して、電極72Aは、プラスY方向およびマイナスY方向に交互に伸びるジグザグのパターン状に形成された導電体73Aと、直線状に形成された導電体73Cとを含む。導電体73A,73Cは、たとえば印刷方式により基板71の面71Aに形成される。導電体73Aにおける第1の端部PA1は、周波数調整用の受動素子74Aを介して、図4に示すように、基板71の第1の辺から伸びる信号線5を介して計測用IC10に接続される。導電体73Cにおける第1の端部PC1は、周波数調整用の受動素子74Bを介して、図4に示すように、当該第1の辺に対向する第2の辺から伸びる信号線5を介して計測用IC10に接続される。
図8は、本開示の第1の実施の形態に係る機器の近接センサの電極を示す図である。図8は、電極72Bの平面図を示している。図8を参照して、電極72Bは、プラスX方向およびマイナスX方向に交互に伸びるジグザグのパターン状に形成された導電体73Bを含む。導電体73Aは、たとえば印刷方式により基板71の面71Bに形成される。導電体73Bにおける第1の端部PB1は、基板71に設けられたスルーホールを介して、面71Aの導電体73Aにおける第2の端部PA2と接続される。導電体73Bにおける第2の端部PB2は、基板71に設けられたスルーホールを介して、面71Aの導電体73Cにおける第2の端部PC2と接続される。
計測用IC10および近接センサ70は、機器1に関する物理量を計測する。
たとえば、計測用IC10および近接センサ70は、機器1に関する複数種類の物理量を計測する。一例として、計測用IC10および近接センサ70は、電極72と攻撃を行う物体との間における静電容量Cと、電極72の抵抗値Rとを計測する。より詳細には、近接センサ70は、静電容量式センサである。
CPU20は、計測用IC10および近接センサ70の計測結果に基づいて、機器1に対する物理的な攻撃の複数段階の進行状態Pを検知する検知処理を行う。ここで、物理的な攻撃とは、たとえば、機器1を破壊する行為、機器1を不正に開封する行為、および機器1における通信を不正に傍受するための信号線を機器1に取り付ける行為等が挙げられる。CPU20は、進行状態Pの検知結果および検知時刻を記憶装置60に保存する。
たとえば、CPU20は、進行状態Pとして、攻撃を行う物体が機器1に接触しておらず、かつ当該物体と機器1との間の距離が所定値未満の状態である近接状態P1、当該物体が機器1に接触している状態である接触状態P2、機器1の破壊行為が進行している状態である破壊中状態P3、および機器1の破壊行為が完了した状態である破壊完了状態P4を検知する。
CPU30は、CPU20により機器1に対する物理的な攻撃が検知された場合、所定の防御処理を行う。CPU30は、CPU20により検知された進行状態Pの段階に応じて異なる防御処理を行う。たとえば、CPU30は、防御処理として、データの消去、データの退避、機器1以外の外部装置への検知結果の通知、機器1の再起動の制限、および機器1の動作の一部または全部の停止を行う。
以下、計測用IC10、およびCPU20,30における処理について、詳細に説明する。
図9は、本開示の第1の実施の形態に係る検知装置の構成を示す機能ブロック図である。図9を参照して、検知装置101は、計測部11と、検知処理部21と、認証部22と、主機能部31と、消去部32と、出力部33と、機器用電源51と、非常用電源52と、記憶部61とを備える。
計測部11は、計測用IC10および近接センサ70により実現される。検知処理部21および認証部22は、CPU20により実現される。主機能部31、消去部32および出力部33は、CPU30により実現される。機器用電源51および非常用電源52は、電源回路50により実現される。記憶部61は、記憶装置60に含まれる。記憶部61は、不揮発性メモリであり、たとえばEEPROM(Electrically Erasable Programmable Read‐Only Memory)である。
機器用電源51は、検知装置101における各ユニットに電力を供給する。非常用電源52は、機器用電源51による電力の供給が瞬断または途絶した場合、機器用電源51に代わって各ユニットへの電力の供給を開始する。
計測部11は、近接センサ70における電極72と、機器1の外部における物体との間の静電容量Cを計測する。より詳細には、計測用IC10は、所定の計測周期に従う計測タイミングにおいて、静電容量Cを計測し、静電容量Cの計測結果を示す計測情報M1を検知処理部21へ出力する。
また、計測部11は、電極72の抵抗値Rを計測する。より詳細には、計測用IC10は、所定の計測周期に従う計測タイミングにおいて、抵抗値Rを計測し、抵抗値Rの計測結果を示す計測情報M2を検知処理部21へ出力する。
(初期チェック処理)
検知処理部21は、機器1の起動後、検知機能の異常が発生しているか否かを判定する初期チェック処理を行う。
たとえば、検知処理部21は、初期チェック処理において、計測部11から受けた計測情報M1が示す静電容量Cが所定範囲内の値であり、かつ計測部11から受けた計測情報M2が示す抵抗値Rが所定範囲内の値である場合、検知機能の異常は発生していないと判定する。検知処理部21は、検知機能の異常は発生していないと判定した場合、正常判定通知を主機能部31へ出力し、検知処理を開始する。
主機能部31は、検知処理部21から正常判定通知を受けて、各種処理を開始する。
一方、検知処理部21は、初期チェック処理において、計測部11から受けた計測情報M1が示す静電容量Cが所定範囲内の値でないか、または計測部11から受けた計測情報M2が示す抵抗値Rが所定範囲内の値でない場合、検知機能の異常が発生していると判定する。検知処理部21は、検知機能の異常が発生していると判定した場合、認証要求を認証部22へ出力する。
認証部22は、検知処理部21から認証要求を受けた場合、機器1のユーザに認証情報を要求し、ユーザからの認証情報を待ち受ける。ユーザは、たとえば認証用器具を用いて、認証情報を認証部22へ与える。認証部22は、認証用器具から認証情報を受けて、受けた認証情報を用いて認証処理を行う。認証部22は、認証に成功した場合、認証成功通知を検知処理部21へ出力する。
検知処理部21は、認証部22から認証成功通知を受けた場合、復元許可通知を主機能部31へ出力する。
主機能部31は、検知処理部21から復元許可通知を受けて、後述する防御処理において暗号化されたデータが記憶部61に保存されているか否かを確認する。主機能部31は、暗号化されたデータが記憶部61に保存されている場合、記憶部61から当該データを取得し、取得したデータを出力部33へ出力する。出力部33は、主機能部31から受けたデータを、図5に示す入出力回路40およびコネクタ3経由で図示しない外部装置へ送信する。
主機能部31は、出力部33によるデータの送信の完了後、検知装置101における各ユニットの動作を停止する処理を行う。
一方、認証部22は、認証に失敗した場合、認証失敗通知を検知処理部21へ出力する。検知処理部21は、認証部22から認証失敗通知を受けた場合、検知装置101における各ユニットの動作を停止する処理を行う。
(進行状態Pの検知)
図10は、本開示の第1の実施の形態に係る検知装置における静電容量の計測結果の一例を示す図である。図10は、図1におけるマイナスZ方向に進行するドリルを用いて機器1を破壊する行為が行われたときの、静電容量Cの時系列変化を示すグラフである。図10において、横軸は時刻を示し、縦軸は静電容量C[F]を示す。
図10を参照して、計測部11により計測される静電容量Cは、機器1に対する物理的な攻撃の進行に伴って変化する。より詳細には、静電容量Cは、マイナスZ方向に進行するドリルの先端が機器1に接近し、ドリルと近接センサ70との間の距離が所定値未満となると、マイナスZ方向へのドリルの進行に伴って増大する。そして、ドリルが筐体2の上面を貫通し、ドリルが電極72Aに接触することにより導電体73Aが断線すると、静電容量Cは計測不能になるので、静電容量Cはたとえばゼロに低下する。なお、静電容量Cは、機器1が不正に開封された場合も同様に、開封行為の進行に伴って変化する。たとえば、静電容量Cは、機器1が開封された場合、筐体2のベース部2Aとカバー部2Bとが分離することにより信号線5が断線し、ゼロに低下する。
検知処理部21は、計測部11から計測情報M1を受けるたびに、受けた計測情報M1が示す静電容量Cと所定の閾値とを比較することにより、機器1に対する物理的な攻撃の進行状態Pを判定する。
たとえば、検知処理部21は、時刻tasにおいて、計測部11から受けた計測情報M1が示す静電容量Cが閾値ThA1未満である場合、機器1に対する物理的な攻撃が行われていない定常状態Psであると判定する。
検知処理部21は、時刻tasの後の時刻ta1において、計測部11から受けた計測情報M1が示す静電容量Cが閾値ThA1以上となった場合、定常状態Psから近接状態P1に遷移したと判定する。そして、検知処理部21は、定常状態Psから近接状態P1に遷移したことを示す検知結果JA1を主機能部31へ出力する。また、検知処理部21は、検知結果JA1および検知時刻を記憶部61に保存する。
検知処理部21は、時刻ta1の後の時刻ta2において、計測部11から受けた計測情報M1が示す静電容量Cが閾値ThA2以上となった場合、進行状態Pが近接状態P1から接触状態P2に遷移したと判定する。そして、検知処理部21は、近接状態P1から接触状態P2に遷移したことを示す検知結果JA2を主機能部31へ出力する。また、検知処理部21は、検知結果JA2および検知時刻を記憶部61に保存する。
検知処理部21は、時刻ta2以降において、計測部11から受けた計測情報M1が示す静電容量Cの単位時間当たりの増加量Mcが閾値ThAM以上である場合、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定する。そして、検知処理部21は、接触状態P2から破壊中状態P3に遷移したことを示す検知結果JA3を主機能部31へ出力する。また、検知処理部21は、検知結果JA3および検知時刻を記憶部61に保存する。
検知処理部21は、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定した場合であって、時刻ta2より後の時刻ta3において、計測部11から受けた計測情報M1が示す静電容量Cがゼロに低下した場合、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定する。そして、検知処理部21は、破壊中状態P3から破壊完了状態P4に遷移したことを示す検知結果JA4を主機能部31へ出力する。また、検知処理部21は、検知結果JA4および検知時刻を記憶部61に保存する。
図11は、本開示の第1の実施の形態に係る検知装置における抵抗値の計測結果の一例を示す図である。図11は、図10と同様に、図1におけるマイナスZ方向に進行するドリルを用いて機器1を破壊する行為が行われたときの、抵抗値Rの時系列変化を示すグラフである。図11において、横軸は時刻を示し、縦軸は抵抗値R[Ω]を示す。
図11を参照して、計測部11により計測される抵抗値Rは、機器1に対する物理的な攻撃の進行に伴って変化する。より詳細には、抵抗値Rは、マイナスZ方向に進行するドリルの先端が機器1に接触すると、微小な変動が生じるとともに、マイナスZ方向へのドリルの進行に伴って増大する。そして、ドリルが筐体2の上面を貫通し、ドリルが電極72Aに接触することにより導電体73Aが断線すると、抵抗値Rは無限大となる。なお、抵抗値Rは、機器1が不正に開封された場合も同様に、開封行為の進行に伴って変化する。たとえば、抵抗値Rは、機器1が開封された場合、筐体2のベース部2Aとカバー部2Bとが分離することにより信号線5が断線し、無限大となる。
検知処理部21は、計測部11から計測情報M2を受けるたびに、受けた計測情報M2が示す抵抗値Rと所定の閾値とを比較することにより、機器1に対する物理的な攻撃の進行状態Pを判定する。
たとえば、検知処理部21は、時刻tbsにおいて、計測部11から受けた計測情報M2が示す抵抗値Rが閾値ThB2未満である場合、機器1に対する物理的な攻撃が行われていない定常状態Psであると判定する。
検知処理部21は、時刻tbsの後の時刻tb2において、計測部11から受けた計測情報M2が示す抵抗値Rが閾値ThB2以上となった場合、機器1に対する物理的な攻撃が行われていない定常状態Psから接触状態P2に遷移したと判定する。そして、検知処理部21は、定常状態Psから接触状態P2に遷移したことを示す検知結果JB2を主機能部31へ出力する。また、検知処理部21は、検知結果JB2および検知時刻を記憶部61に保存する。
検知処理部21は、時刻tb2以降において、計測部11から受けた計測情報M2が示す抵抗値Rの単位時間当たりの増加量Mrが閾値ThBM以上である場合、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定する。そして、検知処理部21は、接触状態P2から破壊中状態P3に遷移したことを示す検知結果JB3を主機能部31へ出力する。また、検知処理部21は、検知結果JB3および検知時刻を記憶部61に保存する。
検知処理部21は、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定した場合であって、時刻tb2より後の時刻tb3において、計測部11から受けた計測情報M2が示す抵抗値Rが無限大となった場合、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定する。そして、検知処理部21は、破壊中状態P3から破壊完了状態P4に遷移したことを示す検知結果JB4を主機能部31へ出力する。また、検知処理部21は、検知結果JB4および検知時刻を記憶部61に保存する。
(防御処理1)
主機能部31は、検知処理部21から検知結果JA1を受けた場合、機器1の動作の一部または全部を停止する。より詳細には、機器1が自動運転用の車載ECUである場合、当該機器1に搭載される検知装置101における主機能部31は、自動運転のための各種処理の一部または全部を停止する。たとえば、主機能部31は、攻撃を受けたときの状況として、検知処理部21から検知結果JA1を受けたときの機器1の状況を示す情報を記憶部61に保存する。
(防御処理2)
主機能部31は、検知処理部21から検知結果JA2または検知結果JB2を受けた場合、データの一部を退避する処理として、主機能部31において処理しているデータの一部または全部を暗号化し、暗号化したデータを記憶部61に保存する。たとえば、主機能部31は、主機能部31において処理しているデータのうちの重要度が高い一部のデータを暗号化する。たとえば、主機能部31は、攻撃を受けたときの状況として、検知処理部21から検知結果JA2または検知結果JB2を受けたときの機器1の状況を示す情報を記憶部61に保存する。
(防御処理3)
主機能部31は、検知処理部21から検知結果JA3または検知結果JB3を受けた場合、データの全部を退避する処理として、主機能部31において処理しているデータの残りを暗号化し、暗号化したデータを記憶部61に保存する。
また、主機能部31は、検知処理部21から検知結果JA3を受けた場合、機器1以外の外部装置へ検知結果を通知する処理として、検知処理部21から受けた検知結果JA3を出力部33へ出力する。また、主機能部31は、検知処理部21から検知結果JB3を受けた場合、機器1以外の外部装置へ検知結果を通知する処理として、検知処理部21から受けた検知結果JB3を出力部33へ出力する。
出力部33は、主機能部31から検知結果JA3を受けた場合、受けた検知結果JA3を含む検知情報を、図5に示す入出力回路40およびコネクタ3経由で図示しない外部装置へ送信する。また、出力部33は、主機能部31から検知結果JB3を受けた場合、受けた検知結果JB3を含む検知情報を、図5に示す入出力回路40およびコネクタ3経由で図示しない外部装置へ送信する。
また、主機能部31は、検知処理部21から検知結果JA3または検知結果JB3を受けた場合、機器1の再起動を制限する処理として、起動時認証指示を検知処理部21へ出力する。
検知処理部21は、主機能部31から起動時認証指示を受けた場合、機器1の停止後、次に機器1が起動した際に、初期チェック処理の結果に関わらず、認証部22へ認証要求を出力する。
なお、主機能部31は、検知処理部21への起動時認証指示の出力を行わない構成であってもよい。この場合、検知処理部21は、検知処理において進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定した場合、機器1の停止後、次に機器1が起動した際に、自律的に認証部22へ認証要求を出力する。
たとえば、主機能部31は、攻撃を受けたときの状況として、検知処理部21から検知結果JA3または検知結果JB3を受けたときの機器1の状況を示す情報を記憶部61に保存する。
(防御処理4)
主機能部31は、検知処理部21から検知結果JA4または検知結果JB4を受けた場合、データを消去する処理として、自己消去リクエストを消去部32へ出力する。
消去部32は、主機能部31から自己消去リクエストを受けた場合、主機能部31自体のソフトウェアプログラムおよび主機能部31が保持する各種情報を消去する消去処理を行う。消去部32は、消去処理の完了後、検知装置101における各ユニットの動作を停止する処理を行う。
たとえば、主機能部31は、攻撃を受けたときの状況として、検知処理部21から検知結果JA4または検知結果JB4を受けたときの機器1の状況を示す情報を記憶部61に保存する。
なお、検知処理部21は、電力の供給元が機器用電源51から非常用電源52に切り替わった場合、非常用電源52から電力が供給されている期間内に、主機能部31において処理しているデータを暗号化して記憶部61に保存し、自己消去リクエストを消去部32へ出力する構成であってもよい。
[動作の流れ]
本開示の実施の形態に係る機器における各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態でまたは通信回線を介して流通する。
図12は、本開示の第1の実施の形態に係る検知装置における検知処理のフローチャートの一例を示す図である。
図12を参照して、まず、検知装置101は、機器1の起動後、認証処理の要否を判断する。より詳細には、検知装置101における検知処理部21は、停止前に主機能部31から起動時認証指示を受けた場合、または初期チェック処理において検知機能の異常が発生していると判定した場合、認証処理を行う必要があると判断する。一方、検知処理部21は、停止前に主機能部31から起動時認証指示を受けておらず、かつ初期チェック処理において検知機能の異常は発生していないと判定した場合、認証処理を行う必要はないと判断する(ステップS11)。
次に、検知装置101は、認証処理を行う必要があると判断した場合(ステップS12でNO)、機器1のユーザに認証情報を要求する(ステップS13)。
次に、検知装置101は、認証に成功した場合(ステップS14でYES)、記憶部61に保存されているデータの復元を行う。より詳細には、検知処理部21は、認証部22から認証成功通知を受けた場合、復元許可通知を主機能部31へ出力する。主機能部31は、検知処理部21から復元許可通知を受けて起動し、記憶部61に暗号化されたデータが保存されている場合、暗号化されたデータを記憶部61から取得し、取得したデータを入出力回路40およびコネクタ3経由で図示しない外部装置へ送信する(ステップS15)。
次に、検知装置101は、動作を停止する。より詳細には、主機能部31は、検知装置101における各ユニットの動作を停止する処理を行う(ステップS16)。
一方、検知装置101は、認証処理が失敗した場合(ステップS14でNO)、データの復元を行うことなく動作を停止する(ステップS16)。
また、検知装置101は、認証処理を行う必要がないと判断した場合(ステップS12でYES)、静電容量Cおよび抵抗値Rの計測ならびに検知処理を開始する(ステップS17)。
次に、検知装置101は、静電容量Cが閾値ThA1以上となるのを待ち受け(ステップS18でNO)、静電容量Cが閾値ThA1以上となった場合(ステップS18でYES)、機器1に対する物理的な攻撃が行われていない定常状態Psから近接状態P1に遷移したと判定し、主機能部31における一部の処理を停止する(ステップS19)。
次に、検知装置101は、静電容量Cが閾値ThA2以上となるか、または抵抗値Rが閾値ThB2以上となるのを待ち受け(ステップS20でNO)、静電容量Cが閾値ThA2以上となるか、または抵抗値Rが閾値ThB2以上となった場合(ステップS20でYES)、進行状態Pが近接状態P1から接触状態P2に遷移したと判定し、主機能部31において処理しているデータの一部を退避する。より詳細には、検知装置101における主機能部31は、データの一部を退避する処理として、主機能部31において処理しているデータの一部を暗号化して記憶部61に保存する(ステップS21)。
次に、検知装置101は、静電容量Cの単位時間当たりの増加量Mcが閾値ThAM以上となるか、または抵抗値Rの単位時間当たりの増加量Mrが閾値ThBM以上となるのを待ち受け(ステップS22でNO)、増加量Mcが閾値ThAM以上となるか、または増加量Mrが閾値ThBM以上となった場合(ステップS22でYES)、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定し、データの全部の退避、外部装置への検知結果の通知、および機器1の再起動の制限を行う。より詳細には、検知装置101における主機能部31は、データの全部を退避する処理として、主機能部31において処理しているデータの残りを暗号化して記憶部61に保存する。また、主機能部31は、外部装置へ検知結果を通知する処理として、検知情報を出力部33、入出力回路40およびコネクタ3経由で図示しない外部装置へ送信する。また、主機能部31は、機器1の再起動を制限する処理として、起動時認証指示を検知処理部21へ出力する(ステップS23)。
次に、検知装置101は、静電容量Cがゼロに低下するか、または抵抗値Rが無限大となるのを待ち受け(ステップS24でNO)、静電容量Cがゼロに低下するか、または抵抗値Rが無限大となった場合(ステップS24でYES)、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定し、データの消去を行う。より詳細には、検知装置101における主機能部31は、データを消去する処理として、自己消去リクエストを消去部32へ出力する。消去部32は、主機能部31から自己消去リクエストを受けた場合、主機能部31自体のソフトウェアプログラムおよび各種情報を消去する消去処理を行う(ステップS25)。
次に、検知装置101は、動作を停止する。より詳細には、消去部32は、検知装置101における各ユニットの動作を停止する処理を行う(ステップS16)。
図13は、本開示の第1の実施の形態に係る検知装置における検知処理のシーケンスの一例を示す図である。
図13を参照して、まず、計測用IC10は、所定の計測周期に従う計測タイミングにおいて、静電容量Cおよび抵抗値Rを計測し、静電容量Cの計測結果を示す計測情報M1および抵抗値Rの計測結果を示す計測情報M2をCPU20へ出力する(ステップS31)。
次に、CPU20は、計測情報M1が示す静電容量Cが閾値ThA1以上となった場合、機器1に対する物理的な攻撃が行われていない定常状態Psから近接状態P1に遷移したと判定する(ステップS32)。
次に、CPU20は、検知結果JA1をCPU30へ出力する(ステップS33)。
次に、CPU30は、CPU20から検知結果JA1を受けて、主機能部31における一部の処理を停止する(ステップS34)。
次に、CPU20は、たとえば計測情報M1が示す静電容量Cが閾値ThA2以上となった場合、進行状態Pが近接状態P1から接触状態P2に遷移したと判定する(ステップS35)。
次に、CPU20は、検知結果JA2をCPU30へ出力する(ステップS36)。
次に、CPU30は、CPU20から検知結果JA2を受けて、主機能部31において処理しているデータの一部を退避する(ステップS37)。
次に、CPU20は、たとえば計測情報M1が示す静電容量Cの単位時間当たりの増加量Mcが閾値ThAM以上となった場合、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定する(ステップS38)。
次に、CPU20は、検知結果JA3をCPU30へ出力する(ステップS39)。
次に、CPU30は、CPU20から検知結果JA3を受けて、主機能部31において処理しているデータの全部を退避する(ステップS40)。また、CPU30は、検知結果JA3を含む検知情報を入出力回路40およびコネクタ3経由で図示しない外部装置へ送信する(ステップS41)。また、CPU30は、起動時認証指示をCPU20へ出力する(ステップS42)。
次に、CPU20は、たとえば計測情報M1が示す静電容量Cがゼロに低下した場合、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定する(ステップS43)。
次に、CPU20は、検知結果JA4をCPU30へ出力する(ステップS44)。
次に、CPU30は、CPU20から検知結果JA4を受けて、主機能部31自体のソフトウェアプログラムおよび各種情報を消去する(ステップS45)。
なお、本開示の第1の実施の形態に係る検知装置101では、計測用IC10および近接センサ70は、機器1に関する複数種類の物理量を計測する構成であるとしたが、これに限定するものではない。計測用IC10および近接センサ70は、機器1に関する1種類の物理量を計測する構成であってもよい。すなわち、計測用IC10および近接センサ70は、静電容量Cおよび抵抗値Rのいずれか一方の計測を行わない構成であってもよい。
また、本開示の第1の実施の形態に係る検知装置101では、近接センサ70は、カバー部2Bの内側に設けられる構成であるとしたが、これに限定するものではない。近接センサ70は、ベース部2Aに設けられる構成であってもよい。また、近接センサ70は、筐体2の内側面に設けられる構成であってもよい。
また、本開示の第1の実施の形態に係る検知装置101では、計測用IC10および近接センサ70は、電極72と物体との間における静電容量Cと、電極72の抵抗値Rとを計測する構成であるとしたが、これに限定するものではない。計測用IC10および近接センサ70は、静電容量Cの代わりに、近接センサ70における電極と攻撃を行う物体との間における静磁界を計測する構成であってもよい。すなわち、近接センサ70は、ホールセンサまたはMR(Magneto Resistive)センサであってもよい。
また、本開示の第1の実施の形態に係る検知装置101では、CPU20は、進行状態Pとして、近接状態P1、接触状態P2、破壊中状態P3および破壊完了状態P4を検知する構成であるとしたが、これ限定するものではない。CPU20は、近接状態P1、接触状態P2、破壊中状態P3および破壊完了状態P4のうちのいずれか1つまたは2つの検知を行わない構成であってもよい。
また、本開示の第1の実施の形態に係る検知装置101では、CPU20は、進行状態Pの検知結果を記憶装置60に保存する構成であるとしたが、これ限定するものではない。CPU20は、進行状態Pの検知結果の記憶装置60への保存を行わない構成であってもよい。
また、本開示の第1の実施の形態に係る検知装置101では、CPU30は、防御処理を行う構成であるとしたが、これに限定するものではない。CPU30は、防御処理を行わない構成であってもよい。
たとえば、CPU30は、認証処理が有効な期間において、防御処理を行わない。より詳細には、主機能部31は、認証部22による認証処理が行われている期間、および認証部22が認証に成功してから所定時間が経過するまでの期間において、防御処理を行わない。主機能部31は、認証部22による認証処理が中断または停止された場合、もしくは認証部22が認証に成功してから所定時間が経過した場合、防御処理を有効化し、上述したように検知処理部21による進行状態Pの判定結果に応じた防御処理を行う。これにより、ユーザによる機器1の保守管理が行われている期間において、無用な防御処理の実行を防ぐことができる。
また、本開示の第1の実施の形態に係る検知装置101は、CPU30、入出力回路40、電源回路50および記憶装置60を備える構成であるとしたが、これに限定するものではない。検知装置101は、CPU30、入出力回路40、電源回路50および記憶装置60の一部または全部を備えない構成であってもよい。検知装置101は、少なくとも、計測用IC10、CPU20および近接センサ70を備える構成であればよい。この場合、たとえば、検知装置101は、CPU30、入出力回路40、電源回路50および記憶装置60を備える機器1に、後付けのデバイスとして搭載される。
また、本開示の第1の実施の形態に係る検知装置101では、CPU30は、データの消去、データの退避、機器1以外の外部装置への検知結果の通知、および機器1の再起動の制限を行う構成であるとしたが、これに限定するものではない。CPU30は、データの消去、データの退避、機器1以外の外部装置への検知結果の通知、および機器1の再起動の制限以外の防御処理を行う構成であってもよい。
また、本開示の第1の実施の形態に係る検知装置101では、主機能部31は、検知処理部21から検知結果JA2または検知結果JB2を受けて、主機能部31において処理しているデータの一部または全部を暗号化し、検知処理部21から検知結果JA3または検知結果JB3を受けて、暗号化したデータを記憶部61に保存する構成であるとしたが、これに限定するものではない。主機能部31は、検知処理部21から検知結果JA3または検知結果JB3を受けて、暗号化されていないデータを記憶部61に保存する構成であってもよい。この場合、主機能部31は、記憶部61に保存したデータに対して所定の難読化処理を行う構成であってもよい。
次に、本開示の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第2の実施の形態>
本実施の形態は、第1の実施の形態に係る検知装置101と比べて、静電容量Cおよび抵抗値Rの代わりに機器1の振動および音圧を計測する検知装置102に関する。以下で説明する内容以外は第1の実施の形態に係る検知装置101と同様である。
図14は、本開示の第2の実施の形態に係る検知装置の構成を示す縦断面図である。図14は、図2におけるXIV-XIV線矢視断面図である。
図15は、本開示の第2の実施の形態に係る検知装置の構成を示す図である。図15は、筐体2のカバー部2Bを取り外した状態における機器1の平面図である。
図14および図15を参照して、筐体2の内部には、検知装置102が搭載されている。検知装置102は、第1の実施の形態に係る検知装置101と比べて、計測用IC10の代わりに計測用IC110を備え、CPU20の代わりにCPU120を備え、近接センサ70の代わりに振動センサ180およびマイクロフォン170を備える。計測用IC110、マイクロフォン170および振動センサ180は、計測部の一例である。
マイクロフォン170および振動センサ180は、たとえば筐体2のカバー部2Bの内側に設けられ、信号線5を介して計測用IC10にそれぞれ接続される。
計測用IC110およびマイクロフォン170は、音圧Sを計測する。計測用IC110および振動センサ180は、機器1の振動Vを計測する。
CPU120は、計測用IC110、マイクロフォン170および振動センサ180の計測結果に基づいて、機器1に対する物理的な攻撃の複数段階の進行状態Pを検知する検知処理を行う。
図16は、本開示の第2の実施の形態に係る検知装置の構成を示す機能ブロック図である。図16を参照して、検知装置102は、検知装置101と比べて、計測部11の代わりに計測部111を備え、検知処理部21の代わりに検知処理部121を備える。計測部111は、計測用IC110、マイクロフォン170および振動センサ180により実現される。検知処理部121および認証部22は、CPU120により実現される。
計測部111は、音圧Sを計測する。たとえば、計測部111は、所定の周波数成分の音圧Sdを計測する。より詳細には、マイクロフォン170は、マイクロフォン170の位置における音圧Sの大きさに応じたレベルの電圧を信号線5経由で計測用IC110へ送信する。
計測用IC110は、所定の計測周期に従う計測タイミングにおいて、マイクロフォン170から受信した電圧に基づいて、たとえば機器1への攻撃に用いられるドリルの回転数に由来する周波数成分の音圧Sdを抽出する。そして、計測部111は、音圧Sおよび音圧Sdの計測結果を示す計測情報M3を生成し、生成した計測情報M3を検知処理部121へ出力する。ここで、ドリルの回転数は、たとえば1rpm以上であり、かつ3000rpm以下である。計測用IC110は、1rpmから3000rpmまでの範囲の回転数に由来する周波数成分の音圧Sdを抽出すると、CPU120において音圧Sdに基づいて進行状態Pを正確に検知することができる。また、計測用IC110は、500rpmから1500rpmまでの範囲の回転数に由来する周波数成分の音圧Sdを抽出すると、CPU120において音圧Sdに基づいて進行状態Pをより正確に検知することができる。
また、計測部111は、機器1の振動Vを計測する。たとえば、計測部111は、所定の周波数成分の振動Vdを計測する。より詳細には、振動センサ180は、機器1の振動Vの大きさに応じたレベルの電圧を信号線5経由で計測用IC110へ送信する。
計測用IC110は、所定の計測周期に従う計測タイミングにおいて、振動センサ180から受信した電圧に基づいて、たとえば機器1への攻撃に用いられるドリルの回転数に由来する周波数成分の振動Vdを抽出する。そして、計測部111は、振動Vおよび振動Vdの計測結果を示す計測情報M4を生成し、生成した計測情報M4を検知処理部121へ出力する。計測用IC110は、1rpmから3000rpmまでの範囲の回転数に由来する周波数成分の振動Vdを抽出すると、CPU120において振動Vdに基づいて進行状態Pを正確に検知することができる。計測用IC110は、500rpmから1500rpmまでの範囲の回転数に由来する周波数成分の振動Vdを抽出すると、CPU120において振動Vdに基づいて進行状態Pをより正確に検知することができる。
なお、計測用IC110は、所定長の期間においてマイクロフォン170から受信した所定レベル以上の電圧の周波数スペクトルにおける周波数の中央値を特定し、特定した周波数の音圧Sdを示す計測情報M3を生成して検知処理部121へ出力する構成であってもよい。また、計測用IC110は、所定長の期間において振動センサ180から受信した所定レベル以上の電圧の周波数スペクトルにおける周波数の中央値を特定し、特定した周波数の振動Vdを示す計測情報M4を生成して検知処理部121へ出力する構成であってもよい。
(進行状態Pの検知)
図17は、本開示の第2の実施の形態に係る検知装置における音圧の計測結果の一例を示す図である。図17は、不正なユーザにより機器1を開封する行為が行われたときの、音圧Sの時系列変化を示すグラフである。図17において、横軸は時刻を示し、縦軸は音圧S[dB]を示す。
図17を参照して、計測部111により計測される音圧Sは、機器1に対する物理的な攻撃の進行に伴って変化する。より詳細には、音圧Sは、不正なユーザが機器1に接近し、不正なユーザと近接センサ70との間の距離が所定値未満となると、不正なユーザの接近に伴って増大する。そして、不正なユーザにより機器1が開封され、不正なユーザによる不正な操作が終了すると、音圧Sは所定値未満に低下する。なお、音圧Sは、機器1が不正に開封された場合も同様に、開封行為の進行に伴って変化する。たとえば、音圧Sは、機器1が開封された場合、筐体2のベース部2Aとカバー部2Bとが分離することにより信号線5が断線し、ゼロに低下する。
検知処理部121は、計測部111から計測情報M3を受けるたびに、受けた計測情報M3が示す音圧Sと所定の閾値とを比較することにより、機器1に対する物理的な攻撃の進行状態Pを判定する。
たとえば、検知処理部121は、時刻tcsにおいて、計測部111から受けた計測情報M3が示す音圧Sが閾値ThC11未満である場合、機器1に対する物理的な攻撃が行われていない定常状態Psであると判定する。
検知処理部121は、時刻tcsの後の時刻tc1において、計測部111から受けた計測情報M3が示す音圧Sが閾値ThC11以上となった場合、定常状態Psから近接状態P1に遷移したと判定する。そして、検知処理部121は、定常状態Psから近接状態P1に遷移したことを示す検知結果JC1を主機能部31へ出力する。
検知処理部121は、時刻tc1の後の時刻tc2において、計測部111から受けた計測情報M3が示す音圧Sが閾値ThC12以上となった場合、進行状態Pが近接状態P1から接触状態P2に遷移したと判定する。そして、検知処理部121は、近接状態P1から接触状態P2に遷移したことを示す検知結果JC2を主機能部31へ出力する。
検知処理部121は、時刻tc2以降において、計測部111から受けた計測情報M3が示す音圧Sの単位時間当たりの増加量Msが閾値ThSM以上である場合、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定する。そして、検知処理部121は、接触状態P2から破壊中状態P3に遷移したことを示す検知結果JC3を主機能部31へ出力する。
検知処理部121は、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定した場合であって、時刻tc2より後の時刻tc3において、計測部111から受けた計測情報M3が示す音圧Sが閾値ThC13以下まで低下した場合、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定する。そして、検知処理部121は、破壊中状態P3から破壊完了状態P4に遷移したことを示す検知結果JC4を主機能部31へ出力する。
図18は、本開示の第2の実施の形態に係る検知装置における音圧の計測結果の他の例を示す図である。図18は、図1におけるマイナスZ方向に進行するドリルを用いて機器1を破壊する行為が行われたときの、音圧Sdの時系列変化を示すグラフである。図18において、横軸は時刻を示し、縦軸は音圧Sd[dB]を示す。
図18を参照して、計測部111により計測される音圧Sdは、機器1に対する物理的な攻撃の進行に伴って変化する。より詳細には、音圧Sdは、マイナスZ方向に進行するドリルの先端が機器1に接近し、ドリルと近接センサ70との間の距離が所定値未満となると、マイナスZ方向へのドリルの進行に伴って増大する。そして、ドリルが筐体2の上面を貫通し、ドリルが停止すると、音圧Sdは所定値未満に低下する。
検知処理部121は、計測部111から計測情報M3を受けるたびに、受けた計測情報M3が示す音圧Sdと所定の閾値とを比較することにより、機器1に対する物理的な攻撃の進行状態Pを判定する。
たとえば、検知処理部121は、時刻tcsにおいて、計測部111から受けた計測情報M3が示す音圧Sdが閾値ThC21未満である場合、機器1に対する物理的な攻撃が行われていない定常状態Psであると判定する。
検知処理部121は、時刻tcsの後の時刻tc1において、計測部111から受けた計測情報M3が示す音圧Sdが閾値ThC21以上となった場合、定常状態Psから近接状態P1に遷移したと判定する。そして、検知処理部121は、定常状態Psから近接状態P1に遷移したことを示す検知結果JC1を主機能部31へ出力する。
検知処理部121は、時刻tc1の後の時刻tc2において、計測部111から受けた計測情報M3が示す音圧Sdが閾値ThC22以上となった場合、進行状態Pが近接状態P1から接触状態P2に遷移したと判定する。そして、検知処理部121は、近接状態P1から接触状態P2に遷移したことを示す検知結果JC2を主機能部31へ出力する。
検知処理部121は、時刻tc2以降において、計測部111から受けた計測情報M3が示す音圧Sdが閾値ThC22以上である状態が所定時間継続した場合、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定する。そして、検知処理部121は、接触状態P2から破壊中状態P3に遷移したことを示す検知結果JC3を主機能部31へ出力する。
検知処理部121は、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定した場合であって、時刻tc2より後の時刻tc3において、計測部111から受けた計測情報M3が示す音圧Sdがたとえば閾値ThC21未満となった場合、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定する。そして、検知処理部121は、破壊中状態P3から破壊完了状態P4に遷移したことを示す検知結果JC4を主機能部31へ出力する。
図19は、本開示の第2の実施の形態に係る検知装置における振動の計測結果の一例を示す図である。図19は、不正なユーザにより機器1を開封する行為が行われたときの、振動Vの時系列変化を示すグラフである。図19において、横軸は時刻を示し、縦軸は振動V[dB]を示す。
図19を参照して、計測部111により計測される振動Vは、機器1に対する物理的な攻撃の進行に伴って変化する。より詳細には、振動Vは、不正なユーザが機器1に接近し、不正なユーザと近接センサ70との間の距離が所定値未満となると、不正なユーザの接近に伴って増大する。そして、不正なユーザにより機器1が開封され、不正なユーザによる不正な操作が終了すると、振動Vは所定値未満に低下する。なお、振動Vは、機器1が不正に開封された場合も同様に、開封行為の進行に伴って変化する。たとえば、振動Vは、機器1が開封された場合、筐体2のベース部2Aとカバー部2Bとが分離することにより信号線5が断線し、ゼロに低下する。
検知処理部121は、計測部111から計測情報M4を受けるたびに、受けた計測情報M4が示す振動Vと所定の閾値とを比較することにより、機器1に対する物理的な攻撃の進行状態Pを判定する。
たとえば、検知処理部121は、時刻tdsにおいて、計測部111から受けた計測情報M4が示す振動Vが閾値ThD11未満である場合、機器1に対する物理的な攻撃が行われていない定常状態Psであると判定する。
検知処理部121は、時刻tdsの後の時刻td1において、計測部111から受けた計測情報M4が示す振動Vが閾値ThD11以上となった場合、定常状態Psから近接状態P1に遷移したと判定する。そして、検知処理部121は、定常状態Psから近接状態P1に遷移したことを示す検知結果JD1を主機能部31へ出力する。
検知処理部121は、時刻td1の後の時刻td2において、計測部111から受けた計測情報M4が示す振動Vが閾値ThD12以上となった場合、進行状態Pが近接状態P1から接触状態P2に遷移したと判定する。そして、検知処理部121は、近接状態P1から接触状態P2に遷移したことを示す検知結果JD2を主機能部31へ出力する。
検知処理部121は、時刻td2以降において、計測部111から受けた計測情報M4が示す振動Vが閾値ThD12以上である状態が所定時間継続した場合、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定する。そして、検知処理部121は、接触状態P2から破壊中状態P3に遷移したことを示す検知結果JD3を主機能部31へ出力する。
検知処理部121は、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定した場合であって、時刻td2より後の時刻td3において、計測部111から受けた計測情報M4が示す振動Vが閾値ThD11以下まで低下した場合、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定する。そして、検知処理部121は、破壊中状態P3から破壊完了状態P4に遷移したことを示す検知結果JD4を主機能部31へ出力する。
図20は、本開示の第2の実施の形態に係る検知装置における振動の計測結果の他の例を示す図である。図20は、図1におけるマイナスZ方向に進行するドリルを用いて機器1を破壊する行為が行われたときの、振動Vdの時系列変化を示すグラフである。図20において、横軸は時刻を示し、縦軸は振動Vd[dB]を示す。
図20を参照して、計測部111により計測される振動Vdは、機器1に対する物理的な攻撃の進行に伴って変化する。より詳細には、振動Vdは、マイナスZ方向に進行するドリルの先端が機器1に接触すると増大する。そして、ドリルが筐体2の上面を貫通すると、振動Vdは所定値未満に低下する。
検知処理部121は、計測部111から計測情報M4を受けるたびに、受けた計測情報M4が示す振動Vdと所定の閾値とを比較することにより、機器1に対する物理的な攻撃の進行状態Pを判定する。
たとえば、検知処理部121は、時刻tdsにおいて、計測部111から受けた計測情報M4が示す振動Vdが閾値ThD22未満である場合、機器1に対する物理的な攻撃が行われていない定常状態Psであると判定する。
検知処理部121は、時刻tdsの後の時刻td2において、計測部111から受けた計測情報M4が示す振動Vdが閾値ThD22以上となった場合、定常状態Psから接触状態P2に遷移したと判定する。そして、検知処理部121は、定常状態Psから接触状態P2に遷移したことを示す検知結果JD2を主機能部31へ出力する。
検知処理部121は、時刻td2以降において、計測部111から受けた計測情報M4が示す振動Vdが閾値ThD22以上である状態が所定時間継続した場合、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定する。そして、検知処理部121は、接触状態P2から破壊中状態P3に遷移したことを示す検知結果JD3を主機能部31へ出力する。
検知処理部121は、進行状態Pが接触状態P2から破壊中状態P3に遷移したと判定した場合であって、時刻td2より後の時刻td3において、計測部111から受けた計測情報M4が示す振動Vdがたとえば閾値ThD22未満となった場合、進行状態Pが破壊中状態P3から破壊完了状態P4に遷移したと判定する。そして、検知処理部121は、破壊中状態P3から破壊完了状態P4に遷移したことを示す検知結果JD4を主機能部31へ出力する。
なお、本開示の第2の実施の形態に係る検知装置102では、計測用IC110およびマイクロフォン170は、音圧Sおよび音圧Sdを計測する構成であるとしたが、これに限定するものではない。計測用IC110およびマイクロフォン170は、音圧Sおよび音圧Sdのいずれか一方の計測を行わない構成であってもよい。
また、本開示の第2の実施の形態に係る検知装置102では、計測用IC110および振動センサ180は、振動Vおよび振動Vdを計測する構成であるとしたが、これに限定するものではない。計測用IC110および振動センサ180は、振動Vおよび振動Vdのいずれか一方の計測を行わない構成であってもよい。
また、本開示の第2の実施の形態に係る検知装置102では、計測部111は、音圧Sおよび振動Vを計測する構成であるとしたが、これに限定するものではない。計測部111は、音圧Sおよび振動Vのいずれか一方の計測を行わない構成であってもよい。すなわち、検知装置102は、マイクロフォン170および振動センサ180のいずれか一方を備えない構成であってもよい。
また、本開示の第2の実施の形態に係る検知装置102は、CPU30、入出力回路40、電源回路50および記憶装置60を備える構成であるとしたが、これに限定するものではない。検知装置102は、CPU30、入出力回路40、電源回路50および記憶装置60の一部または全部を備えない構成であってもよい。検知装置102は、少なくとも、計測用IC110と、CPU120と、マイクロフォン170および振動センサ180のいずれか一方とを備える構成であればよい。この場合、たとえば、検知装置102は、CPU30、入出力回路40、電源回路50および記憶装置60を備える機器1に、後付けのデバイスとして搭載される。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
検知装置であって、
前記検知装置が搭載される機器に関する物理量を計測する計測部と、
前記計測部の計測結果に基づいて、前記機器に対する物理的な攻撃の複数段階の進行状態を検知する検知部とを備え、
前記検知部は、前記攻撃として、前記機器を破壊する行為、前記機器を不正に開封する行為、および前記機器における通信を不正に傍受するための信号線を前記機器に取り付ける行為を検知する、検知装置。
1 機器
2 筐体
2A ベース部
2B カバー部
3 コネクタ
4 回路基板
5 信号線
10,110 計測用IC
11,111 計測部
20,120 CPU
21,121 検知処理部
22 認証部
30 CPU
31 主機能部
32 消去部
33 出力部
40 入出力回路
50 電源回路
51 機器用電源
52 非常用電源
60 記憶装置
61 記憶部
70 近接センサ
71 基板
71A,71B 面
72,72A,72B 電極
73A,73B,73C 導電体
74A,74B 受動素子
101,102 検知装置
170 マイクロフォン
180 振動センサ
PA1,PB1,PC1 第1の端部
PA2,PB2,PC2 第2の端部

Claims (12)

  1. 検知装置であって、
    前記検知装置が搭載される機器に関する物理量を計測する計測部と、
    前記計測部の計測結果に基づいて、前記機器に対する物理的な攻撃の複数段階の進行状態を検知する検知部とを備え、
    前記計測部は、前記物理量を計測する1つの計測デバイスを含み、
    前記検知部は、前記1つの計測デバイスの前記物理量に応じて、前記進行状態の別を判定する、検知装置。
  2. 前記計測部は、前記機器に関する複数種類の物理量をそれぞれ計測する複数の前記計測デバイスを含み、
    前記検知部は、前記物理量の種類ごとに、前記進行状態の別の判定を行う、請求項1に記載の検知装置。
  3. 前記検知部は、前記物理量の値および変化量に応じて、前記進行状態の別を判定する、請求項1に記載の検知装置。
  4. 前記計測部は、前記機器に関する物理量として、前記検知装置に設けられた電極と前記攻撃を行う物体との間における静電容量、および前記検知装置に設けられた電極と前記物体との間における静磁界のうちの少なくともいずれか1つを計測する、請求項1から請求項3のいずれか1項に記載の検知装置。
  5. 前記計測部は、前記機器に関する物理量として、前記機器の振動および音圧の少なくともいずれか一方を計測する、請求項1から請求項のいずれか1項に記載の検知装置。
  6. 前記計測部は、所定の周波数成分の前記振動および前記音圧を計測する、請求項5に記載の検知装置。
  7. 前記検知部は、前記進行状態として、前記攻撃を行う物体が前記機器に接触しておらず、かつ前記物体と前記機器との間の距離が所定値未満の状態である近接状態を検知する、請求項1から請求項のいずれか1項に記載の検知装置。
  8. 前記検知部は、前記進行状態として、前記物体が前記機器に接触している状態である接触状態、前記機器の破壊行為が進行している状態である破壊中状態、および前記機器の破壊行為が完了した状態である破壊完了状態のうちの少なくともいずれか1つをさらに検知する、請求項7に記載の検知装置。
  9. 前記検知部は、前記進行状態の検知結果を記憶部に保存する、請求項1から請求項のいずれか1項に記載の検知装置。
  10. 前記検知装置は、さらに、
    前記検知部により前記攻撃が検知された場合、所定の防御処理を行う処理部を備え、
    前記処理部は、前記検知部により検知された前記進行状態の段階に応じて異なる前記防御処理を行う、請求項1から請求項のいずれか1項に記載の検知装置。
  11. 前記処理部は、前記防御処理として、データの消去、データの退避、前記機器以外の外部装置への検知結果の通知、前記機器の再起動の制限、および前記機器の動作の一部または全部の停止のうちの少なくともいずれか1つを行う、請求項10に記載の検知装置。
  12. 検知装置における検知方法であって、
    前記検知装置が、前記検知装置が搭載される機器に関する物理量を計測するステップと、
    前記検知装置が、前記機器に関する物理量の計測結果に基づいて、前記機器に対する物理的な攻撃の複数段階の進行状態を検知するステップとを含み、
    前記進行状態を検知するステップにおいては、前記検知装置が、1つの計測デバイスの前記物理量に応じて、前記進行状態の別を判定する、検知方法。
JP2022578792A 2022-07-05 2022-07-05 検知装置および検知方法 Active JP7347698B1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/026676 WO2024009383A1 (ja) 2022-07-05 2022-07-05 検知装置および検知方法

Publications (3)

Publication Number Publication Date
JP7347698B1 true JP7347698B1 (ja) 2023-09-20
JPWO2024009383A1 JPWO2024009383A1 (ja) 2024-01-11
JPWO2024009383A5 JPWO2024009383A5 (ja) 2024-06-11

Family

ID=88021698

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022578792A Active JP7347698B1 (ja) 2022-07-05 2022-07-05 検知装置および検知方法

Country Status (2)

Country Link
JP (1) JP7347698B1 (ja)
WO (1) WO2024009383A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024058072A1 (ja) * 2022-09-12 2024-03-21 Toppanホールディングス株式会社 開封検知タグ及びタグ付き容器

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05332965A (ja) * 1991-08-15 1993-12-17 Shimizu Corp 破壊予知機構を有する繊維束含有プラスチック複合材、およびそれを用いた構造物の破壊予知方法
JPH08115267A (ja) * 1994-10-19 1996-05-07 Tech Res & Dev Inst Of Japan Def Agency 情報秘匿機構
WO2008117467A1 (ja) * 2007-03-27 2008-10-02 Mitsubishi Electric Corporation 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム
JP2013003979A (ja) * 2011-06-20 2013-01-07 Toshiba Tec Corp 情報処理装置
JP2014057785A (ja) * 2012-09-19 2014-04-03 Sammy Corp 遊技機
JP2014525076A (ja) * 2011-07-04 2014-09-25 ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフト 侵入検出技術
JP2017537379A (ja) * 2014-10-20 2017-12-14 ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド 産業用制御システムの改竄防止モジュール

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05332965A (ja) * 1991-08-15 1993-12-17 Shimizu Corp 破壊予知機構を有する繊維束含有プラスチック複合材、およびそれを用いた構造物の破壊予知方法
JPH08115267A (ja) * 1994-10-19 1996-05-07 Tech Res & Dev Inst Of Japan Def Agency 情報秘匿機構
WO2008117467A1 (ja) * 2007-03-27 2008-10-02 Mitsubishi Electric Corporation 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム
JP2013003979A (ja) * 2011-06-20 2013-01-07 Toshiba Tec Corp 情報処理装置
JP2014525076A (ja) * 2011-07-04 2014-09-25 ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフト 侵入検出技術
JP2014057785A (ja) * 2012-09-19 2014-04-03 Sammy Corp 遊技機
JP2017537379A (ja) * 2014-10-20 2017-12-14 ベドロック・オートメーション・プラットフォームズ・インコーポレーテッド 産業用制御システムの改竄防止モジュール

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024058072A1 (ja) * 2022-09-12 2024-03-21 Toppanホールディングス株式会社 開封検知タグ及びタグ付き容器

Also Published As

Publication number Publication date
JPWO2024009383A1 (ja) 2024-01-11
WO2024009383A1 (ja) 2024-01-11

Similar Documents

Publication Publication Date Title
JP7347698B1 (ja) 検知装置および検知方法
TWI500042B (zh) 確保資料免於竄改攻擊之竄改反應性記憶體裝置
US6233685B1 (en) Establishing and employing the provable untampered state of a device
JP4222509B2 (ja) 記憶装置
US8065509B2 (en) Persistent security system and method
EP0965902A2 (en) Secure data processor with cryptography and tamper detection
KR20120030604A (ko) 진단 정보에 액세스하기 위한 시스템 및 방법
JP6391439B2 (ja) 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム
US20120278905A1 (en) Configurable integrated tamper dectection circuitry
EP1672553A1 (en) Method of authentication of memory device and device therefor
US11930098B2 (en) Devices and methods for the detection and localization of fault injection attacks
US20090144834A1 (en) Data processing circuit and communication mobile terminal device
JPH1012820A (ja) 半導体チップ用セキュリティーデバイス
US7441118B2 (en) Network appliance having trusted device for providing verifiable identity and/or integrity information
JP2000207285A (ja) 機密保護機能付デ―タ保持装置
JP5092629B2 (ja) 電子機器、決済システム及びプログラム
US20170026843A1 (en) Prevention of covert access after successful completion of authentication process
JP5347484B2 (ja) 制御支援システム、情報処理装置及びコンピュータプログラム
EP3794480A1 (en) Electronic system and method for preventing malicious actions on a processing system of the electronic system
JP2003233790A (ja) デジタル回路部品保護方法及び保護構成
WO2005029272A2 (en) Method and device for data protection and security in a gaming machine
US7832016B2 (en) Microprocessor system and method for detecting the exchange of modules of the system
JP6439408B2 (ja) 表示機能付きicカードおよび制御方法
JP3701156B2 (ja) データバックアップ装置
TW202230096A (zh) 觸控控制方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230322

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230322

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230322

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230821

R150 Certificate of patent or registration of utility model

Ref document number: 7347698

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150