JP7359002B2 - サイバー攻撃分析支援装置 - Google Patents
サイバー攻撃分析支援装置 Download PDFInfo
- Publication number
- JP7359002B2 JP7359002B2 JP2020008958A JP2020008958A JP7359002B2 JP 7359002 B2 JP7359002 B2 JP 7359002B2 JP 2020008958 A JP2020008958 A JP 2020008958A JP 2020008958 A JP2020008958 A JP 2020008958A JP 7359002 B2 JP7359002 B2 JP 7359002B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- cyber attack
- analysis support
- terminal device
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 claims description 97
- 238000004891 communication Methods 0.000 claims description 46
- 238000000034 method Methods 0.000 claims description 38
- 238000013461 design Methods 0.000 claims description 31
- 230000000694 effects Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 230000005856 abnormality Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 208000018777 Vulvar intraepithelial neoplasia Diseases 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000013067 intermediate product Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000011265 semifinished product Substances 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は、サイバー攻撃を分析して問題解決を支援する装置であって、主に車両をはじめとする移動体に対するサイバー攻撃の分析及び支援を行うサイバー攻撃分析支援装置、サイバー攻撃分析支援方法、及びサイバー攻撃分析支援プログラムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。
車両に対するサイバー攻撃は、サイバー攻撃により車両のコントロールを失うと人身に影響を及ぼす事故が発生する危険性が高いので、これを事前に予防すべく事案の分析が重要になる。
例えば、特許文献1には、サイバー攻撃の内容をユーザにわかりやすく提示するため、サイバー攻撃の攻撃者、攻撃手口、検知指標、観測事象、インシデント、対処措置、攻撃対象について情報の登録を受け付けるとともに、これらを表示する際に、代表するノードの配下のノードとして結線された状態で表示することが記載されている。
ここで、本発明者は、以下の課題を見出した。
車両に対するサイバー攻撃に対しては、車両のユーザであるドライバは自動車メーカーや自動車販売店に対して修理や対応の依頼を行うことが想定される。その際、ドライバはサイバー攻撃によって自ら体験した事象を報告することが考えられる。
車両に対するサイバー攻撃に対しては、車両のユーザであるドライバは自動車メーカーや自動車販売店に対して修理や対応の依頼を行うことが想定される。その際、ドライバはサイバー攻撃によって自ら体験した事象を報告することが考えられる。
しかしながら、サイバー攻撃分析支援システムでサイバー攻撃の検知情報を収集したとしても、どの攻撃がドライバの経験したサイバー攻撃と結びついているかを特定することは困難である。つまり、サイバー攻撃分析支援システム側では、サイバー攻撃に関するイベント情報をはじめ、問題事象が発生した原因のデータは保存されている。しかし、問題事象の再現自体が困難なので、ドライバがどのような体験をしたかという報告と問題事象が発生した原因とを結びつけることが難しい。
本発明は、サイバー攻撃に関する検知情報から、ユーザが体験したと推測される問題事象の再現を行うことを目的とする。
本開示のサイバー攻撃分析支援装置(100)は、
通信ネットワークを介して端末装置(200)から送信された検知情報が入力される入力部(101)と、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶する記憶部(102)と、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成する制御部(103)と、
前記抽象的体験情報を出力する出力部(104)と、を有する。
通信ネットワークを介して端末装置(200)から送信された検知情報が入力される入力部(101)と、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶する記憶部(102)と、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成する制御部(103)と、
前記抽象的体験情報を出力する出力部(104)と、を有する。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、サイバー攻撃に関する検知情報から、ユーザが体験したと推測される問題事象の再現を行うことができる。
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.実施形態1
(1)サイバー攻撃分析支援装置と端末装置の関係
図1を用いて、本実施形態のサイバー攻撃分析支援装置と端末装置の関係について、まず説明する。
(1)サイバー攻撃分析支援装置と端末装置の関係
図1を用いて、本実施形態のサイバー攻撃分析支援装置と端末装置の関係について、まず説明する。
サイバー攻撃分析支援装置100(「サイバー攻撃分析支援装置」に相当)は、通信ネットワーク10(「通信ネットワーク」に相当)を介して、車両に搭載された端末装置200(「端末装置」に相当)と接続されている。端末装置200は、本実施形態では、複数の電子制御装置(ECU(Electric Control Unit)、以下ECUと略する。)が車載ネットワークで接続された車載電子制御システムを想定しているが、これに限定されるものではない。
ここで、「サイバー攻撃分析支援装置」とは、サイバー攻撃をはじめとする外部からの攻撃を分析する装置であれば足りる。例えば一般的にサーバ装置、監視装置、支援装置と呼ばれるものが相当し、具体的には各種サーバ装置、ワークステーション、パーソナルコンピュータ(PC)、が挙げられるが、電子制御装置(ECU)、半導体回路素子、スマートフォン、携帯電話等であってもよい。
「通信ネットワーク」とは、無線通信ネットワークの他、有線通信ネットワークであってもよい。また、これらを組み合わせてもよい。
「端末装置」とは、当該サイバー攻撃分析支援装置と接続される装置をいい、例えば、一般的に、電子制御システム、車載コンピュータ、車載ネットワークシステムと呼ばれるものが相当するが、電子制御装置(ECU)、半導体回路素子、パーソナルコンピュータ(PC)、スマートフォン、携帯電話等もこれに含まれる。
「通信ネットワーク」とは、無線通信ネットワークの他、有線通信ネットワークであってもよい。また、これらを組み合わせてもよい。
「端末装置」とは、当該サイバー攻撃分析支援装置と接続される装置をいい、例えば、一般的に、電子制御システム、車載コンピュータ、車載ネットワークシステムと呼ばれるものが相当するが、電子制御装置(ECU)、半導体回路素子、パーソナルコンピュータ(PC)、スマートフォン、携帯電話等もこれに含まれる。
通信ネットワークは、無線通信方式の場合、例えば、IEEE802.11(WiFi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、端末装置200とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とサイバー攻撃分析支援装置100との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、端末装置200とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とサイバー攻撃分析支援装置100との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
(2)サイバー攻撃分析支援装置の構成
図2を用いて、本実施形態のサイバー攻撃分析支援装置100の構成について説明する。
サイバー攻撃分析支援装置100は、入力部101、記憶部102、制御部103、及び出力部104を有する。
図2を用いて、本実施形態のサイバー攻撃分析支援装置100の構成について説明する。
サイバー攻撃分析支援装置100は、入力部101、記憶部102、制御部103、及び出力部104を有する。
入力部101は、通信ネットワークを介して、端末装置200から送信された「検知情報」が入力される。本実施形態の場合、端末装置200を構成する各ECU(「構成装置」に相当)が生成したイベントログに基づき、端末装置200がこのイベントログを分析して検知情報を生成している。検知情報は、本実施形態の場合、攻撃対象となったECUを示す攻撃対象ECU、又は攻撃対象となった信号を示す攻撃対象信号を含む。この他、攻撃対象信号をさらに詳細に特定し、攻撃対象パケット、攻撃対象ファイル、攻撃対象コンテンツ、攻撃対象プロセスを含めるようにしてもよい。
検知情報のその他の例は、後述の各実施形態の変形例で説明する。
検知情報のその他の例は、後述の各実施形態の変形例で説明する。
ここで、「検知情報」とは、サイバー攻撃やそれを構成又は前提とする、個々のイベント又は異常を検知したことを示す情報であれば足り、例えばCANデータ、イベントログ、異常検知信号などが含まれる。
「構成装置」とは、端末装置を構成する装置であって、端末装置の機能の全部または一部を担う装置をいう。構成装置は、通常複数から構成されるが、単数であってもよい。例えば、端末装置が電子制御システムである場合、構成装置は個々の電子制御装置(ECU)が相当する。
「構成装置」とは、端末装置を構成する装置であって、端末装置の機能の全部または一部を担う装置をいう。構成装置は、通常複数から構成されるが、単数であってもよい。例えば、端末装置が電子制御システムである場合、構成装置は個々の電子制御装置(ECU)が相当する。
記憶部102は、端末装置200を構成する各ECUが受信する信号、及び各ECUと当該ECUが有するユーザインターフェース(UI)との関係が記述された設計情報を記憶する。
図3は、本実施形態の設計情報の具体例を示したものである。
設計情報には、端末装置200を構成する各ECUの名称と各ECUが受信又は送信する信号名とが対応づけられて記憶されている。例えば、車両の前面パネルの表示を制御するメータECUは、ドアの開閉状態を示すドア開閉状態情報、クルーズコントロール機能をON/OFFするためのスイッチの状態を示すクルーズコントロールSW情報、エアコンの温度設定を示すエアコン温度情報を受信することが記述されている。電動パワーステアリングを制御するEPS(Electric Power steering System)ECUは、クルーズコントロールSW情報を受信する。車載ネットワークの情報伝達を制御するCGW(Central GateWay)は、図3によれば信号の送受信は行っていない。車両を構成する車体の制御を行う車体ECUは、ドア開閉情報を送信する。
設計情報には、端末装置200を構成する各ECUの名称と各ECUが受信又は送信する信号名とが対応づけられて記憶されている。例えば、車両の前面パネルの表示を制御するメータECUは、ドアの開閉状態を示すドア開閉状態情報、クルーズコントロール機能をON/OFFするためのスイッチの状態を示すクルーズコントロールSW情報、エアコンの温度設定を示すエアコン温度情報を受信することが記述されている。電動パワーステアリングを制御するEPS(Electric Power steering System)ECUは、クルーズコントロールSW情報を受信する。車載ネットワークの情報伝達を制御するCGW(Central GateWay)は、図3によれば信号の送受信は行っていない。車両を構成する車体の制御を行う車体ECUは、ドア開閉情報を送信する。
設計情報には、さらに端末装置200を構成する各ECUと、各ECUに関係する車両のUIとが対応づけられて記憶されている。例えば、メータECUは、各種情報の表示を制御するECUであるから、画像表示部が対応付けられている。EPSECUは、ドライバが操作するステアリングを制御するECUであることから、操作入力部が対応付けられている。CGWはドライバに対する表示やドライバの操作とは関係ないので対応づけられているUIはない。車体ECUも同様の理由で対応付けられているUIはない。
UIの例として、画像表示部や操作入力部の他、音声出力部や音声入力部が挙げられ、少なくともこれらの1つであれば足りる。画像表示部の例として、液晶ディスプレイやヘッドアップディスプレイが挙げられる。操作入力部の例として、タッチパネル、各種ボタンやダイヤルの他、アクセル、ブレーキ、クラッチ、ステアリング、パーキングブレーキ、シフトレバー、等が挙げられる。音声出力部の例として、スピーカーやヘッドセットが挙げられる。音声入力部の例として、マイクが挙げられる。設計情報に記述されるUIは、このような具体的又は詳細なUIを特定するものであってもよい。
設計情報は、車両毎に固有に設計される場合が多い。この場合は、検知情報に車両の種類やメーカーを特定する情報を含めることにより、サイバー攻撃分析支援装置100の側で車両の種類に応じた適切な設計情報を参照することができる。
制御部103は、入力部101から入力された検知情報に「基づき」、サイバー攻撃の対象である攻撃対象ECU(「攻撃対象構成装置」に相当)又は攻撃対象信号を特定する。本実施形態の場合は、検知信号中に攻撃対象ECU又は攻撃対象信号を示す情報を含めているので、検知信号からこれらの情報を抽出すればよい。検知情報がその他の情報、例えば各ECUのイベントログの場合は、サイバー攻撃分析支援装置100側でイベントログの分析を行い、攻撃対象ECU又は攻撃対象信号を特定する。サイバー攻撃分析支援装置100で分析を行う例については、後述の各実施形態の変形例で説明する。
ここで、「基づき」とは、検知情報を分析した結果を用いる場合の他、検知情報に含まれている情報を抽出して用いる場合も含む。
そして、制御部103は、設計情報を参照して、サイバー攻撃の影響により端末装置200のユーザである車両のドライバが体験したと推測される事象である抽象的体験情報を「生成する」。
ここで、「生成する」とは、新たに生成する場合の他、予め記憶部に記憶している情報を選択し読み出す場合も含む。
例えば、入力部101に入力された検知信号中に攻撃対象ECUがメータECUであるという情報が含まれていたとする。制御部103は、図3の設計情報を参照することにより、メータECUが画像表示部に対応付けられていることが分かる。そこで、制御部103は、メータECUに対する攻撃により画像表示部に影響が出た可能性があるので、『メータパネルの表示に影響が出た可能性があります。』との内容を有する抽象的体験情報を生成する。
抽象的体験情報とは、攻撃対象ECUとUIの種類から特定される限度の事象であり、後述の具体的体験情報が詳細な事象であるのに対し、具体的体験情報よりも概略的な事象を示す情報である。
抽象的体験情報は、攻撃対象ECUとUIの種類の組み合わせに対応して、又はUIに対応して、記憶部102に予め生成して保存したものを読み出してもよい。もちろん、抽象的体験情報も含めて設計情報としてもよい。あるいは、人工知能(AI)や機械学習に基づき、制御部103が自ら新たに抽象的体験情報を生成してもよい。
抽象的体験情報の例として、以下のものが挙げられる。
画像表示部に影響が出た可能性がある場合、画像表示部に対応して、『表示に影響が出た可能性があります。』との抽象的体験情報を生成する。また、攻撃対象ECUと画像表示部の組み合わせに対応して、『***の表示に影響が出た可能性があります。』との抽象的体験情報を生成する。『***』は攻撃対象ECUから特定される情報で、例えばメータECUの場合は『メータパネル』、ヘッドアップディスプレイECUの場合は『ヘッドアップディスプレイ』とすることができる。
画像表示部に影響が出た可能性がある場合、画像表示部に対応して、『表示に影響が出た可能性があります。』との抽象的体験情報を生成する。また、攻撃対象ECUと画像表示部の組み合わせに対応して、『***の表示に影響が出た可能性があります。』との抽象的体験情報を生成する。『***』は攻撃対象ECUから特定される情報で、例えばメータECUの場合は『メータパネル』、ヘッドアップディスプレイECUの場合は『ヘッドアップディスプレイ』とすることができる。
操作入力部に影響が出た可能性がある場合、操作入力部に対応して、『操作状況に影響が出た可能性があります。』との抽象的体験情報を生成する。また、攻撃対象ECUと操作入力部の組み合わせに対応して、『***の操作に影響が出た可能性があります。』との抽象的体験情報を生成する。『***』は攻撃対象ECUから特定される情報で、例えばEPSECUの場合は『パワーステアリング』、ナビゲーションシステムを制御するカーナビゲーションECUの場合は、『ナビゲーションシステムへの入力』とすることができる。
音声出力部に影響が出た可能性がある場合、音声出力部に対応して、『音声に影響が出た可能性があります。』との抽象的体験情報を生成する。また、攻撃対象ECUと音声出力部の組み合わせに対応して、『***の音声に影響が出た可能性があります。』との抽象的体験情報を生成する。『***』は攻撃対象ECUから特定される情報で、例えばカーナビゲーションECUの場合は『案内』とすることができる。
音声入力部に影響が出た可能性がある場合、音声入力部に対応して、『音声入力の結果に影響が出た可能性があります。』との抽象的体験情報を生成する。また、攻撃対象ECUと音声入力部の組み合わせに対応して、『***の音声入力の結果に影響が出た可能性があります。』との抽象的体験情報を生成する。『***』は攻撃対象ECUから特定される情報で、例えばカーナビゲーションECUの場合は『目的地情報』とすることができる。
これらは、攻撃対象ECUが特定される場合の例であるが、攻撃対象信号が特定される場合であっても同様である。例えば、入力部101に入力された検知信号中に攻撃対象信号がクルーズコントロールSW情報であるという情報が含まれていたとする。制御部103は、図3の設計情報を参照することにより、クルーズコントロールSW情報を受信するECUがメータECU及びEPSECUに対応付けられていることが分かる。そこで、制御部103は、メータECUを介して画像表示部に影響が出た可能性があるので、『メータ表示に影響が出た可能性があります。』との内容を有する抽象的体験情報を生成する。また、制御部103は、EPSECUを介して操作入力部に影響が出た可能性があるので、『パワーステアリングの操作に影響が出た可能性があります。』との内容を有する抽象的体験情報を生成する。
出力部104は、制御部103で生成した抽象的体験情報を出力する。出力先は、例えばディスプレイやプリンタ、ハードディスク等の外部記憶装置、他のサーバやパーソナルコンピュータ(PC)とすることができる。あるいは、端末装置200や端末装置200を搭載する車両に対して送信してもよい。
サイバー攻撃分析支援装置100は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図2に記載の各機能ブロックの機能を発揮させるように構成することができる。後述の図4で示される端末装置200や、他の実施形態のサイバー攻撃分析支援装置においても同様である。
もちろん、サイバー攻撃分析支援装置100、又は端末装置200を、LSI等の専用のハードウェアで実現してもよい。
もちろん、サイバー攻撃分析支援装置100、又は端末装置200を、LSI等の専用のハードウェアで実現してもよい。
(3)端末装置の構成
図4を用いて、本実施形態の端末装置200の構成について説明する。
端末装置200は、電子制御装置(「構成装置」に相当)として、メータECU201、EPSECU202、車体ECU203、CGW204、通信ECU205を有する。
図4を用いて、本実施形態の端末装置200の構成について説明する。
端末装置200は、電子制御装置(「構成装置」に相当)として、メータECU201、EPSECU202、車体ECU203、CGW204、通信ECU205を有する。
これらのECU同士は車載ネットワークで接続されており、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
端末装置200は、本実施形態では「移動体」である車両に「搭載されている」。もっとも、端末装置200は、必ずしも移動体に搭載されている必要はなく、固定物に搭載されていてもよい。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
メータECU201は、車両の前面パネルの表示を制御する。EPSECU202は、電動パワーステアリングを制御する。車体ECU203は、車体の制御を行う。そして、それぞれのECUは、それぞれのECUの機能に応じたデータを送信する。例えば、車載ネットワークにCANを用いている場合、CANのフォーマットに即したCANデータを送信する。本実施形態ではCANデータを例に挙げているが、これは一例であり、任意のデータ形式を採ることができる。
また、各ECUはCANデータを分析し、イベントログを生成して送信する。イベントログは、例えば各ECUがCANデータに基づき各ECUで異常を検出された場合に生成されるセキュリティイベントログが挙げられる。
また、各ECUはCANデータを分析し、イベントログを生成して送信する。イベントログは、例えば各ECUがCANデータに基づき各ECUで異常を検出された場合に生成されるセキュリティイベントログが挙げられる。
その他、端末装置200は任意のECUで構成することができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスターとスレーブとに分類されていてもよい。
CGW204は、各ECUからイベントログを収集するイベントログ収集部206、及びイベントログから検知情報を生成する検知情報生成部207を有する。
イベントログ収集部206は、メータECU201、EPSECU202、及び車体ECU203からイベントログを収集する。そして、収集したイベントログは、検知情報生成部207に出力される。
検知情報生成部207は、イベントログ収集部206から入力されたイベントログに基づき、検知情報を生成する。例えば、異常を検知したECUを攻撃対象ECUとし、また異常が検知された信号を異常検知信号とする検知情報を生成する。
通信ECU205は、検知情報生成部207で生成した検知情報を、通信ネットワーク10を介してサイバー攻撃分析支援装置100に送信する。検知情報を送信するタイミングは、車両側が定期的かつ自発的に送信してもよいし、サイバー攻撃分析支援装置100からのリクエストに応じて送信してもよい。サイバー攻撃分析支援装置100からのリクエストのタイミングは、定期的又はサイバー攻撃を検知した時のいずれでもよい。
本実施形態では、イベントログ収集部206及び検知情報生成部207を、CGW204に設ける例を挙げているが、これらをCGW204以外のECUに設けるようにしてもよい。例えば、専用の検知情報生成用ECUや、通信ECU205に設けるようにしてもよい。
(4)サイバー攻撃分析支援装置の動作
図5のフローチャートを用いて、サイバー攻撃分析支援装置100の動作を説明する。
なお、以下の動作は、サイバー攻撃分析支援装置100におけるサイバー攻撃分析支援方法を示すだけでなく、サイバー攻撃分析支援装置100で実行されるサイバー攻撃分析支援プログラムの処理手順を示すものである。
そして、これらの処理は、図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
以上、本実施形態だけでなく、他の実施形態や変形例においても同様である。
図5のフローチャートを用いて、サイバー攻撃分析支援装置100の動作を説明する。
なお、以下の動作は、サイバー攻撃分析支援装置100におけるサイバー攻撃分析支援方法を示すだけでなく、サイバー攻撃分析支援装置100で実行されるサイバー攻撃分析支援プログラムの処理手順を示すものである。
そして、これらの処理は、図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
以上、本実施形態だけでなく、他の実施形態や変形例においても同様である。
サイバー攻撃分析支援装置100の入力部101に、通信ネットワークを介して端末装置200から送信された検知情報が入力される(S101)。例えば、本実施形態において、検知情報は、攻撃対象信号がクルーズコントロールSW情報であるという情報が含まれているとする。
制御部103は、設計情報を記憶部102から読み出す(S102)。
制御部103は、S101で入力された検知情報に基づき、サイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、設計情報を参照してサイバー攻撃の影響により端末装置200のユーザが体験したと推測される事象である抽象的体験情報を生成する(S103)。本実施形態では、検知情報から攻撃対象信号としてクルーズコントロールSW情報を抽出する。そして、S102で読み出した図3の設計情報を参照し、クルーズコントロールSW情報が受信されるECUがメータECU及びEPSECUであると特定し、これらに対応付けられているUIが画像表示部及び操作入力部であると特定する。そして、画像表示部に対応して、『メータ表示に影響が出た可能性があります。』との内容を有する抽象的体験情報を生成する。また操作入力部に対応して、『パワーステアリングの操作に影響が出た可能性があります。』との内容を有する抽象的体験情報を生成する。
出力部104は、S103で生成した抽象的体験情報を出力する(S104)。
(5)小括
以上、本実施形態のサイバー攻撃分析支援装置100、及び当該装置で実行される方法及びプログラムによれば、構成装置と当該構成装置が有するUIとの関係が記述された設計情報を用いることにより、ユーザが体験したと推測される問題事象の再現を行うことができる。
以上、本実施形態のサイバー攻撃分析支援装置100、及び当該装置で実行される方法及びプログラムによれば、構成装置と当該構成装置が有するUIとの関係が記述された設計情報を用いることにより、ユーザが体験したと推測される問題事象の再現を行うことができる。
2.実施形態2
(1)サイバー攻撃分析支援装置の構成
実施形態1では、サイバー攻撃分析支援装置100は、設計情報を参照して抽象的体験情報を生成、出力した。本実施形態では、さらに状態情報を参照して具体的体験情報を生成、出力する例を示す。
なお、本実施形態においても、サイバー攻撃分析支援装置と端末装置の全体の関係は図1で示されるものと同様である。また、実施形態1で説明したものと同じ構成、機能、データは、実施形態1の説明を引用する。
(1)サイバー攻撃分析支援装置の構成
実施形態1では、サイバー攻撃分析支援装置100は、設計情報を参照して抽象的体験情報を生成、出力した。本実施形態では、さらに状態情報を参照して具体的体験情報を生成、出力する例を示す。
なお、本実施形態においても、サイバー攻撃分析支援装置と端末装置の全体の関係は図1で示されるものと同様である。また、実施形態1で説明したものと同じ構成、機能、データは、実施形態1の説明を引用する。
図6を用いて、本実施形態の本実施形態のサイバー攻撃分析支援装置120の構成について説明する。
サイバー攻撃分析支援装置100は、入力部121、記憶部122、制御部123、及び出力部124を有する。
サイバー攻撃分析支援装置100は、入力部121、記憶部122、制御部123、及び出力部124を有する。
入力部121には、検知情報の他、さらに端末装置200から送信された「検知時刻」が入力される。検知時刻は、検知情報が検知された時刻をいう。検知情報は、実施形態1で説明したものと同じである。端末装置200の検知情報生成部207は、イベントログに基づき、異常が検知された時刻を検知時刻として生成する。
ここで、「検知時刻」とは、絶対時刻の他、基準時からカウントするタイマーの値や、順序を示すカウンターの値であってもよい。
記憶部122は、設計情報に加えて、特定の時刻における信号の内容を示す状態情報を記憶する。
図7は、本実施形態の設計情報の具体例を示したものである。
状態情報には、端末装置200を構成する各ECUが受信又は送信する信号の具体的な内容が、それぞれのイベントが発生した時刻と対応づけられて記憶されている。例えば、12月17日17時20分31秒に発生したイベント番号1のイベントでは、ドア開閉状態情報はドアが開いているという内容であるONが、クルーズコントロールSW情報はクルーズコントロール機能を動作させるという内容であるONが、エアコン温度情報はエアコンの設定温度が摂氏30度であるという30が、それぞれ記憶されている。
状態情報には、端末装置200を構成する各ECUが受信又は送信する信号の具体的な内容が、それぞれのイベントが発生した時刻と対応づけられて記憶されている。例えば、12月17日17時20分31秒に発生したイベント番号1のイベントでは、ドア開閉状態情報はドアが開いているという内容であるONが、クルーズコントロールSW情報はクルーズコントロール機能を動作させるという内容であるONが、エアコン温度情報はエアコンの設定温度が摂氏30度であるという30が、それぞれ記憶されている。
状態情報は、端末装置200の車載ネットワークにCANが用いられている場合、CANフォーマットに即したCANデータをそのまま用いることができる。すなわち、入力部121には、検知情報として、又は検知情報とは別に、端末装置200から送信された状態情報が入力される。
状態情報に含めることができる信号の他の例として、走行状態信号(高速走行、低速走行、停止)、電源状態信号(ACC ON/OFF、IG ON/OFF、READY ON/OFF)、シフト状態信号(P/D/B/N/R)、車体スイッチ状態信号(ブロア風量、A/C ON/OFF、温度、各ドア 開/閉)、ライト状態信号(ライト OFF/Lo/Hi、フロント・リアフォグ ON/OFF)が挙げられる。その他、交差点での信号待ち状態を示す信号、ACC作動信号、レーンキープアシスト信号、プリクラッシュセーフティ信号、などを含めてもよい。
制御部123は、実施形態1と同様、入力部121から入力された検知情報に「基づき」、サイバー攻撃の対象である攻撃対象信号を特定する。本実施形態の場合も、検知信号中に攻撃対象信号を示す情報を含めているので、検知信号から攻撃対象信号を抽出すればよい。
そして、制御部123は、図7の状態情報及び入力部121に入力された検知時刻を参照して、サイバー攻撃の影響により端末装置200のユーザである車両のドライバが体験したと推測される具体的な事象である具体的体験情報を生成する。
本実施形態の場合、制御部123は、具体的体験情報に加え、実施形態1で説明した抽象的体験情報を生成してもよい。
本実施形態の場合、制御部123は、具体的体験情報に加え、実施形態1で説明した抽象的体験情報を生成してもよい。
例えば、入力部121に入力された検知信号中に攻撃対象信号がエアコン温度情報であるという情報が含まれていたとする。制御部123は、図7の設計情報のうち検知時刻に対応するイベント時刻の信号の内容を参照することにより、エアコン温度情報は摂氏30度であることが分かる。そこで、制御部123は、『エアコン温度表示が30℃になっている可能性があります。』との内容を有する具体的体験情報を生成する。
具体的体験情報とは、各信号の内容から特定される事象であり、前述の抽象的体験情報よりもより具体的な事象である。
具体的体験情報も、各信号の種類に対応して、記憶部122に予め生成して保存したものを読み出してもよい。もちろん、具体的体験情報も含めて状態情報としてもよい。あるいは、人工知能(AI)や機械学習に基づき、制御部123が自ら新たに具体的体験情報を生成してもよい。
具体的体験情報の例として、以下のものが挙げられる。
ドア開閉状態情報が攻撃対象となった場合、状態情報からドア開閉状態情報の内容を読み出して、『ドアが開いていると表示された可能性があります。』との具体的体験情報を生成する。また、クルーズコントロールSW情報が攻撃対象となった場合、状態情報からクルーズコントロールSW情報の内容を読み出して、『クルーズコントロール機能がONであると表示された可能性があります。』との具体的体験情報を生成する。エアコン温度情報が攻撃対象となった場合、状態情報からエアコン温度情報の内容を読み出して、『エアコン温度表示が***℃になっている可能性があります。』との具体的体験情報を生成する。『***』はエアコン温度情報の内容で、図7の場合は30である。
ドア開閉状態情報が攻撃対象となった場合、状態情報からドア開閉状態情報の内容を読み出して、『ドアが開いていると表示された可能性があります。』との具体的体験情報を生成する。また、クルーズコントロールSW情報が攻撃対象となった場合、状態情報からクルーズコントロールSW情報の内容を読み出して、『クルーズコントロール機能がONであると表示された可能性があります。』との具体的体験情報を生成する。エアコン温度情報が攻撃対象となった場合、状態情報からエアコン温度情報の内容を読み出して、『エアコン温度表示が***℃になっている可能性があります。』との具体的体験情報を生成する。『***』はエアコン温度情報の内容で、図7の場合は30である。
出力部124は、制御部123で生成した具体的体験情報を出力する。本実施形態では、出力部124は、制御部123が抽象的体験情報を生成した場合は、具体的体験情報に加えて抽象的体験情報も出力してもよい。すなわち、出力部124は、抽象的体験情報に加えて、又は抽象的体験情報に代えて、具体的体験情報を出力する。出力先は、実施形態1と同様である。
(2)サイバー攻撃分析支援装置の動作
図8のフローチャートを用いて、サイバー攻撃分析支援装置120の動作を説明する。
図8のフローチャートを用いて、サイバー攻撃分析支援装置120の動作を説明する。
サイバー攻撃分析支援装置120の入力部121に、通信ネットワークを介して端末装置200から送信された検知情報及び検知時刻が入力される(S121)。例えば、本実施形態において、検知情報には、攻撃対象信号がエアコン温度情報であるという情報が含まれているとする。
制御部123は、設計情報を記憶部122から読み出す(S122)。
制御部123は、S121で入力された検知情報に基づき、サイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、設計情報を参照してサイバー攻撃の影響により端末装置200のユーザが体験したと推測される事象である抽象的体験情報を生成する(S123)。本実施形態では、検知情報から攻撃対象信号としてエアコン温度情報を抽出する。そして、S122で読み出した図3の設計情報を参照し、エアコン温度情報が受信されるECUがメータECUであると特定し、これらに対応付けられているUIが画像表示部であると特定する。そして、画像表示部に対応して、『メータ表示に影響が出た可能性があります。』との内容を有する抽象的体験情報を生成する。あるいは画像表示部及びエアコン温度情報に対応して、『エアコン温度表示に影響が出た可能性があります。』との内容を有する抽象的体験情報を生成する。
制御部123は、状態情報を記憶部122から読み出す(S124)。
制御部123は、S121で入力された検知情報に基づき、サイバー攻撃の対象である攻撃対象信号を特定するとともに、状態情報及び検知時刻を参照してサイバー攻撃の影響により端末装置200のユーザが体験したと推測される具体的な事象である具体的体験情報を生成する(S125)。本実施形態では、検知情報から攻撃対象信号としてエアコン温度情報を抽出する。そして、S124で読み出した図7の状態情報、及びS121で入力された検知時刻を参照し、エアコン温度情報が摂氏30度であると特定する。そして、『エアコン温度表示が30℃になっている可能性があります』との内容を有する具体的体験情報を生成する。
出力部104は、S123で生成した抽象的体験情報、及びS125で生成した具体的体験情報を出力する(S126)。
なお、上述の例では、抽象的体験情報と具体的体験情報の両方を出力する場合を説明したが、具体的体験情報のみを出力してもよい。この場合は、S122及びS123は不要である。
また、これらの処理は、図8で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。例えばS123及びS124は、順序を入れ替えてもよい。また、S122とS124は同時に実行してもよい。
(3)小括
本実施形態では、状態情報を用いることにより、抽象的体験情報よりも具体的な情報である具体的体験情報を出力するので、ユーザが体験したと推測される問題事象の再現をより具体的に行うことができる。
本実施形態では、状態情報を用いることにより、抽象的体験情報よりも具体的な情報である具体的体験情報を出力するので、ユーザが体験したと推測される問題事象の再現をより具体的に行うことができる。
3.実施形態3
(1)サイバー攻撃分析支援装置の構成
実施形態1及び実施形態2では、図1に示すように、端末装置200が車両に搭載され、サイバー攻撃分析支援装置は車両の外に設けられていた。
本実施形態では、同一の車両に、端末装置200だけでなく、サイバー攻撃分析支援装置140も搭載されている例を示す。
(1)サイバー攻撃分析支援装置の構成
実施形態1及び実施形態2では、図1に示すように、端末装置200が車両に搭載され、サイバー攻撃分析支援装置は車両の外に設けられていた。
本実施形態では、同一の車両に、端末装置200だけでなく、サイバー攻撃分析支援装置140も搭載されている例を示す。
図9を用いて、本実施形態のサイバー攻撃分析支援装置140と端末装置200との関係を説明する。
サイバー攻撃分析支援装置140は、端末装置200と同一の移動体である車両に搭載されている。ここで、サイバー攻撃分析支援装置140は、実施形態1のサイバー攻撃分析支援装置100、又は実施形態2のサイバー攻撃分析支援装置120のいずれでもよい。
サイバー攻撃分析支援装置140は、端末装置200と同一の移動体である車両に搭載されている。ここで、サイバー攻撃分析支援装置140は、実施形態1のサイバー攻撃分析支援装置100、又は実施形態2のサイバー攻撃分析支援装置120のいずれでもよい。
サイバー攻撃分析支援装置140と端末装置200は、例えば、CAN、LINといった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いて接続されている。
特に、CANやLINのような車載ネットワークを用いる場合は、サイバー攻撃分析支援装置140は、端末装置200の1つの構成装置としてのECUと把握することができる。
なお、サイバー攻撃分析支援装置140の出力部104又は出力部124は、車両外のサーバ装置等に抽象的体験情報や具体的体験情報を出力してもよい。
(2)小括
本実施形態では、サイバー攻撃分析支援装置を端末装置と同一の車両に搭載することにより、同一車両内で処理を完結することができ、通信ネットワークに対する負荷を軽減することができる。
本実施形態では、サイバー攻撃分析支援装置を端末装置と同一の車両に搭載することにより、同一車両内で処理を完結することができ、通信ネットワークに対する負荷を軽減することができる。
4.各実施形態の変形例
本実施形態では、端末装置200から実施形態1~3の何れかのサイバー攻撃分析支援装置(以下、代表してサイバー攻撃分析支援装置100とする。)に送信される検知情報のバリエーションを中心に説明する。
本実施形態では、端末装置200から実施形態1~3の何れかのサイバー攻撃分析支援装置(以下、代表してサイバー攻撃分析支援装置100とする。)に送信される検知情報のバリエーションを中心に説明する。
(1)検知情報がCANデータの場合
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが定期又は不定期に送信するCANデータであってもよい。
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが定期又は不定期に送信するCANデータであってもよい。
この変形例の場合、端末装置200のイベントログ収集部206は、各ECUからCANデータを収集し、検知情報生成部207に出力する。検知情報生成部207は、イベントログ収集部206から入力されたCANデータをそのまま通信ECU205に出力する。通信ECU205は、CANデータを検知情報として、通信ネットワーク10を介してサイバー攻撃分析支援装置100に送信する。つまり、この場合、各ECUでイベントログを生成する必要はない。
サイバー攻撃分析支援装置100の制御部103は、入力部101に入力された検知情報であるCANデータを、例えば統計的に分析することにより、攻撃対象ECU又は攻撃対象信号を特定する。
なお、CANデータを統計的に分析することにより、まず中間生成物であるイベントログを生成し、次にイベントログの分析を行うことにより、攻撃対象ECUや攻撃対象信号を特定してもよい。
なお、CANデータを統計的に分析することにより、まず中間生成物であるイベントログを生成し、次にイベントログの分析を行うことにより、攻撃対象ECUや攻撃対象信号を特定してもよい。
なお、この変形例の場合、検知情報と状態情報は一致するので、検知情報であるCANデータのみを端末装置200からサイバー攻撃分析支援装置100に送信するだけで足り、状態情報を別途送信する必要はない。
(2)検知情報がイベントログの場合
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが生成するイベントログであってもよい。
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが生成するイベントログであってもよい。
この変形例の場合、端末装置200のイベントログ収集部206は、各ECUで生成されたイベントログを収集し、検知情報生成部207に出力する。検知情報生成部207は、イベントログ収集部206から入力されたイベントログをそのまま通信ECU205に出力する。通信ECU205は、イベントログを検知情報として、通信ネットワーク10を介してサイバー攻撃分析支援装置100に送信する。イベントログは、例えば、ECU名―イベント内容―エラー情報―イベント時刻、からなるデータ列であるが、これらの情報全てを有する必要はなく、またこれら以外の情報が含まれていてもよい。
サイバー攻撃分析支援装置100の制御部103は、入力部101に入力された検知情報であるイベントログを、例えば統計的に分析することにより、攻撃対象ECU又は攻撃対象信号を特定する。
なお、この変形例の場合、検知情報と状態情報は一致しないので、別途状態情報であるCANデータを端末装置200からサイバー攻撃分析支援装置100に送信する。
(3)検知情報が分析結果の場合
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが生成するイベントログの分析を行なった結果である、攻撃対象ECU及び攻撃対象信号を特定する情報であってもよい。この変形例は、実施形態1及び実施形態2で説明した例と同じである。
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが生成するイベントログの分析を行なった結果である、攻撃対象ECU及び攻撃対象信号を特定する情報であってもよい。この変形例は、実施形態1及び実施形態2で説明した例と同じである。
この変形例の場合、端末装置200のイベントログ収集部206は、各ECUで生成されたイベントログを収集し、検知情報生成部207に出力する。検知情報生成部207は、イベントログ収集部206から入力されたイベントログを分析し、攻撃対象ECU及び攻撃対象信号を特定する情報を生成し、これを検知信号として通信ECU205に出力する。通信ECU205は、検知情報を、通信ネットワーク10を介してサイバー攻撃分析支援装置100に送信する。
サイバー攻撃分析支援装置100の制御部103は、入力部101に入力された検知情報から、攻撃対象ECU又は攻撃対象信号を抽出し、攻撃対象ECU又は攻撃対象信号を特定する。
なお、この変形例の場合も、検知情報と状態情報は一致しないので、別途状態情報であるCANデータを端末装置200からサイバー攻撃分析支援装置100に送信する。
(4)攻撃対象ECU又は攻撃対象信号を特定する具体例
イベントログから攻撃対象ECUを特定する方法の一例を説明する。
端末装置200のECUはセキュリティセンサを備え、セキュリティセンサがセキュリティ異常を検出して、イベントログを生成する。イベントログの例として、ECU名―イベント内容―エラー情報―イベント時刻、を含むデータ列を生成する。各ECUがイベントログを生成した時点で、イベントログを生成したECUが攻撃対象ECUとなっている可能性がある。ただし、故障等、サイバー攻撃以外の原因でセキュリティセンサが動作してイベントログを生成する可能性もある。そこで、イベントログが生成された原因が故障かサイバー攻撃かを特定するため、イベントログが生成された時刻と同時刻の診断情報を確認する。イベントログを生成したECUの診断情報がない場合は、故障でなくサイバー攻撃によってイベントログが生成された可能性が高いので、イベントログを生成したECUを攻撃対象ECUとする。イベントログを生成したECUの診断情報がある場合は、故障によってイベントログが生成された可能性が高いので、イベントログを生成したECUは攻撃対象ECUとは特定されない。
イベントログから攻撃対象ECUを特定する方法の一例を説明する。
端末装置200のECUはセキュリティセンサを備え、セキュリティセンサがセキュリティ異常を検出して、イベントログを生成する。イベントログの例として、ECU名―イベント内容―エラー情報―イベント時刻、を含むデータ列を生成する。各ECUがイベントログを生成した時点で、イベントログを生成したECUが攻撃対象ECUとなっている可能性がある。ただし、故障等、サイバー攻撃以外の原因でセキュリティセンサが動作してイベントログを生成する可能性もある。そこで、イベントログが生成された原因が故障かサイバー攻撃かを特定するため、イベントログが生成された時刻と同時刻の診断情報を確認する。イベントログを生成したECUの診断情報がない場合は、故障でなくサイバー攻撃によってイベントログが生成された可能性が高いので、イベントログを生成したECUを攻撃対象ECUとする。イベントログを生成したECUの診断情報がある場合は、故障によってイベントログが生成された可能性が高いので、イベントログを生成したECUは攻撃対象ECUとは特定されない。
イベントログから攻撃対象信号を特定する方法の一例を説明する。
例えば、端末装置200のCGW204がネットワーク型IDS(Intrusion Detection System)を備える場合、CGW204がセキュリティ異常を検知し、イベントログを生成する。イベントログの例として、信号名―イベント内容―エラー情報―イベント時刻、を含むデータ列を生成する。そして、イベントログに含まれている信号名を攻撃対象信号と特定する。
例えば、端末装置200のCGW204がネットワーク型IDS(Intrusion Detection System)を備える場合、CGW204がセキュリティ異常を検知し、イベントログを生成する。イベントログの例として、信号名―イベント内容―エラー情報―イベント時刻、を含むデータ列を生成する。そして、イベントログに含まれている信号名を攻撃対象信号と特定する。
なお、攻撃対象ECUの特定や攻撃対象信号の特定は、サイバー攻撃分析支援装置100で行う場合は制御部103で、端末装置200で行う場合は検知情報生成部207で行う。例えば上述の(1)及び(2)の場合は制御部103、上述の(3)の場合は検知情報生成部207が特定する。
(5)小括
以上、これらの変形例によれば、CANデータから攻撃対象ECU又は攻撃対象信号の特定までの処理を、端末装置200側で行うか、サイバー攻撃分析支援装置100側で行うかを適宜振り分けることができ、ネットワーク負荷と端末装置200の負荷とのバランスを調整することができる。
以上、これらの変形例によれば、CANデータから攻撃対象ECU又は攻撃対象信号の特定までの処理を、端末装置200側で行うか、サイバー攻撃分析支援装置100側で行うかを適宜振り分けることができ、ネットワーク負荷と端末装置200の負荷とのバランスを調整することができる。
5.抽象的体験情報及び具体的体験情報の利用
抽象的体験情報及び具体的体験情報の利用方法について、図10を用いて説明する。
抽象的体験情報及び具体的体験情報の利用方法について、図10を用いて説明する。
図10(a)は、自動車メーカーや自動車販売店のドライバからの苦情を基に作成されたレポートである。レポートには、車両を特定するVINの他に、ドライバから聞き取りにより取得した、サイバー攻撃が発生した状況が記載されている。具体的には、サイバー攻撃が発生した日時である現象発生日時やサイバー攻撃と思われる現象がドライバの体験として記載されている。
図10(b)は、各実施形態のサイバー攻撃分析支援装置の出力である。出力には、車両を特定するVINの他に、現象発生日時、サイバー攻撃イベント情報、並びに抽象的体験情報及び具体的体験情報が含まれている。現象発生日時としては、例えば検知時刻を出力すればよい。サイバー攻撃イベント情報は問題事象が発生した原因を示すものであり、例えばCANデータやイベントログが出力される。
図10(a)のレポートと図10(b)の出力を比較すると、VINは一致し、現象発生日時はあいまいながら一致する場合が多い。また、ドライバの体験はドライバの五感で取得した主観的な情報であるのに対し、サイバー攻撃イベント情報は機器が取得した客観的な情報であるので、紐づけが困難である。
しかし、図10(b)の出力で、抽象的体験情報及び具体的体験情報を含めることにより、抽象的体験情報及び具体的体験情報はドライバの体験に基づく主観的な情報と同種の情報であるので、抽象的体験情報及び具体的体験情報とドライバの体験との紐付が容易となる。そして、抽象的体験情報及び具体的体験情報を介して、ドライバの体験とサイバー攻撃イベント情報との紐付が可能になる。これにより、ドライバからの苦情の原因となったサイバー攻撃を特定し、これを分析することが可能になる。
3.総括
以上、本発明の各実施形態におけるサイバー攻撃分析支援装置等の特徴について説明した。
以上、本発明の各実施形態におけるサイバー攻撃分析支援装置等の特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用の端末装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の端末装置も含むものである。
各実施形態では、各実施形態に開示の端末装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
また、本発明のサイバー攻撃分析支援装置、及び端末装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
またサイバー攻撃分析支援装置や端末装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明のサイバー攻撃分析支援装置は、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明のサイバー攻撃分析支援装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明のサイバー攻撃分析支援装置は、主として自動車に搭載される端末装置と接続することを前提として説明したが、自動車に搭載されない通常のコンピュータと接続するようにしてもよい。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置を端末装置にすることが可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置を端末装置にすることが可能である。
100 サイバー攻撃分析支援装置、101 入力部、102 記憶部、103 制御部、104 出力部、200 端末装置
Claims (8)
- 通信ネットワークを介して端末装置(200)から送信された検知情報が入力される入力部(101)と、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶する記憶部(102)と、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成する制御部(103)と、
前記抽象的体験情報を出力する出力部(104)と、を有する
サイバー攻撃分析支援装置(100)。 - 前記ユーザインターフェースは、画像表示部、操作入力部、音声出力部、又は音声入力部、の少なくとも1つである、
請求項1記載のサイバー攻撃分析支援装置。 - 前記入力部には、さらに検知時刻が入力され、
前記記憶部(122)は、さらに特定の時刻における前記信号の内容を示す状態情報を記憶し、
前記制御部(123)は、前記検知情報に基づきサイバー攻撃の対象である攻撃対象信号を特定するとともに、前記状態情報及び前記検知時刻を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される具体的な事象である具体的体験情報を生成し、
前記出力部は、前記抽象的体験情報に加えて、又は前記抽象的体験情報に代えて、前記具体的体験情報を出力する、
請求項1記載のサイバー攻撃分析支援装置(120)。 - 前記入力部には、さらに前記端末装置から送信された前記状態情報が入力される、
請求項3記載のサイバー攻撃分析支援装置。 - 前記端末装置は、移動体に搭載されている、
請求項1乃至4記載のサイバー攻撃分析支援装置。 - 当該サイバー攻撃分析支援装置は、前記端末装置と同一の前記移動体に搭載されている、
請求項5記載のサイバー攻撃分析支援装置(140)。 - 通信ネットワークを介して端末装置から送信された検知情報が入力され(S101)、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶部から読み出し(S102)、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成し(S103)、
前記抽象的体験情報を出力する(S104)、
サイバー攻撃分析支援方法。 - サイバー攻撃分析支援装置で実行可能なサイバー攻撃分析支援プログラムであって、
通信ネットワークを介して端末装置から送信された検知情報が入力され(S101)、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶部から読み出し(S102)、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成し(S103)、
前記抽象的体験情報を出力する(S104)、
ことを含む処理を前記サイバー攻撃分析支援装置に実行させる、サイバー攻撃分析支援プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020008958A JP7359002B2 (ja) | 2020-01-23 | 2020-01-23 | サイバー攻撃分析支援装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020008958A JP7359002B2 (ja) | 2020-01-23 | 2020-01-23 | サイバー攻撃分析支援装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021117568A JP2021117568A (ja) | 2021-08-10 |
| JP7359002B2 true JP7359002B2 (ja) | 2023-10-11 |
Family
ID=77174902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020008958A Active JP7359002B2 (ja) | 2020-01-23 | 2020-01-23 | サイバー攻撃分析支援装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7359002B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2023132005A (ja) * | 2022-03-10 | 2023-09-22 | 日立Astemo株式会社 | 車両診断システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018032254A (ja) | 2016-08-25 | 2018-03-01 | クラリオン株式会社 | 車載装置、ログ収集システム |
| JP2018032355A (ja) | 2016-08-26 | 2018-03-01 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
| JP2019050477A (ja) | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
| JP2019219709A (ja) | 2018-06-15 | 2019-12-26 | オムロン株式会社 | サイバー攻撃通知装置及び通知方法 |
-
2020
- 2020-01-23 JP JP2020008958A patent/JP7359002B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018032254A (ja) | 2016-08-25 | 2018-03-01 | クラリオン株式会社 | 車載装置、ログ収集システム |
| JP2018032355A (ja) | 2016-08-26 | 2018-03-01 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
| JP2019050477A (ja) | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
| JP2019219709A (ja) | 2018-06-15 | 2019-12-26 | オムロン株式会社 | サイバー攻撃通知装置及び通知方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021117568A (ja) | 2021-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11934520B2 (en) | Detecting data anomalies on a data interface using machine learning | |
| US10623205B2 (en) | Security device, network system, and fraud detection method | |
| CN110406485B (zh) | 非法检测方法及车载网络系统 | |
| US11277417B2 (en) | System and method of generating rules for blocking a computer attack on a vehicle | |
| CN110324219B (zh) | 阻断对运输工具的计算机攻击的系统和方法 | |
| US9843523B2 (en) | Communication management apparatus and communication management method for vehicle network | |
| US10284387B2 (en) | Hybrid intra-vehicle communication network | |
| JP7229783B2 (ja) | 車載型情報処理装置、車両情報通信システム、情報処理方法およびプログラム | |
| EP3800623A1 (en) | Apparatus, data transmission method and program | |
| EP3547191B1 (en) | System and method of generating rules for blocking a computer attack on a vehicle | |
| JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| JP7359002B2 (ja) | サイバー攻撃分析支援装置 | |
| JP7443832B2 (ja) | セキュリティ管理装置 | |
| Stachowski et al. | An assessment method for automotive intrusion detection system performance | |
| JP7392586B2 (ja) | ログ送信制御装置 | |
| JP7409247B2 (ja) | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム | |
| Winsen | Threat modelling for future vehicles: on identifying and analysing threats for future autonomous and connected vehicles | |
| WO2021024588A1 (ja) | モビリティ制御システム、方法、および、プログラム | |
| JP2023171904A (ja) | ログ管理装置及びセンタ装置 | |
| EP3547192B1 (en) | System and method of blocking a computer attack on a means of transportation | |
| JP6651662B2 (ja) | 不正検知電子制御ユニット及び不正検知方法 | |
| JP7380473B2 (ja) | セキュリティ監視システム | |
| US20230007033A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
| JP7375619B2 (ja) | 異常検知装置 | |
| JP7392598B2 (ja) | ログ管理装置及びセキュリティ攻撃検知・分析システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220810 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230530 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230531 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230710 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230829 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230911 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7359002 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |