JP7478085B2 - In-vehicle security device, vehicle security system, and vehicle management method - Google Patents

In-vehicle security device, vehicle security system, and vehicle management method Download PDF

Info

Publication number
JP7478085B2
JP7478085B2 JP2020201360A JP2020201360A JP7478085B2 JP 7478085 B2 JP7478085 B2 JP 7478085B2 JP 2020201360 A JP2020201360 A JP 2020201360A JP 2020201360 A JP2020201360 A JP 2020201360A JP 7478085 B2 JP7478085 B2 JP 7478085B2
Authority
JP
Japan
Prior art keywords
attack
information
countermeasure
vehicle
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020201360A
Other languages
Japanese (ja)
Other versions
JP2022089097A (en
Inventor
賢一 庄司
尚 河内
孝行 矢島
靖 永井
恭彦 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Faurecia Clarion Electronics Co Ltd
Original Assignee
Clarion Co Ltd
Faurecia Clarion Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Clarion Co Ltd, Faurecia Clarion Electronics Co Ltd filed Critical Clarion Co Ltd
Priority to JP2020201360A priority Critical patent/JP7478085B2/en
Publication of JP2022089097A publication Critical patent/JP2022089097A/en
Application granted granted Critical
Publication of JP7478085B2 publication Critical patent/JP7478085B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、概して、車両が備える機器のログ情報を処理する技術に関する。 The present invention generally relates to a technology for processing log information from devices installed in a vehicle.

近年の車両においては、車両に搭載された各種ECU(Electrical Control Unit)の制御データを収集して管理するための環境として、車内LAN(Local Area Network)等が用いられて構成された車載ネットワークの普及が進んでいる。この車載ネットワークを利用する技術として、例えば、他の車両、外部のサーバ装置等との通信機能を車両に付加し、この通信機能を用いて、自動運転、運転支援等において利用される環境情報を収集したり、ECUのソフトウェアを更新したりする技術の開発が進んでいる。 In recent years, in-vehicle networks using in-vehicle LANs (Local Area Networks) and the like have become increasingly common as an environment for collecting and managing control data from various ECUs (Electrical Control Units) installed in the vehicle. Technologies that utilize these in-vehicle networks include, for example, adding a communication function to the vehicle with other vehicles and external server devices, and using this communication function to collect environmental information used in autonomous driving, driving assistance, and the like, and to update ECU software.

従来の車載ネットワークシステムでは、一般に独自のOSとネットワークとが用いられており、外部システムとは接続しない構成であった。そのため、車載ネットワークシステムが外部からウイルス等による攻撃を受けてセキュリティ上の脅威にさらされることはないと考えられていた。しかし、近年は、車載ネットワークシステムの分野でもオープン化に向かっており、汎用OSおよび標準プロトコルの採用が進んでいる。こういった背景から、これまで安全とされていた車載ネットワークシステムを対象とした攻撃の報告が年々増えている。 Conventional in-vehicle network systems generally used their own OS and network, and were not configured to connect to external systems. For that reason, it was thought that in-vehicle network systems would not be exposed to security threats such as external attacks by viruses. However, in recent years, the field of in-vehicle network systems has been moving toward openness, and the adoption of general-purpose OS and standard protocols has progressed. Against this background, reports of attacks targeting in-vehicle network systems, which were previously considered safe, are increasing year by year.

車載ネットワークシステムに対する攻撃により、サービスの不能、不正なアクセス等が、車両で発生した場合、人、資産等への被害が生じ得る。例えば、車両が攻撃を受けて暴走した場合、人的被害および物的被害が甚大となり、社会的な影響が大きい。そのため、車両メーカに対して、車載ネットワークシステムに対する攻撃の発生を監視するためにログ情報を収集して保存することが求められている。 If an attack on an in-vehicle network system causes a denial of service or unauthorized access to a vehicle, damage to people and assets may occur. For example, if an attack occurs and a vehicle goes out of control, the personal and property damage may be severe, with a large social impact. For this reason, vehicle manufacturers are being asked to collect and store log information to monitor for the occurrence of attacks on in-vehicle network systems.

近時、脆弱性を悪用した攻撃を早期に検知でき、検知ルールの実行周期を調整して処理負荷を低減できる技術が開示されている(特許文献1参照)。 Recently, technology has been disclosed that can detect attacks that exploit vulnerabilities at an early stage and reduce processing load by adjusting the execution cycle of detection rules (see Patent Document 1).

特開2020-28092号公報JP 2020-28092 A

特許文献1に記載された技術では、管理するログ情報が膨大となり、膨大なログ情報を処理するために、車両に搭載されるコンピュータのプロセッサ、メモリ等のリソースを逼迫する問題がある。 The technology described in Patent Document 1 has the problem that the amount of log information to be managed becomes enormous, and processing the vast amount of log information puts strain on the processor, memory, and other resources of the computer installed in the vehicle.

本発明は、以上の点を考慮してなされたもので、車両が備える機器のログ情報を適切に処理し得る車載セキュリティ装置等を提案しようとするものである。 The present invention was made in consideration of the above points, and aims to propose an in-vehicle security device etc. that can properly process log information from devices installed in a vehicle.

かかる課題を解決するため本発明においては、所定の機器を備えた車両に搭載される車載セキュリティ装置であって、前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、前記機器についてのログ情報を記憶するログ情報記憶部と、前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、前記機器に対する攻撃への対策を提供するための攻撃対策装置に送信するログ管理部と、を設けるようにした。 In order to solve this problem, the present invention provides an in-vehicle security device that is mounted on a vehicle equipped with a specified device, and includes an attack information storage unit that stores attack information indicating an attack on the device, a log information storage unit that stores log information about the device, and a log management unit that extracts log information related to the attack information stored in the attack information storage unit from the log information stored in the log information storage unit and transmits the extracted log information to an attack countermeasure device that provides countermeasures against attacks on the device.

本発明によれば、車両が備える機器のログ情報を適切に処理することができる。 The present invention makes it possible to appropriately process log information from devices installed in a vehicle.

車両セキュリティシステムに係る構成の一例を示す図である。FIG. 1 is a diagram showing an example of a configuration of a vehicle security system. 車両のハードウェア構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a hardware configuration of a vehicle. 路側器および攻撃対策装置のハードウェア構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a hardware configuration of a roadside unit and an attack countermeasure device. 車載セキュリティ装置の機能構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a functional configuration of an in-vehicle security device. 攻撃対策装置の機能構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a functional configuration of an attack countermeasure device. 攻撃情報を説明するための図である。FIG. 11 is a diagram for explaining attack information. 攻撃情報を説明するための図である。FIG. 11 is a diagram for explaining attack information. 攻撃情報を説明するための図である。FIG. 11 is a diagram for explaining attack information. ログ情報記憶部の一例を示す図である。FIG. 4 illustrates an example of a log information storage unit; 車両構成情報記憶部の一例を示す図である。FIG. 2 is a diagram illustrating an example of a vehicle configuration information storage unit. 攻撃情報記憶部の一例を示す図である。FIG. 4 illustrates an example of an attack information storage unit. 対策情報記憶部の一例を示す図である。FIG. 4 illustrates an example of a countermeasure information storage unit; 攻撃検知情報の一例を示す図である。FIG. 11 is a diagram illustrating an example of attack detection information. インシデント情報の一例を示す図である。FIG. 11 is a diagram illustrating an example of incident information. 車載構成情報記憶部の一例を示す図である。FIG. 4 is a diagram illustrating an example of an in-vehicle configuration information storage unit. 初期設定処理の一例を示す図である。FIG. 11 illustrates an example of an initial setting process. 車両セキュリティシステムにおける一連の処理の一例を示す図である。FIG. 2 is a diagram showing an example of a series of processes in a vehicle security system. 攻撃検知処理の一例を示す図である。FIG. 13 illustrates an example of an attack detection process. 攻撃対策処理の一例を示す図である。FIG. 13 illustrates an example of an attack countermeasure process. ログ情報管理処理の一例である。13 is an example of a log information management process.

(1)第1の実施の形態
以下、本発明の一実施の形態を詳述する。ただし、本発明は、実施の形態に限定されるものではない。 (1) First embodiment Hereinafter, one embodiment of the present invention will be described in detail. However, the present invention is not limited to the embodiment.

本実施の形態による車載セキュリティ装置は、車載ネットワーク内の攻撃を検知して分析するためのログ情報を収集する。車載セキュリティ装置は、車載ネットワークに接続されている機器に対する攻撃に対して、ログ情報を収集する対象の機器と、収集するログ情報の種類とを特定可能な攻撃情報を記憶する。車載セキュリティ装置は、例えば、攻撃情報をもとにログ情報を収集したり、収集したログ情報から攻撃に関連するログ情報を、攻撃情報をもとに抽出したりする。上記構成によれば、例えば、車載ネットワークにおいて想定される攻撃に対して効率的にログ情報を記憶したり、送信したりすることができる。 The in-vehicle security device according to this embodiment collects log information for detecting and analyzing attacks within the in-vehicle network. The in-vehicle security device stores attack information that can identify the device for which log information is to be collected and the type of log information to be collected in response to attacks on devices connected to the in-vehicle network. The in-vehicle security device, for example, collects log information based on the attack information, and extracts log information related to the attack from the collected log information based on the attack information. According to the above configuration, for example, it is possible to efficiently store and transmit log information in response to attacks anticipated in the in-vehicle network.

次に、本発明の実施の形態を図面に基づいて説明する。以下の記載および図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。特に限定しない限り、各構成要素は、単数でも複数でも構わない。なお、以下の説明では、図面において同一要素については、同じ番号を付し、説明を適宜省略する。 Next, an embodiment of the present invention will be described with reference to the drawings. The following description and drawings are examples for explaining the present invention, and appropriate omissions and simplifications have been made to clarify the explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural. In the following explanation, the same elements in the drawings will be given the same numbers, and explanations will be omitted as appropriate.

図1は、本実施の形態における車両セキュリティシステム100に係る構成の一例を示す図である。車両セキュリティシステム100は、車両110、路側器120、および攻撃対策装置130を含む。 Figure 1 is a diagram showing an example of the configuration of a vehicle security system 100 in this embodiment. The vehicle security system 100 includes a vehicle 110, a roadside unit 120, and an attack countermeasure device 130.

車両110は、車載セキュリティ装置111を備える。路側器120は、車両110が走行する道路の路側に、所定の地点に固定して設置されている。なお、複数の路側器120がそれぞれ異なる地点に設置されていてもよい。路側器120と攻撃対策装置130とは、ネットワーク101を介して相互に接続される。攻撃対策装置130は、ネットワーク101および路側器120を介して、車載セキュリティ装置111と通信する。なお、車載セキュリティ装置111と攻撃対策装置130とは、ネットワーク101および路側器120を介することなく、例えば一般通信網を介して、通信してもよい。 The vehicle 110 is equipped with an on-board security device 111. The roadside unit 120 is fixedly installed at a predetermined point on the side of the road on which the vehicle 110 travels. Note that multiple roadside units 120 may be installed at different points. The roadside unit 120 and the attack countermeasure device 130 are connected to each other via a network 101. The attack countermeasure device 130 communicates with the on-board security device 111 via the network 101 and the roadside unit 120. Note that the on-board security device 111 and the attack countermeasure device 130 may communicate with each other via, for example, a general communication network, without going through the network 101 and the roadside unit 120.

なお、図1では、車両セキュリティシステム100に2台の車両110が含まれている例を示している。ただし、車両セキュリティシステム100に含まれる車両110の台数は、2台に限定されない。各車両110に搭載される車載セキュリティ装置111の動作は、同様である。そのため、以下の説明では、複数の車両110のうち1つを対象として、対象の車両110に搭載される車載セキュリティ装置111の動作を中心として説明する。 Note that FIG. 1 shows an example in which the vehicle security system 100 includes two vehicles 110. However, the number of vehicles 110 included in the vehicle security system 100 is not limited to two. The operation of the on-board security device 111 installed in each vehicle 110 is similar. Therefore, the following explanation focuses on one of the multiple vehicles 110 and focuses on the operation of the on-board security device 111 installed in the target vehicle 110.

図2は、車両110のハードウェア構成の一例を示す図である。 Figure 2 is a diagram showing an example of the hardware configuration of vehicle 110.

車両110に搭載される車載セキュリティ装置111は、記憶装置210、CPU220、およびメモリ部230を備える。記憶装置210は、例えば、HDD、フラッシュメモリ等の補助記憶装置である。CPU220は、例えば、記憶装置210等に記憶された所定のプログラムを読み込んで実行することにより、車載セキュリティ装置111を制御する。メモリ部230は、CPU220がプログラムを実行する際に利用する主記憶装置である。 The in-vehicle security device 111 mounted on the vehicle 110 includes a storage device 210, a CPU 220, and a memory unit 230. The storage device 210 is, for example, an auxiliary storage device such as a HDD or flash memory. The CPU 220 controls the in-vehicle security device 111 by, for example, reading and executing a specific program stored in the storage device 210 or the like. The memory unit 230 is a main storage device used when the CPU 220 executes a program.

CPU220は、ログ管理部221、初期設定部222、攻撃管理部223、攻撃検知部224、対策処理部225、および警告処理部226を機能的に備える。すなわち、車載セキュリティ装置111の機能(ログ管理部221等)は、CPU220が実行するプログラムによってソフトウェア的に実現される。なお、車載セキュリティ装置111の機能を、例えば、FPGAのような電子回路等によって実現してもよい。また、車載セキュリティ装置111の1つの機能は、複数の機能に分けられていてもよいし、複数の機能は、1つの機能にまとめられていてもよい。また、車載セキュリティ装置111の機能の一部は、別の機能として設けられてもよいし、他の機能に含められていてもよい。また、車載セキュリティ装置111の機能の一部は、車載セキュリティ装置111と通信可能な他のコンピュータにより実現されてもよい。 The CPU 220 functionally comprises a log management unit 221, an initial setting unit 222, an attack management unit 223, an attack detection unit 224, a countermeasure processing unit 225, and a warning processing unit 226. That is, the functions of the in-vehicle security device 111 (log management unit 221, etc.) are realized in software by a program executed by the CPU 220. The functions of the in-vehicle security device 111 may be realized by an electronic circuit such as an FPGA. Furthermore, one function of the in-vehicle security device 111 may be divided into multiple functions, or multiple functions may be combined into one function. Furthermore, some of the functions of the in-vehicle security device 111 may be provided as a separate function, or may be included in another function. Furthermore, some of the functions of the in-vehicle security device 111 may be realized by another computer that can communicate with the in-vehicle security device 111.

また、車両110は、GW装置240と、制御系ネットワーク250に属する1以上の機器と、アシスト系ネットワーク260に属する1以上の機器と、情報系ネットワーク270に属する1以上の機器と、モバイルルータ280とを備える。 The vehicle 110 also includes a GW device 240, one or more devices belonging to a control system network 250, one or more devices belonging to an assist system network 260, one or more devices belonging to an information system network 270, and a mobile router 280.

各ネットワークにおいて、同じネットワーク内の各機器は、GW装置240を介さずに、直接にデータを通信できる。例えば、制御系ネットワーク250内では、車両110の走行制御のための通信が行われる。アシスト系ネットワーク260内では、車両110のアシスト機能のための通信が行われる。車両110のアシスト機能とは、自動運転、運転支援等である。以下では、車両110の自動運転と車両110の運転支援とを区別しないときは、「アシスト機能」と記す。情報系ネットワーク270内では、車両110の運転手(ユーザ)に対するユーザインタフェースのための通信が行われる。一方、異なるネットワークの機器間では、GW装置240を介して通信される。 In each network, devices in the same network can communicate data directly without going through the GW device 240. For example, in the control network 250, communication is performed for driving control of the vehicle 110. In the assist network 260, communication is performed for the assist function of the vehicle 110. The assist function of the vehicle 110 is autonomous driving, driving assistance, etc. In the following, when there is no distinction between the autonomous driving of the vehicle 110 and the driving assistance of the vehicle 110, it is referred to as the "assist function". In the information network 270, communication is performed for a user interface for the driver (user) of the vehicle 110. On the other hand, communication is performed between devices in different networks via the GW device 240.

制御系ネットワーク250には、ステアリングECU251、ブレーキECU252、およびエンジンECU253が接続されている。アシスト系ネットワーク260には、ADAS ECU261、ブレーキ制御ECU262、ステアリング制御ECU263、エンジン制御ECU264、カメラ265、GPSセンサ266、加速度センサ267、およびMPU(Map Processing Unit)268が接続されている。情報系ネットワーク270には、無線通信装置271、ユーザスイッチ272、表示装置273、およびナビゲーションシステム274が接続されている。 The control system network 250 is connected to a steering ECU 251, a brake ECU 252, and an engine ECU 253. The assist system network 260 is connected to an ADAS ECU 261, a brake control ECU 262, a steering control ECU 263, an engine control ECU 264, a camera 265, a GPS sensor 266, an acceleration sensor 267, and an MPU (Map Processing Unit) 268. The information system network 270 is connected to a wireless communication device 271, a user switch 272, a display device 273, and a navigation system 274.

なお、制御系ネットワーク250に接続されている各機器、アシスト系ネットワーク260に接続されている各機器、および情報系ネットワーク270に接続されている各機器は、GW装置240を介して車載セキュリティ装置111と接続されている。また、モバイルルータ280は、無線通信装置271を介して車載セキュリティ装置111と無線接続されている。 The devices connected to the control network 250, the devices connected to the assist network 260, and the devices connected to the information network 270 are connected to the in-vehicle security device 111 via the GW device 240. The mobile router 280 is also wirelessly connected to the in-vehicle security device 111 via the wireless communication device 271.

ステアリングECU251は、車両110のユーザによるステアリング操作、または、ステアリング制御ECU263から送信されるステアリング制御命令に応じて、車両110の操舵機構を制御して車両110の進行方向を制御する。ブレーキECU252は、車両110のユーザによるブレーキ操作、または、ブレーキ制御ECU262から送信されるブレーキ制御命令に応じて、車両110のブレーキを制御して減速制御する。エンジンECU253は、車両110の走行状態、または、エンジン制御ECU264から送信されるエンジン制御命令に応じて、車両110のエンジンを制御して車両110の速度を制御する。これらの機器により、車両110の走行が制御される。 The steering ECU 251 controls the steering mechanism of the vehicle 110 to control the traveling direction of the vehicle 110 in response to a steering operation by the user of the vehicle 110 or a steering control command transmitted from the steering control ECU 263. The brake ECU 252 controls the brakes of the vehicle 110 to control deceleration in response to a braking operation by the user of the vehicle 110 or a brake control command transmitted from the brake control ECU 262. The engine ECU 253 controls the engine of the vehicle 110 to control the speed of the vehicle 110 in response to the running state of the vehicle 110 or an engine control command transmitted from the engine control ECU 264. The running of the vehicle 110 is controlled by these devices.

ADAS ECU261は、車両110の内外の情報から車両110の加速、車両110の減速、車両110の停止等を判断し、判断した結果を用いて車両110のアシスト機能を実現する。ADAS ECU261は、カメラ265から取得した画像、GPSセンサ266から取得した車両110の位置、MPU268が保持する地図情報等を参照して、車両110の挙動を決定する。そして、ADAS ECU261は、ブレーキ制御ECU262、ステアリング制御ECU263、およびエンジン制御ECU264に対して、決定した車両110の挙動に応じた制御命令をそれぞれ出力するように指示する。 The ADAS ECU 261 determines the acceleration, deceleration, and stoppage of the vehicle 110 from information inside and outside the vehicle 110, and realizes the assist function of the vehicle 110 using the determined results. The ADAS ECU 261 determines the behavior of the vehicle 110 by referring to images acquired from the camera 265, the position of the vehicle 110 acquired from the GPS sensor 266, map information held by the MPU 268, and the like. The ADAS ECU 261 then instructs the brake control ECU 262, steering control ECU 263, and engine control ECU 264 to each output a control command according to the determined behavior of the vehicle 110.

ブレーキ制御ECU262は、ADAS ECU261の指示に応じて、ブレーキECU252に対してブレーキ強度を含むブレーキ制御命令を送信する。ステアリング制御ECU263は、ADAS ECU261の指示に応じて、ステアリングECU251に対してステアリングの操作角度を含むステアリング制御命令を送信する。エンジン制御ECU264は、ADAS ECU261の指示に応じて、エンジンECU253に対してエンジンの回転数を含むエンジン制御命令を送信する。カメラ265は、車両110の周囲を撮影した画像をADAS ECU261に出力する。GPSセンサ266は、衛星から信号を受信して車両110の位置を測位する。加速度センサ267は、車両110の前後方向の加速度および車両110の左右方向の加速度を検知する。MPU268は、車両110周辺の道路形状等の地図情報を保持する。当該地図情報は、ADAS ECU261がアシスト機能に用いる地図情報である。これらの機器により、車両110のアシスト機能が実行される。 The brake control ECU 262 transmits a brake control command including a brake strength to the brake ECU 252 in response to an instruction from the ADAS ECU 261. The steering control ECU 263 transmits a steering control command including a steering operation angle to the steering ECU 251 in response to an instruction from the ADAS ECU 261. The engine control ECU 264 transmits an engine control command including an engine speed to the engine ECU 253 in response to an instruction from the ADAS ECU 261. The camera 265 outputs an image of the surroundings of the vehicle 110 to the ADAS ECU 261. The GPS sensor 266 receives a signal from a satellite and measures the position of the vehicle 110. The acceleration sensor 267 detects the acceleration in the forward/rearward direction and the acceleration in the left/right direction of the vehicle 110. The MPU 268 holds map information such as the road shape around the vehicle 110. This map information is used by the ADAS ECU 261 for the assist function. These devices execute the assist function of the vehicle 110.

無線通信装置271は、車載セキュリティ装置111に接続されており、路側器120との間で、直接、またはモバイルルータ280を介して無線通信する。ユーザスイッチ272は、車両110のユーザによる所定の入力操作を検知する。車両110のユーザは、例えば、車両110のアシスト機能を、無効から有効に、または、有効から無効に、切り替える際に、ユーザスイッチ272を使用する。表示装置273は、液晶モニタ等であり、ユーザに対して種々の情報を表示する。例えば、車両110においてアシスト機能が有効になっている場合は、アシスト機能が有効であることを表示装置273に表示することで、ユーザが車両110の状態を把握できるようにする。ナビゲーションシステム274は、道路形状等の地図情報を保持しており、ユーザまたはADAS ECU261からの要求等に応じて、車両110周辺の地図情報を提供する。これらの機器により、車両110のユーザに対するユーザインタフェースが提供される。 The wireless communication device 271 is connected to the in-vehicle security device 111, and wirelessly communicates with the roadside device 120 directly or via the mobile router 280. The user switch 272 detects a predetermined input operation by the user of the vehicle 110. The user of the vehicle 110 uses the user switch 272, for example, when switching the assist function of the vehicle 110 from disabled to enabled, or from enabled to disabled. The display device 273 is a liquid crystal monitor or the like, and displays various information to the user. For example, when the assist function is enabled in the vehicle 110, the display device 273 displays that the assist function is enabled, so that the user can understand the state of the vehicle 110. The navigation system 274 holds map information such as road shapes, and provides map information around the vehicle 110 in response to a request from the user or the ADAS ECU 261. These devices provide a user interface for the user of the vehicle 110.

図3は、路側器120および攻撃対策装置130のハードウェア構成の一例を示す図である。路側器120と攻撃対策装置130とは、ネットワーク101を介して接続されている。 Figure 3 is a diagram showing an example of the hardware configuration of the roadside unit 120 and the attack countermeasure device 130. The roadside unit 120 and the attack countermeasure device 130 are connected via a network 101.

路側器120は、無線送受信部310および路側器制御部320を備える。無線送受信部310は、車両110の情報と、攻撃対策装置130の情報とを送受信する。無線送受信部310は、無線信号を送受信することにより、車両110に搭載された車載セキュリティ装置111と通信する。路側器制御部320は、路側器120を制御する。路側器制御部320は、ネットワーク101に接続されていて、ネットワーク101を介して攻撃対策装置130と通信する。また、路側器制御部320は、無線送受信部310を制御して、攻撃対策装置130から受信した情報を車両110に送信したり、車両110から受信した情報を攻撃対策装置130に送信したりする。 The roadside unit 120 includes a wireless transceiver unit 310 and a roadside unit control unit 320. The wireless transceiver unit 310 transmits and receives information about the vehicle 110 and information about the attack countermeasure device 130. The wireless transceiver unit 310 communicates with the in-vehicle security device 111 mounted on the vehicle 110 by transmitting and receiving wireless signals. The roadside unit control unit 320 controls the roadside unit 120. The roadside unit control unit 320 is connected to the network 101 and communicates with the attack countermeasure device 130 via the network 101. The roadside unit control unit 320 also controls the wireless transceiver unit 310 to transmit information received from the attack countermeasure device 130 to the vehicle 110 and to transmit information received from the vehicle 110 to the attack countermeasure device 130.

攻撃対策装置130は、記憶装置330、CPU340、およびメモリ部350を備える。記憶装置330は、例えば、フラッシュメモリ、HDDのような不揮発性の記憶装置を用いて構成されている。CPU340は、記憶装置330が保持する情報と、路側器120から受信した情報とを用いて、メモリ部350でプログラムを実行させることにより、例えば、車両110において検知された攻撃に対する対策を検討する。メモリ部350は、CPU340がプログラムを実行する際に利用する主記憶装置である。 The attack countermeasure device 130 includes a storage device 330, a CPU 340, and a memory unit 350. The storage device 330 is configured using a non-volatile storage device such as a flash memory or a HDD. The CPU 340 uses information stored in the storage device 330 and information received from the roadside unit 120 to execute a program in the memory unit 350, thereby considering countermeasures against an attack detected in the vehicle 110, for example. The memory unit 350 is a main storage device used by the CPU 340 when executing the program.

CPU340は、送受信情報処理部341、攻撃情報生成部342、および対策管理部343を機能的に備える。すなわち、攻撃対策装置130の機能(送受信情報処理部341等)は、CPU340が実行するプログラムによってソフトウェア的に実現される。なお、攻撃対策装置130の機能を、例えば、FPGAのような電子回路等によって実現してもよい。攻撃対策装置130の1つの機能は、複数の機能に分けられていてもよいし、複数の機能は、1つの機能にまとめられていてもよい。また、攻撃対策装置130の機能の一部は、別の機能として設けられてもよいし、他の機能に含められていてもよい。また、攻撃対策装置130の機能の一部は、攻撃対策装置130と通信可能な他のコンピュータにより実現されてもよい。 The CPU 340 functionally comprises a transmission/reception information processing unit 341, an attack information generating unit 342, and a countermeasure management unit 343. That is, the functions of the attack countermeasure device 130 (such as the transmission/reception information processing unit 341) are realized in software by a program executed by the CPU 340. The functions of the attack countermeasure device 130 may be realized by an electronic circuit such as an FPGA. One function of the attack countermeasure device 130 may be divided into multiple functions, or multiple functions may be combined into one function. In addition, some of the functions of the attack countermeasure device 130 may be provided as a separate function, or may be included in another function. In addition, some of the functions of the attack countermeasure device 130 may be realized by another computer that can communicate with the attack countermeasure device 130.

図4は、車載セキュリティ装置111の機能構成の一例を示す図である。記憶装置210は、ログ情報記憶部410、車両構成情報記憶部420、攻撃情報記憶部430、および対策情報記憶部440を備える。なお、各記憶部は、データベースであってもよい。 Figure 4 is a diagram showing an example of the functional configuration of the in-vehicle security device 111. The storage device 210 includes a log information storage unit 410, a vehicle configuration information storage unit 420, an attack information storage unit 430, and a countermeasure information storage unit 440. Each storage unit may be a database.

GW装置240は、各ネットワーク間で通信の中継を行う。例えば、GW装置240は、アシスト系ネットワーク260のブレーキ制御ECU262から制御系ネットワーク250のブレーキECU252に送信されるブレーキ制御指示を、これらのネットワーク間で転送する。同一ネットワーク内の機器間および異なるネットワークの機器間では、車両情報パケットにより通信が行われる。GW装置240は、各機器間で送受信される車両情報パケットを受信すると、その車両情報パケットに含まれる情報をログ情報411としてログ情報記憶部410に記憶(例えば、追記)する。すなわち、ログ情報記憶部410には、車両情報パケットに含まれる情報が時系列順にログ情報411として格納される。 The GW device 240 relays communications between the networks. For example, the GW device 240 transfers brake control instructions sent from the brake control ECU 262 of the assist system network 260 to the brake ECU 252 of the control system network 250 between these networks. Communication is performed between devices in the same network and between devices in different networks using vehicle information packets. When the GW device 240 receives a vehicle information packet transmitted and received between the devices, it stores (e.g., appends) the information contained in the vehicle information packet as log information 411 in the log information storage unit 410. That is, the information contained in the vehicle information packet is stored in chronological order in the log information storage unit 410 as log information 411.

ログ管理部221は、所定のタイミングで、ログ情報記憶部410から、攻撃情報記憶部430に記憶されている攻撃情報431に関連するログ情報411を抽出し、抽出したログ情報411を攻撃対策装置130に送信したり、ログ情報記憶部410に保存したりする。ログ情報411が攻撃情報431に関連しているか否かは、例えば、ログ情報411のログ内容と攻撃情報431の検知内容とが一致するか否かで判定される。所定のタイミング、定期的、攻撃検知部224が攻撃を検知したとき、ログ情報記憶部410に割当てられた記憶装置210の記憶容量が予め規定された容量を超えたとき等である。 The log management unit 221 extracts log information 411 related to the attack information 431 stored in the attack information storage unit 430 from the log information storage unit 410 at a predetermined timing, and transmits the extracted log information 411 to the attack countermeasure device 130 or stores it in the log information storage unit 410. Whether the log information 411 is related to the attack information 431 is determined, for example, by whether the log content of the log information 411 matches the detection content of the attack information 431. At a predetermined timing, periodically, when the attack detection unit 224 detects an attack, when the storage capacity of the storage device 210 assigned to the log information storage unit 410 exceeds a predetermined capacity, etc.

初期設定部222は、無線通信装置271を用いて路側器120と通信し、路側器120を介して、車両構成情報421を攻撃対策装置130に送信する。攻撃管理部223は、攻撃対策装置130により送信された車両構成情報421に対応する攻撃情報431を受信する。攻撃管理部223は、受信した攻撃情報431を攻撃情報記憶部430に記憶する。なお、初期設定部222は、攻撃管理部223に含まれていてもよい。 The initial setting unit 222 communicates with the roadside unit 120 using the wireless communication device 271, and transmits the vehicle configuration information 421 to the attack countermeasure device 130 via the roadside unit 120. The attack management unit 223 receives attack information 431 corresponding to the vehicle configuration information 421 transmitted by the attack countermeasure device 130. The attack management unit 223 stores the received attack information 431 in the attack information storage unit 430. Note that the initial setting unit 222 may be included in the attack management unit 223.

攻撃検知部224は、攻撃情報記憶部430に格納されている攻撃情報431と、ログ情報記憶部410に格納されているログ情報411とに基づいて、車両110が備える機器に対する攻撃を検知する。攻撃検知部224は、攻撃を検知した場合、無線通信装置271を用いて路側器120と通信し、検知した攻撃に関連する攻撃検知情報450およびインシデント情報460を、路側器120を介して攻撃対策装置130に送信する。攻撃検知情報450およびインシデント情報460には、攻撃を検知した場所、攻撃を受けた機器のソフトウェアのバージョン、攻撃の原因、攻撃の検知日時等が含まれる。また、攻撃検知部224は、攻撃を検知した場合、攻撃を検知した旨の通知を警告処理部226に出力する。警告処理部226は、表示装置273等を通じてユーザに警告を表示する。 The attack detection unit 224 detects an attack on the equipment of the vehicle 110 based on the attack information 431 stored in the attack information storage unit 430 and the log information 411 stored in the log information storage unit 410. When the attack detection unit 224 detects an attack, it communicates with the roadside unit 120 using the wireless communication device 271, and transmits attack detection information 450 and incident information 460 related to the detected attack to the attack countermeasure device 130 via the roadside unit 120. The attack detection information 450 and incident information 460 include the location where the attack was detected, the software version of the attacked equipment, the cause of the attack, the date and time of the attack detection, etc. When the attack detection unit 224 detects an attack, it outputs a notification that the attack has been detected to the warning processing unit 226. The warning processing unit 226 displays a warning to the user via the display device 273, etc.

対策処理部225は、無線通信装置271を用いて路側器120と通信し、路側器120を介して攻撃対策装置130から、攻撃検知部224により検知された攻撃に対する対策の対策情報441を受信する。策処理部225は、受信した対策情報441を対策情報記憶部440に記憶する。対策情報441は、攻撃を受けた機器に対する対策を実施するための情報である。対策情報441には、例えば、攻撃を受けた機器で動作するソフトウェアのバックデート命令、設定ファイル等が含まれる。 The countermeasure processing unit 225 communicates with the roadside unit 120 using the wireless communication device 271, and receives countermeasure information 441 of countermeasures against an attack detected by the attack detection unit 224 from the attack countermeasure device 130 via the roadside unit 120. The countermeasure processing unit 225 stores the received countermeasure information 441 in the countermeasure information storage unit 440. The countermeasure information 441 is information for implementing countermeasures against an attacked device. The countermeasure information 441 includes, for example, backdate commands and configuration files for software running on the attacked device.

図5は、攻撃対策装置130の機能構成の一例を示す図である。記憶装置330は、ログ情報記憶部510、車載構成情報記憶部520、攻撃情報記憶部530、対策情報記憶部540、および脆弱性情報記憶部550を備える。なお、各記憶部は、データベースであってもよい。 Figure 5 is a diagram showing an example of the functional configuration of the attack countermeasure device 130. The storage device 330 includes a log information storage unit 510, a vehicle configuration information storage unit 520, an attack information storage unit 530, a countermeasure information storage unit 540, and a vulnerability information storage unit 550. Each storage unit may be a database.

送受信情報処理部341は、路側器120から情報を受信したり、路側器120に情報を送信したりする。例えば、送受信情報処理部341は、車両110から送信されたログ情報411を、路側器120を介して受信する。送受信情報処理部341は、車両110から受信したログ情報411を、ログ情報記憶部510に記憶する。 The transmission/reception information processing unit 341 receives information from the roadside unit 120 and transmits information to the roadside unit 120. For example, the transmission/reception information processing unit 341 receives log information 411 transmitted from the vehicle 110 via the roadside unit 120. The transmission/reception information processing unit 341 stores the log information 411 received from the vehicle 110 in the log information storage unit 510.

攻撃情報生成部342は、車両110が備える機器の構成、当該機器のソフトウェアのバージョン等の情報を含む車両構成情報421を受信すると、攻撃情報記憶部530から、車両110に応じた機器の構成と当該機器のソフトウェアのバージョンとに対する攻撃情報431を取り出し、送受信情報処理部341を介して車両110に送信する。 When the attack information generation unit 342 receives vehicle configuration information 421 including information such as the configuration of the equipment equipped in the vehicle 110 and the software version of the equipment, the attack information generation unit 342 extracts attack information 431 against the equipment configuration and software version of the equipment corresponding to the vehicle 110 from the attack information storage unit 530, and transmits it to the vehicle 110 via the transmission/reception information processing unit 341.

対策管理部343は、受信した攻撃検知情報450に基づいて、対策情報記憶部540から、攻撃検知部224により検知された攻撃に対応する対策情報441を取得し、取得した対策情報441を、送受信情報処理部341を介して車両110に送信する。また、対策管理部343は、車載構成情報記憶部520の車載構成情報を取り出し、脆弱性情報記憶部550から車載構成情報に対する脆弱性情報を取り出す。対策管理部343は、当該脆弱性情報に一致する攻撃をログ情報記憶部510から検索し、見つけた場合、脆弱性情報を防ぐ対策情報441を生成し、対策情報記憶部540に記憶する。対策管理部343は、送受信情報処理部341を介して、生成した対策情報441を車両110に送信してもよい。なお、脆弱性情報については、CVE(Common Vulnerabilities and Exposures)、CWE(Common Weakness Enumeration)といった一般的に普及している情報を利用してもよく、脆弱性情報記憶部550については、図示および説明を省略する。 Based on the received attack detection information 450, the countermeasure management unit 343 acquires countermeasure information 441 corresponding to the attack detected by the attack detection unit 224 from the countermeasure information storage unit 540, and transmits the acquired countermeasure information 441 to the vehicle 110 via the transmission/reception information processing unit 341. The countermeasure management unit 343 also extracts the vehicle configuration information from the vehicle configuration information storage unit 520, and extracts vulnerability information for the vehicle configuration information from the vulnerability information storage unit 550. The countermeasure management unit 343 searches the log information storage unit 510 for an attack that matches the vulnerability information, and if found, generates countermeasure information 441 for preventing the vulnerability information and stores it in the countermeasure information storage unit 540. The countermeasure management unit 343 may transmit the generated countermeasure information 441 to the vehicle 110 via the transmission/reception information processing unit 341. In addition, commonly available information such as CVE (Common Vulnerabilities and Exposures) and CWE (Common Weakness Enumeration) may be used as vulnerability information, and illustration and description of the vulnerability information storage unit 550 will be omitted.

次に、図6A、図6B、および図6Cを用いて、攻撃を示す攻撃情報431について説明する。以下では、1つの攻撃は、当該攻撃を構成する段階(攻撃段階)における攻撃(攻撃シナリオ要素)を組合わせた攻撃シナリオとして説明する。図6Cに、攻撃情報431の一例である攻撃シナリオ600を示す。攻撃シナリオ600は、最初の攻撃段階から最後の攻撃段階に至るまでの攻撃シナリオ要素が発生する順序を記した情報を含む。なお、最後の攻撃段階の攻撃シナリオ要素を「インシデント」と記すことがある。 Next, attack information 431 indicating an attack will be described using Figures 6A, 6B, and 6C. In the following, one attack will be described as an attack scenario that combines attacks (attack scenario elements) in stages (attack stages) that make up the attack. Figure 6C shows an attack scenario 600, which is an example of attack information 431. Attack scenario 600 includes information describing the order in which attack scenario elements occur from the first attack stage to the final attack stage. Note that the attack scenario element in the final attack stage may be referred to as an "incident."

図6Aは、攻撃シナリオ600の攻撃段階(階層)を示す図である。図6Bは、無線通信装置271における7個の脆弱性同士の関連性を示す図である。図6Cは、攻撃シナリオ600の詳細を示す図である。なお、脆弱性とは、攻撃を受ける可能性のある、ソフトウェア、ハードウェア等の瑕疵である。 Figure 6A is a diagram showing the attack stages (hierarchies) of the attack scenario 600. Figure 6B is a diagram showing the relationships between seven vulnerabilities in the wireless communication device 271. Figure 6C is a diagram showing the details of the attack scenario 600. Note that a vulnerability is a defect in software, hardware, etc. that may be subject to attack.

攻撃シナリオ600は、攻撃段階601、脆弱性ID602、攻撃手法603、検知場所604、および検知内容605の各情報を含む。 The attack scenario 600 includes information on the attack stage 601, vulnerability ID 602, attack method 603, detection location 604, and detection content 605.

攻撃段階601は、車両110に対する攻撃の段階を示す。例えば、図6Aでは、4つの攻撃段階を示している。攻撃準備、攻撃、インストール、遠隔操作の各攻撃段階を規定しており、4つ目の攻撃段階の遠隔操作の攻撃が成功すると、車両110が操作されて、ユーザへの影響が顕在化することを示している。この攻撃シナリオ600においては、攻撃段階が進むにつれて攻撃の危険性があがることが示されており、各攻撃段階の攻撃手法が実行されて成功すると、次の攻撃段階に進んでていく。 Attack stage 601 indicates the stage of an attack on vehicle 110. For example, FIG. 6A shows four attack stages. Each attack stage is defined as attack preparation, attack, installation, and remote control, and if the remote control attack in the fourth attack stage is successful, the vehicle 110 will be operated and the impact on the user will become apparent. In this attack scenario 600, it is shown that the risk of an attack increases as the attack stage progresses, and when the attack method in each attack stage is executed and successful, the attack progresses to the next attack stage.

脆弱性ID602は、既に顕在化している攻撃対象の脆弱性を一意に特定可能な番号を示す。例えば、ソフトウェアのバージョン等のすでにある条件化で、攻撃に対して影響あるソフトウェアが発見されており、その脆弱性が突き止められている事例に番号をつけたものである。図6Cでは、例えば、アクセス制限不備の脆弱性について脆弱性ID「CWE-284」が一意に特定可能な番号として設定されている。 Vulnerability ID 602 indicates a number that can uniquely identify a vulnerability that is already a target of attack. For example, a number is assigned to a case where software that is susceptible to an attack has been discovered under existing conditions such as a software version, and the vulnerability has been identified. In FIG. 6C, for example, the vulnerability ID "CWE-284" is set as a uniquely identifiable number for a vulnerability due to inadequate access restrictions.

攻撃手法603は、脆弱性ID602の脆弱性に対して攻撃する手法を示す。例えば、アクセス制限不備の脆弱性に対しては無線通信装置271の番号にSMSメッセージを送信する攻撃手法が既に発見されている。検知場所604は、脆弱性ID602の脆弱性に対して攻撃を検知する場所を示す。例えば、脆弱性ID602「CWE-284」のアクセス制限不備の攻撃を検知する場所は、無線通信装置271であることを示す。検知内容605は、脆弱性ID602の脆弱性に対して攻撃を検知する方法を示す。例えば、脆弱性ID602「CWE-284」のアクセス制限不備の攻撃は、事前登録リスト以外の電話番号からのアクセスにより検知できる。 Attack method 603 indicates a method of attacking the vulnerability of vulnerability ID 602. For example, an attack method of sending an SMS message to the number of wireless communication device 271 has already been discovered for the vulnerability of inadequate access restrictions. Detection location 604 indicates a location where an attack on the vulnerability of vulnerability ID 602 is detected. For example, it indicates that the location where an attack on the vulnerability of vulnerability ID 602 "CWE-284" is detected is wireless communication device 271. Detection content 605 indicates a method of detecting an attack on the vulnerability of vulnerability ID 602. For example, an attack on the vulnerability of inadequate access restrictions for vulnerability ID 602 "CWE-284" can be detected by access from a phone number other than the pre-registration list.

以下では、無線通信装置271に存在する7個の脆弱性のうち4個の脆弱性を使用した攻撃を例に挙げて説明する。より具体的には、無線通信装置271が無線通信を利用して受信したSMSメッセージにより無線通信装置271の設定ファイルが書き換えられることで、不正なサーバ装置からのソフトウェア更新を無線通信装置271において実施され、その結果、無線通信装置271が悪意のある第三者から遠隔で不正に制御された場合の例を示している。この例では、1つの攻撃シナリオ600を攻撃シナリオ要素A1~攻撃シナリオ要素A4に分け、それぞれの攻撃段階での脆弱性を利用して攻撃シナリオ600に示される攻撃が実現されるケースを示している。 The following describes an example of an attack that uses four of the seven vulnerabilities present in wireless communication device 271. More specifically, this shows an example in which the configuration file of wireless communication device 271 is rewritten by an SMS message received by wireless communication device 271 using wireless communication, causing software updates from an unauthorized server device to be performed in wireless communication device 271, resulting in wireless communication device 271 being remotely and unauthorizedly controlled by a malicious third party. This example shows a case in which one attack scenario 600 is divided into attack scenario elements A1 to A4, and the attack shown in attack scenario 600 is realized by exploiting vulnerabilities at each attack stage.

図6Aに示すように、攻撃シナリオ要素A1は、攻撃の準備段階に相当する。攻撃の準備段階では、悪意のある第三者は、SMSメッセージによる脆弱性の存在を把握すると、該当する脆弱性を有する車両110を探すために、ランダムな電話番号に向けてSMSメッセージを発信する。このとき、車載セキュリティ装置111は、事前に設定された番号リストと異なる電話番号からの発信を無線通信装置271が受信したことを検知することで、無線通信装置271に対するアクセスポリシー違反としての攻撃を検知する。 As shown in FIG. 6A, attack scenario element A1 corresponds to the preparation stage of an attack. In the preparation stage of an attack, when a malicious third party becomes aware of the existence of a vulnerability due to an SMS message, the malicious third party sends an SMS message to a random telephone number in order to search for a vehicle 110 having the corresponding vulnerability. At this time, the in-vehicle security device 111 detects that the wireless communication device 271 has received a call from a telephone number different from a pre-set number list, thereby detecting an attack against the wireless communication device 271 as a violation of the access policy.

攻撃シナリオ要素A2は、攻撃の開始段階に相当する。攻撃の開始段階では、無線通信装置271の脆弱性を確認した攻撃者が、SMSメッセージにより無線通信装置271に対して不正プログラムを送信し、攻撃を開始する。無線通信装置271が不正プログラムを受信し、無線通信装置271の設定が変更されると、規定のサーバ装置からの規定のプログラムのみダウンロードを許可する設定となっているアクセス制御が解除される。このとき、車載セキュリティ装置111は、無線通信装置271において許可なくアクセス制御を実施している設定ファイルの更新が行われたことを検知することで、無線通信装置271に対するセキュリティポリシー違反としての攻撃を検知する。 Attack scenario element A2 corresponds to the start of the attack. In the start of the attack, an attacker who has confirmed the vulnerability of the wireless communication device 271 sends a malicious program to the wireless communication device 271 via an SMS message and starts the attack. When the wireless communication device 271 receives the malicious program and the settings of the wireless communication device 271 are changed, the access control that is set to allow downloading of only specified programs from specified server devices is released. At this time, the in-vehicle security device 111 detects that the setting file that implements the access control in the wireless communication device 271 has been updated without permission, and thereby detects an attack on the wireless communication device 271 as a violation of the security policy.

攻撃シナリオ要素A3は、攻撃のインストール段階に相当する。攻撃のインストール段階では、攻撃者が無線通信装置271に不正なサーバ装置からのファイルをダウンロードさせる。このとき、車載セキュリティ装置111は、無線通信装置271におけるプログラムのインストール権限の変更、不正インストールの検知、不正なサーバ装置へのアクセス等が行われたことを検知することで、無線通信装置271に対するセキュリティポリシー違反としての攻撃を検知する。 Attack scenario element A3 corresponds to the installation stage of the attack. In the installation stage of the attack, the attacker makes the wireless communication device 271 download a file from an unauthorized server device. At this time, the in-vehicle security device 111 detects an attack on the wireless communication device 271 as a violation of the security policy by detecting changes to the program installation authority in the wireless communication device 271, detection of unauthorized installation, access to an unauthorized server device, etc.

攻撃シナリオ要素A4は、攻撃の遠隔操作段階に相当する。攻撃の遠隔操作段階では、攻撃者が無線通信装置271に不正なサーバ装置からダウンロードしたファイルを実行させることで、無線通信装置271からGW装置240に向けて不正な通信を実施させる。このとき、車載セキュリティ装置111は、無線通信装置271からGW装置240への不正制御命令の送信、不正なタイミングでのアクセスが行われたことを検知することで、無線通信装置271に対するアクセスポリシー違反としての攻撃を検知する。 Attack scenario element A4 corresponds to the remote control stage of the attack. In the remote control stage of the attack, the attacker causes the wireless communication device 271 to execute a file downloaded from an unauthorized server device, causing the wireless communication device 271 to perform unauthorized communication with the GW device 240. At this time, the in-vehicle security device 111 detects the transmission of unauthorized control commands from the wireless communication device 271 to the GW device 240 and the access at an unauthorized time, thereby detecting the attack as a violation of the access policy against the wireless communication device 271.

ここで、攻撃シナリオ600で利用される脆弱性には相互に因果関係があり、ある攻撃シナリオ要素を実現するためには、前段の攻撃シナリオ要素が実現済みである必要がある。そのため、車両セキュリティシステム100では、車載セキュリティ装置111において、相互に関連し合う脆弱性を階層的に示した様々な攻撃シナリオ600を記憶した攻撃情報記憶部430を備えている。例えば、車載セキュリティ装置111の対策処理部225は、攻撃検知部224により攻撃が検知されると、攻撃情報記憶部430に基づいて検知した攻撃に関連する脆弱性を特定し、その脆弱性を有する機器に対して暫定対処を行う。これにより、車両110で発生した攻撃に対して、適切な機器への暫定対処を速やかに実施できるようにしている。 Here, the vulnerabilities used in the attack scenario 600 are mutually causally related, and in order to realize a certain attack scenario element, the preceding attack scenario element must have already been realized. For this reason, in the vehicle security system 100, the in-vehicle security device 111 is provided with an attack information storage unit 430 that stores various attack scenarios 600 that hierarchically show vulnerabilities that are mutually related. For example, when an attack is detected by the attack detection unit 224, the countermeasure processing unit 225 of the in-vehicle security device 111 identifies a vulnerability related to the detected attack based on the attack information storage unit 430, and takes provisional measures against the equipment having the vulnerability. This makes it possible to quickly implement provisional measures against appropriate equipment in response to an attack that occurs in the vehicle 110.

なお、図6Cに示す攻撃シナリオ600は、一例であり、他にも様々な攻撃を車載セキュリティ装置111において検知可能である。また、攻撃シナリオ600は、車両110に搭載された機器毎に用意されてもよい。 Note that the attack scenario 600 shown in FIG. 6C is just an example, and various other attacks can be detected by the in-vehicle security device 111. In addition, the attack scenario 600 may be prepared for each device installed in the vehicle 110.

図7は、ログ情報記憶部410の一例(ログ情報テーブル700)を示す図である。なお、ログ情報記憶部510については、ログ情報記憶部410と同じデータ構成であるので、図示および説明を省略する。 Figure 7 is a diagram showing an example of the log information storage unit 410 (log information table 700). Note that the log information storage unit 510 has the same data structure as the log information storage unit 410, so illustration and description are omitted.

ログ情報テーブル700は、ログ情報番号701、日時702、機器種別703、およびログ内容704の各情報を記憶する。ログ情報番号701は、ログ情報411を一意に特定可能な番号を示す。日時702は、ログ情報411が取得された日時を示す。機器種別703は、ログ情報411の生成に用いられた車両情報パケットを送信した機器の種別を示す。ログ内容704は、ログ情報411の内容を示す。 The log information table 700 stores the following information: log information number 701, date and time 702, device type 703, and log content 704. The log information number 701 indicates a number that can uniquely identify the log information 411. The date and time 702 indicates the date and time when the log information 411 was acquired. The device type 703 indicates the type of device that transmitted the vehicle information packet used to generate the log information 411. The log content 704 indicates the content of the log information 411.

図8は、車両構成情報記憶部420の一例(車両構成情報テーブル800)を示す図である。車両構成情報テーブル800は、車種ID801、車両ID802、機器種別803、NWドメイン804、およびソフトウェアバージョン805の各情報を記憶する。車種ID801は、車両110の車種を識別可能な情報を示す。車両ID802は、車両110を識別可能な情報を示す。機器種別803は、車両110に搭載されている機器の種別を示す。NWドメイン804は、車両110に搭載されている機器が接続されているネットワークを示す。ソフトウェアバージョン805は、車両110に搭載されている機器のソフトウェアのバージョンを示す。 Figure 8 is a diagram showing an example of the vehicle configuration information storage unit 420 (vehicle configuration information table 800). The vehicle configuration information table 800 stores each piece of information: vehicle model ID 801, vehicle ID 802, device type 803, NW domain 804, and software version 805. The vehicle model ID 801 indicates information that can identify the vehicle model of the vehicle 110. The vehicle ID 802 indicates information that can identify the vehicle 110. The device type 803 indicates the type of device installed in the vehicle 110. The NW domain 804 indicates the network to which the device installed in the vehicle 110 is connected. The software version 805 indicates the version of the software of the device installed in the vehicle 110.

図9は、攻撃情報記憶部430の一例(攻撃シナリオテーブル900)を示す図である。攻撃シナリオテーブル900では、攻撃シナリオ600を構成する攻撃シナリオ要素ごとに、図9に示す情報が記憶されている。なお、攻撃情報記憶部530については、攻撃情報記憶部430と同じデータ構成であるので、図示および説明を省略する。 Figure 9 is a diagram showing an example of the attack information storage unit 430 (attack scenario table 900). In the attack scenario table 900, the information shown in Figure 9 is stored for each attack scenario element that constitutes the attack scenario 600. Note that the attack information storage unit 530 has the same data structure as the attack information storage unit 430, so illustrations and explanations are omitted.

攻撃シナリオテーブル900は、攻撃シナリオ番号901、攻撃シナリオ要素番号902、攻撃段階903、脆弱性ID904、攻撃手法905、検知場所906、検知内容907、および関連ソフトウェア情報908の各情報を記憶する。攻撃シナリオ番号901は、攻撃シナリオ600を一意に特定可能な番号を示す。攻撃シナリオ要素番号902は、攻撃段階903、脆弱性ID904、攻撃手法905、検知場所906、検知内容907等を含む攻撃(攻撃シナリオ要素)を一意に特定可能な番号を示す。 The attack scenario table 900 stores the following information: attack scenario number 901, attack scenario element number 902, attack stage 903, vulnerability ID 904, attack method 905, detection location 906, detection content 907, and related software information 908. The attack scenario number 901 indicates a number that can uniquely identify the attack scenario 600. The attack scenario element number 902 indicates a number that can uniquely identify an attack (attack scenario element) including the attack stage 903, vulnerability ID 904, attack method 905, detection location 906, detection content 907, etc.

攻撃段階903は、最初の攻撃段階から最後の攻撃段階までの攻撃段階のうち攻撃が進んでいる段階を示す。脆弱性ID904は、攻撃対象の脆弱性を一意に特定可能な番号を示す。攻撃手法905は、脆弱性を攻撃する際の攻撃手法を示す。検知場所906は、攻撃が検知できる場所を示す。検知内容907は、ログ情報411のうち攻撃を検知できる内容を示す。関連ソフトウェア情報908は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。関連ソフトウェア情報908は、製品種別、ベンダ名、製品名、バージョン、アップデートの有無、エディション、言語等の情報を含んでいる。関連ソフトウェア情報908は、ソフトウェアを特定できればよく、CPE(Common Platform Enumeration)等を用いてもよい。 Attack stage 903 indicates the stage at which the attack has progressed among the attack stages from the first attack stage to the last attack stage. Vulnerability ID 904 indicates a number that can uniquely identify the vulnerability of the target of attack. Attack method 905 indicates the attack method used when attacking the vulnerability. Detection location 906 indicates the location where the attack can be detected. Detection content 907 indicates the content in log information 411 where the attack can be detected. Related software information 908 indicates a number that can identify software having the vulnerability of the target of attack. Related software information 908 includes information such as product type, vendor name, product name, version, whether or not there is an update, edition, and language. Related software information 908 may be information that can identify the software, and CPE (Common Platform Enumeration) or the like may be used.

図10は、対策情報記憶部440の一例(対策情報テーブル1000)を示す図である。なお、対策情報記憶部540については、対策情報記憶部440と同じデータ構成であるので、図示および説明を省略する。 Figure 10 is a diagram showing an example of the countermeasure information storage unit 440 (countermeasure information table 1000). Note that the countermeasure information storage unit 540 has the same data structure as the countermeasure information storage unit 440, so illustration and description are omitted.

対策情報テーブル1000は、対策情報ID1001、脆弱性ID1002、攻撃手法1003、関連ソフトウェア情報1004、および対策1005の各情報を記憶する。対策情報ID1001は、対策情報441を一意に特定可能な番号を示す。脆弱性ID1002は、攻撃対象の脆弱性を一意に特定可能な番号を示す。攻撃手法1003は、脆弱性を攻撃する際の攻撃手法を示す。関連ソフトウェア情報1004は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。対策1005は、攻撃手法への対策を示す。対策1005には、攻撃手法を防止する対策、検知する手法がない、資産等に影響がない等の場合は、攻撃を許容し、あえて攻撃に対処しない対策等が含まれてもよい。 The countermeasure information table 1000 stores information on countermeasure information ID 1001, vulnerability ID 1002, attack method 1003, related software information 1004, and countermeasure 1005. The countermeasure information ID 1001 indicates a number that can uniquely identify the countermeasure information 441. The vulnerability ID 1002 indicates a number that can uniquely identify the vulnerability of the target of attack. The attack method 1003 indicates an attack method used when attacking the vulnerability. The related software information 1004 indicates a number that can identify software having the vulnerability of the target of attack. The countermeasure 1005 indicates a countermeasure against the attack method. The countermeasure 1005 may include measures to prevent the attack method, measures to allow the attack and not deal with the attack if there is no method to detect it, or there is no impact on assets, etc.

図11は、攻撃検知情報450の一例(攻撃検知情報テーブル1100)を示す図である。車載セキュリティ装置111は、ログ情報411から、最後の攻撃段階だけでなく、全ての攻撃段階を対象として攻撃を検知し、当該攻撃に関連する情報を収集した情報を攻撃検知情報450とする。攻撃対策装置130に攻撃検知情報450が通知された場合、攻撃対策装置130は、検知された攻撃シナリオ要素に該当する脆弱性に対して対策を検討する。 Figure 11 is a diagram showing an example of attack detection information 450 (attack detection information table 1100). The in-vehicle security device 111 detects attacks from all attack stages, not just the final attack stage, from the log information 411, and collects information related to the attack as attack detection information 450. When the attack detection information 450 is notified to the attack countermeasure device 130, the attack countermeasure device 130 considers countermeasures against vulnerabilities that correspond to the detected attack scenario elements.

攻撃検知情報テーブル1100は、攻撃検知情報ID1101、判定日時1102、インシデント判定結果1103、関連攻撃シナリオ番号1104、一致攻撃シナリオ要素番号1105、脆弱性ID1106、ログ情報番号1107、および関連ソフトウェア情報1108の各情報を記憶する。 The attack detection information table 1100 stores the following information: attack detection information ID 1101, judgment date and time 1102, incident judgment result 1103, related attack scenario number 1104, matching attack scenario element number 1105, vulnerability ID 1106, log information number 1107, and related software information 1108.

攻撃検知情報ID1101は、攻撃検知情報450を一意に特定可能な番号を示す。判定日時1102は、インシデントの判定が実施された日時を示す。インシデント判定結果1103は、インシデントが発生したか否かの判定結果を示す。インシデント判定結果1103には、インシデントが発生したと判定されたときは、「○」が設定され、それ以外は「×」が設定されている。 The attack detection information ID 1101 indicates a number that can uniquely identify the attack detection information 450. The judgment date and time 1102 indicates the date and time when the incident judgment was performed. The incident judgment result 1103 indicates the judgment result as to whether or not an incident has occurred. When it is judged that an incident has occurred, "○" is set in the incident judgment result 1103, and "×" is set otherwise.

関連攻撃シナリオ番号1104は、一致した攻撃シナリオ要素IDで構成される攻撃シナリオ600の攻撃シナリオ番号を示す。一致攻撃シナリオ要素番号1105は、ログ情報411と攻撃シナリオ600との一致および不一致を判定する際に、ログ情報411のログ内容と、攻撃シナリオ600の攻撃シナリオ要素の検知内容とが一致する攻撃シナリオ要素の攻撃シナリオ要素番号を示す。脆弱性ID1106は、攻撃対象の脆弱性を一意に特定可能な番号を示す。ログ情報番号1107は、攻撃シナリオ要素の検知内容と一致したログ情報411を一意に特定可能な番号を示す。関連ソフトウェア情報1108は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。 The related attack scenario number 1104 indicates the attack scenario number of the attack scenario 600 composed of the matching attack scenario element ID. The matching attack scenario element number 1105 indicates the attack scenario element number of the attack scenario element whose log content of the log information 411 matches the detection content of the attack scenario element of the attack scenario 600 when determining whether the log information 411 matches the detection content of the attack scenario element of the attack scenario 600 when determining whether the log information 411 matches the detection content of the attack scenario element. The vulnerability ID 1106 indicates a number that can uniquely identify the vulnerability of the target of attack. The log information number 1107 indicates a number that can uniquely identify the log information 411 that matches the detection content of the attack scenario element. The related software information 1108 indicates a number that can identify the software having the vulnerability of the target of attack.

図12は、インシデント情報460の一例(インシデント情報テーブル1200)を示す図である。車載セキュリティ装置111は、ログ情報411から、インシデントつまり攻撃段階「4」の攻撃を検知した際に、当該攻撃に関連した情報を収集した情報をインシデント情報460とする。攻撃対策装置130にインシデント情報460が通知された場合、攻撃対策装置130は、対策を実施することができないと判定したとき、該当する車両110の使用を停止し、ログ情報411を分析することで新しい対策を検討することがある。なお、車載セキュリティ装置111は、ログ情報411に優先度を設定し、ログ情報411をログ情報記憶部410に保存する必要が生じたときに、インシデント情報460に含まれるログ情報番号のログ情報411を優先して記憶してもよい。 Figure 12 is a diagram showing an example of incident information 460 (incident information table 1200). When the in-vehicle security device 111 detects an incident, that is, an attack of attack stage "4", from the log information 411, the in-vehicle security device 111 collects information related to the attack and sets it as incident information 460. When the attack countermeasure device 130 is notified of the incident information 460, if the attack countermeasure device 130 determines that countermeasures cannot be implemented, it may stop using the corresponding vehicle 110 and consider new countermeasures by analyzing the log information 411. Note that the in-vehicle security device 111 may set a priority for the log information 411, and when it becomes necessary to store the log information 411 in the log information storage unit 410, the log information 411 with the log information number included in the incident information 460 may be stored preferentially.

インシデント情報テーブル1200は、判定日時1201、攻撃シナリオ番号1202、検知判定1203、攻撃シナリオ要素番号1204、攻撃段階1205、脆弱性ID1206、攻撃手法1207、検知場所1208、ログ情報番号1209、および関連ソフトウェア情報1210の各情報を記憶する。 The incident information table 1200 stores the following information: judgment date and time 1201, attack scenario number 1202, detection judgment 1203, attack scenario element number 1204, attack stage 1205, vulnerability ID 1206, attack method 1207, detection location 1208, log information number 1209, and related software information 1210.

判定日時1201は、インシデントが判定された日時を示す。攻撃シナリオ番号1202は、インシデントに関連すると判定された攻撃シナリオ600の攻撃シナリオ番号を示す。検知判定1203は、インシデントに関連すると判定された攻撃シナリオ600をログ情報411と比較し、一致および不一致が判定された結果を示す。攻撃シナリオ要素番号1204は、攻撃段階1205、脆弱性ID1206、攻撃手法1207、検知場所1208等を含む攻撃を一意に特定可能な番号を示す。 The judgment date and time 1201 indicates the date and time when the incident was judged. The attack scenario number 1202 indicates the attack scenario number of the attack scenario 600 judged to be related to the incident. The detection judgment 1203 indicates the result of comparing the attack scenario 600 judged to be related to the incident with the log information 411 and judging whether there is a match or a mismatch. The attack scenario element number 1204 indicates a number that can uniquely identify the attack, including the attack stage 1205, the vulnerability ID 1206, the attack method 1207, the detection location 1208, etc.

攻撃段階1205は、最初の攻撃段階から最後の攻撃段階までの攻撃段階のうち攻撃が進んでいる段階を示す。脆弱性ID1206は、攻撃対象の脆弱性を一意に特定可能な番号を示す。攻撃手法1207は、脆弱性を攻撃する際の攻撃手法を示す。検知場所1208は、攻撃シナリオ要素番号1204が示す攻撃が検知できる場所を示す。ログ情報番号1209は、攻撃シナリオ要素の検知内容と一致したログ情報411を一意に特定可能な番号を示す。関連ソフトウェア情報1210は、攻撃対象の脆弱性を有するソフトウェアを特定可能な番号を示す。 Attack stage 1205 indicates the stage at which the attack has progressed among the attack stages from the first attack stage to the final attack stage. Vulnerability ID 1206 indicates a number that can uniquely identify the vulnerability of the target of attack. Attack method 1207 indicates the attack method used when attacking the vulnerability. Detection location 1208 indicates the location at which the attack indicated by attack scenario element number 1204 can be detected. Log information number 1209 indicates a number that can uniquely identify log information 411 that matches the detection content of the attack scenario element. Related software information 1210 indicates a number that can identify software having the vulnerability of the target of attack.

図13は、車載構成情報記憶部520の一例(車載構成テーブル1300)を示す図である。 Figure 13 shows an example of the vehicle configuration information storage unit 520 (vehicle configuration table 1300).

車載構成テーブル1300は、車種ID1301、機器種別1302、NWドメイン1303、およびソフトウェアバージョン1304の各情報を記憶する。車種ID1301は、車両110の車種を識別可能な情報を示す。機器種別1302は、車両110に搭載されている機器の種別を示す。NWドメイン1303は、車両110に搭載されている機器が接続されているネットワークを示す。ソフトウェアバージョン1304は、車両110に搭載されている機器のソフトウェアのバージョンを示す。 The vehicle configuration table 1300 stores information on vehicle model ID 1301, device type 1302, network domain 1303, and software version 1304. The vehicle model ID 1301 indicates information that can identify the vehicle model of the vehicle 110. The device type 1302 indicates the type of device installed in the vehicle 110. The network domain 1303 indicates the network to which the device installed in the vehicle 110 is connected. The software version 1304 indicates the version of the software of the device installed in the vehicle 110.

図14は、車載セキュリティ装置111のCPU220が実行する初期設定処理の一例を示す図である。初期設定処理は、CPU220において、車載セキュリティ装置111の起動時に実行される。 Figure 14 is a diagram showing an example of the initial setting process executed by the CPU 220 of the in-vehicle security device 111. The initial setting process is executed by the CPU 220 when the in-vehicle security device 111 is started up.

S1401において、CPU220は、今回の起動時(現在)の車両構成情報421をGW装置240から取得する。なお、GW装置240は、車両110に搭載されている機器から情報を収集し、現在の車両構成情報421を取得している。 At S1401, the CPU 220 acquires the vehicle configuration information 421 at the time of this startup (current) from the GW device 240. The GW device 240 collects information from the devices installed in the vehicle 110 and acquires the current vehicle configuration information 421.

S1402において、CPU220は、現在の車両構成情報421と、車両構成情報記憶部420に記憶している車両構成情報421(過去の車両構成情報421)とを比較し、現在の車両110の構成と過去の車両110の構成とに、変化があるか否かを判定する。CPU220は、車両110の構成に変化があると判定した場合、S1403に処理を移し、車両110の構成に変化がないと判定した場合、S1406に処理を移す。なお、車両110の構成とは、車両110に搭載されている機器のソフトウェア構成と、車両110に搭載されている機器のシステム構成との少なくとも1つの構成である。また、過去の車両構成情報421は、前回の起動時の車両構成情報421であったり、機器のソフトウェアの更新後の車両構成情報421であったりする。 In S1402, the CPU 220 compares the current vehicle configuration information 421 with the vehicle configuration information 421 (past vehicle configuration information 421) stored in the vehicle configuration information storage unit 420, and determines whether there has been a change between the current configuration of the vehicle 110 and the past configuration of the vehicle 110. If the CPU 220 determines that there has been a change in the configuration of the vehicle 110, it proceeds to S1403, and if it determines that there has been no change in the configuration of the vehicle 110, it proceeds to S1406. The configuration of the vehicle 110 refers to at least one of the software configuration of the equipment mounted on the vehicle 110 and the system configuration of the equipment mounted on the vehicle 110. The past vehicle configuration information 421 may be the vehicle configuration information 421 at the time of the previous startup, or the vehicle configuration information 421 after the software of the equipment has been updated.

S1403において、CPU220は、現在の車両構成情報421を攻撃対策装置130に送信し、当該車両構成情報421に対応する攻撃シナリオ600を要求(攻撃シナリオ要求)する。 At S1403, the CPU 220 transmits the current vehicle configuration information 421 to the attack countermeasure device 130 and requests the attack scenario 600 corresponding to the vehicle configuration information 421 (attack scenario request).

S1404において、CPU220は、攻撃対策装置130から攻撃シナリオ600を受信したか否かを判定する。CPU220は、攻撃シナリオ600を受信したと判定した場合、攻撃シナリオ600を攻撃情報記憶部430に記憶し、S1406に処理を移す。CPU220は、攻撃シナリオ600を受信していないと判定した場合、S1405に処理を移す。 In S1404, the CPU 220 determines whether or not the attack scenario 600 has been received from the attack countermeasure device 130. If the CPU 220 determines that the attack scenario 600 has been received, it stores the attack scenario 600 in the attack information storage unit 430 and proceeds to S1406. If the CPU 220 determines that the attack scenario 600 has not been received, it proceeds to S1405.

S1405において、CPU220は、攻撃対策装置130から攻撃シナリオ600を受信するまで、規定回数、攻撃シナリオ要求を送信(リトライ)する。 In S1405, the CPU 220 sends (retries) the attack scenario request a specified number of times until it receives the attack scenario 600 from the attack countermeasure device 130.

S1406において、CPU220は、車載セキュリティ装置111を起動し、初期設定処理を終了する。 At S1406, the CPU 220 starts the in-vehicle security device 111 and ends the initial setting process.

図15は、車両セキュリティシステム100において実行される一連の処理の一例を示す図である。まず、ログ情報411に係る処理について説明する。 Figure 15 is a diagram showing an example of a series of processes executed in the vehicle security system 100. First, the process related to the log information 411 will be described.

S1511において、GW装置240は、車両情報パケットからログ情報411を生成したとき、生成したログ情報411をログ情報記憶部410に記憶する。S1512において、GW装置240は、ログ情報411を車載セキュリティ装置111に送信する。 In S1511, when the GW device 240 generates the log information 411 from the vehicle information packet, the GW device 240 stores the generated log information 411 in the log information storage unit 410. In S1512, the GW device 240 transmits the log information 411 to the in-vehicle security device 111.

S1521において、車載セキュリティ装置111は、GW装置240からログ情報411を受信する。S1522において、車載セキュリティ装置111は、ログ情報411に攻撃に係る優先度を設定する。例えば、車載セキュリティ装置111は、ログ情報411のログ内容が、攻撃情報記憶部430に記憶されている攻撃シナリオ600の検知内容に関連(例えば、一致)するか否かを判定する。車載セキュリティ装置111は、関連すると判定した場合、関連すると判定した攻撃シナリオ600の攻撃段階を優先度として設定する。車載セキュリティ装置111は、関連しないと判定した場合、優先度が最も低い値(例えば、「0」)を設定する。なお、優先度については、攻撃シナリオの攻撃段階の大きさ、攻撃場所の重要度といった、攻撃の進捗、攻撃の影響等を示す情報を適宜に採用できる。なお、優先度については、ログ情報411に含められて記憶されてもよいし、優先度と当該優先度が設定されたログ情報411のログ情報番号とが対応付けられて記憶装置210に記憶されてもよい。 In S1521, the in-vehicle security device 111 receives the log information 411 from the GW device 240. In S1522, the in-vehicle security device 111 sets a priority related to the attack in the log information 411. For example, the in-vehicle security device 111 determines whether the log content of the log information 411 is related (for example, matches) to the detection content of the attack scenario 600 stored in the attack information storage unit 430. If the in-vehicle security device 111 determines that the log content is related, it sets the attack stage of the attack scenario 600 that is determined to be related as the priority. If the in-vehicle security device 111 determines that the attack scenario 600 is not related, it sets the priority to the lowest value (for example, "0"). Note that, as for the priority, information indicating the progress of the attack, the impact of the attack, etc., such as the size of the attack stage of the attack scenario and the importance of the attack location, can be appropriately adopted. Note that the priority may be included in the log information 411 and stored, or the priority may be associated with the log information number of the log information 411 to which the priority is set and stored in the storage device 210.

S1523において、車載セキュリティ装置111は、定期的に、優先度に基づいてログ情報411を攻撃対策装置130に送信する。例えば、車載セキュリティ装置111は、優先度が所定の値より大きい値が設定されているログ情報411を攻撃対策装置130に送信する。例えば、所定の値が「0」である場合、車載セキュリティ装置111は、攻撃に係るログ情報411をログ情報記憶部410から抽出して攻撃対策装置130に送信する。 In S1523, the in-vehicle security device 111 periodically transmits the log information 411 to the attack countermeasure device 130 based on the priority. For example, the in-vehicle security device 111 transmits to the attack countermeasure device 130 the log information 411 in which a priority value greater than a predetermined value is set. For example, if the predetermined value is "0", the in-vehicle security device 111 extracts the log information 411 related to the attack from the log information storage unit 410 and transmits it to the attack countermeasure device 130.

S1531において、攻撃対策装置130は、車載セキュリティ装置111から送信されたログ情報411をログ情報記憶部510に記憶する。 At S1531, the attack countermeasure device 130 stores the log information 411 transmitted from the in-vehicle security device 111 in the log information storage unit 510.

次に、車両110に搭載されている機器への攻撃に係る処理について説明する。S1524において、車載セキュリティ装置111は、定期的に、攻撃検知処理を実行する。攻撃検知処理では、攻撃が検知された場合、攻撃検知情報450が攻撃対策装置130に送信され、インシデントが検知された場合、インシデント情報460が攻撃対策装置130に送信される。攻撃検知処理については、図16を用いて後述する。 Next, the process related to attacks on devices mounted on the vehicle 110 will be described. In S1524, the in-vehicle security device 111 periodically executes an attack detection process. In the attack detection process, if an attack is detected, attack detection information 450 is sent to the attack countermeasure device 130, and if an incident is detected, incident information 460 is sent to the attack countermeasure device 130. The attack detection process will be described later with reference to FIG. 16.

S1532において、攻撃対策装置130は、攻撃検知情報450およびインシデント情報460を受信する。S1533において、攻撃対策装置130は、攻撃対策処理を実行する。攻撃対策処理では、攻撃への対策が検討され、当該攻撃に対する対策情報441が車載セキュリティ装置111に送信される。攻撃対策処理については、図17を用いて後述する。 At S1532, the attack countermeasure device 130 receives the attack detection information 450 and the incident information 460. At S1533, the attack countermeasure device 130 executes the attack countermeasure process. In the attack countermeasure process, countermeasures against the attack are considered, and countermeasure information 441 against the attack is transmitted to the in-vehicle security device 111. The attack countermeasure process will be described later with reference to FIG. 17.

S1525において、車載セキュリティ装置111は、攻撃対策装置130から対策情報441を受信し、対策情報441を対策情報記憶部440に記憶し、攻撃が検知された機器が対策情報441に基づく対策を実行するための対策指示を、GW装置240に送信する。 At S1525, the in-vehicle security device 111 receives countermeasure information 441 from the attack countermeasure device 130, stores the countermeasure information 441 in the countermeasure information storage unit 440, and transmits a countermeasure instruction to the GW device 240 so that the device in which the attack has been detected can execute countermeasures based on the countermeasure information 441.

S1513において、GW装置240は、車載セキュリティ装置111から受信した対策指示を、攻撃が検知された機器に送信する。当該機器は、車載セキュリティ装置111の対策指示に応じて、攻撃への対策を実施する。 In S1513, the GW device 240 transmits the countermeasure instruction received from the in-vehicle security device 111 to the device in which the attack was detected. The device implements countermeasures against the attack in accordance with the countermeasure instruction from the in-vehicle security device 111.

図16は、車載セキュリティ装置111のCPU220が定期的に実行する攻撃検知処理の一例を示す図である。 Figure 16 shows an example of an attack detection process that is periodically executed by the CPU 220 of the in-vehicle security device 111.

S1601において、CPU220は、ログ情報記憶部410から、未処理のログ情報411を取得する。 In S1601, the CPU 220 retrieves unprocessed log information 411 from the log information storage unit 410.

S1602において、CPU220は、攻撃情報記憶部430から攻撃シナリオ600を取得する。 At S1602, the CPU 220 retrieves the attack scenario 600 from the attack information storage unit 430.

S1603において、CPU220は、S1602において取得した攻撃シナリオ600の全てについて処理を行ったか否かを判定する。CPU220は、S1602において取得した攻撃シナリオ600の全てについて処理を行ったと判定した場合、攻撃検知処理を終了し、S1602において取得した攻撃シナリオ600の一部について処理を行っていないと判定した場合、処理を行っていない一の攻撃シナリオ600を処理対象とし、S1604に処理を移す。 In S1603, the CPU 220 determines whether or not all of the attack scenarios 600 acquired in S1602 have been processed. If the CPU 220 determines that all of the attack scenarios 600 acquired in S1602 have been processed, it ends the attack detection process. If the CPU 220 determines that some of the attack scenarios 600 acquired in S1602 have not been processed, it selects one attack scenario 600 that has not been processed as the processing target and proceeds to S1604.

S1604において、CPU220は、処理対象の攻撃シナリオ600に含まれる攻撃シナリオ要素の全てについて処理を行ったか否かを判定する。CPU220は、処理対象の攻撃シナリオ600に含まれる攻撃シナリオ要素の全てについて処理を行ったと判定した場合、S1603に処理を移し、処理対象の攻撃シナリオ600に含まれる攻撃シナリオ要素の一部について処理を行っていないと判定した場合、処理を行っていない一の攻撃シナリオ要素を処理対象とし、S1605に処理を移す。 In S1604, the CPU 220 determines whether or not all of the attack scenario elements included in the attack scenario 600 being processed have been processed. If the CPU 220 determines that all of the attack scenario elements included in the attack scenario 600 being processed have been processed, it transfers processing to S1603. If the CPU 220 determines that some of the attack scenario elements included in the attack scenario 600 being processed have not been processed, it transfers processing to S1605, with one attack scenario element that has not been processed being the processing target.

S1605において、CPU220は、S1601において取得したログ情報411のログ内容と、処理対象の攻撃シナリオ要素の検知内容とが一致するか否かを判定する。CPU220は、ログ情報411のログ内容と、処理対象の攻撃シナリオ要素の検知内容とが一致すると判定した場合、S1606に処理を移し、ログ情報411のログ内容と、処理対象の攻撃シナリオ要素の検知内容とが一致しないと判定した場合、S1604に処理を移す。 In S1605, the CPU 220 determines whether the log contents of the log information 411 acquired in S1601 match the detection contents of the attack scenario element being processed. If the CPU 220 determines that the log contents of the log information 411 match the detection contents of the attack scenario element being processed, it transfers processing to S1606, and if it determines that the log contents of the log information 411 do not match the detection contents of the attack scenario element being processed, it transfers processing to S1604.

S1606において、CPU220は、一致すると判定した、ログ情報411および処理対象の攻撃シナリオ600をもとに、攻撃検知情報450を生成する。 In S1606, the CPU 220 generates attack detection information 450 based on the log information 411 and the attack scenario 600 to be processed that are determined to match.

S1607において、CPU220は、処理対象の攻撃シナリオ要素の攻撃段階が最後の攻撃段階(例えば、「4」)であるか否かを判定する。CPU220は、処理対象の攻撃シナリオ要素の攻撃段階が最後の攻撃段階であると判定した場合、S1608に処理を移し、処理対象の攻撃シナリオ要素の攻撃段階が最後の攻撃段階でないと判定した場合、S1604に処理を移す。 In S1607, the CPU 220 determines whether the attack stage of the attack scenario element being processed is the final attack stage (e.g., "4"). If the CPU 220 determines that the attack stage of the attack scenario element being processed is the final attack stage, it transfers processing to S1608, and if the CPU 220 determines that the attack stage of the attack scenario element being processed is not the final attack stage, it transfers processing to S1604.

S1608において、CPU220は、ログ情報411および処理対象の攻撃シナリオ600をもとに、インシデント情報460を生成し、S1604に処理を移す。この際、CPU220は、S1606において生成した攻撃検知情報450のインシデント判定結果に「〇」を設定する。 In S1608, the CPU 220 generates incident information 460 based on the log information 411 and the attack scenario 600 to be processed, and moves the process to S1604. At this time, the CPU 220 sets the incident determination result of the attack detection information 450 generated in S1606 to "o".

図17は、攻撃対策装置130のCPU340が実行する攻撃対策処理の一例を示す図である。 Figure 17 shows an example of the attack countermeasure processing executed by the CPU 340 of the attack countermeasure device 130.

S1701において、CPU340は、車載セキュリティ装置111から受信した攻撃検知情報450を取得する。 At S1701, the CPU 340 acquires the attack detection information 450 received from the in-vehicle security device 111.

S1702において、CPU340は、対策情報記憶部540から対策情報441を取得する。 At S1702, the CPU 340 acquires the countermeasure information 441 from the countermeasure information storage unit 540.

S1703において、CPU340は、S1701において取得した攻撃検知情報450の全てについて処理を行ったか否かを判定する。CPU340は、S1701において取得した攻撃検知情報450の全てについて処理を行ったと判定した場合、攻撃対策処理を終了し、S1701において取得した攻撃検知情報450の一部について処理を行っていないと判定した場合、処理を行っていない一の攻撃検知情報450を処理対象とし、S1704に処理を移す。 In S1703, the CPU 340 determines whether or not all of the attack detection information 450 acquired in S1701 has been processed. If the CPU 340 determines that all of the attack detection information 450 acquired in S1701 has been processed, the attack countermeasure processing is terminated. If the CPU 340 determines that some of the attack detection information 450 acquired in S1701 has not been processed, the CPU 340 selects one piece of attack detection information 450 that has not been processed as the processing target and proceeds to S1704.

S1704において、CPU340は、処理対象の攻撃検知情報450に含まれる脆弱性の全てについて処理を行ったか否かを判定する。CPU340は、処理対象の攻撃検知情報450に含まれる脆弱性の全てについて処理を行ったと判定した場合、S1710に処理を移し、処理対象の攻撃検知情報450に含まれる脆弱性の一部について処理を行っていないと判定した場合、処理を行っていない一の脆弱性を処理対象とし、S1705に処理を移す。 In S1704, the CPU 340 determines whether or not all of the vulnerabilities included in the attack detection information 450 being processed have been processed. If the CPU 340 determines that all of the vulnerabilities included in the attack detection information 450 being processed have been processed, the CPU 340 proceeds to S1710. If the CPU 340 determines that some of the vulnerabilities included in the attack detection information 450 being processed have not been processed, the CPU 340 selects one vulnerability that has not been processed as the processing target and proceeds to S1705.

S1705において、CPU340は、S1702において取得した対策情報441から、処理対象の脆弱性の脆弱性IDに一致する対策情報441を抽出でき、かつ、抽出した対策情報441に対策が含まれているか否か(対策があるか否か)を判定する。CPU340は、対策があると判定した場合、S1706に処理を移し、対策がないと判定した場合、S1707に処理を移す。 In S1705, the CPU 340 determines whether countermeasure information 441 that matches the vulnerability ID of the vulnerability to be processed can be extracted from the countermeasure information 441 acquired in S1702, and whether the extracted countermeasure information 441 includes a countermeasure (whether a countermeasure exists). If the CPU 340 determines that a countermeasure exists, it proceeds to S1706, and if it determines that a countermeasure does not exist, it proceeds to S1707.

S1706において、CPU340は、S1705で抽出した対策情報441をメモリ部350に記憶し、S1704に処理を移す。 In S1706, the CPU 340 stores the countermeasure information 441 extracted in S1705 in the memory unit 350, and then proceeds to S1704.

S1707において、CPU340は、処理対象の脆弱性への攻撃が最後の攻撃段階であるか否か(インシデントであるか否か)を判定する。CPU340は、インシデントであると判定した場合、S1708に処理を移し、インシデントでないと判定した場合、S1709に処理を移す。 In S1707, the CPU 340 determines whether the attack on the vulnerability being processed is in the final attack stage (whether it is an incident). If the CPU 340 determines that it is an incident, it proceeds to S1708, and if it determines that it is not an incident, it proceeds to S1709.

S1708において、CPU340は、車両110の使用を停止する対策情報441を車載セキュリティ装置111に送信し、新しい対策情報441を検討し、攻撃対策処理を終了する。例えば、CPU340は、ログ情報411および脆弱性情報記憶部550をもとに未知の脆弱性に対する分析を実施し、未知の脆弱性の対策を検討し、未知の脆弱性を修正するパッチ、攻撃を軽減する方法が含まれる対策情報441を生成する。パッチには、当該機器で動作するソフトウェアのバックデート命令、設定ファイル、更新ソフトウェア等が含まれる。そして、CPU340は、得られた検討結果に基づいて、攻撃情報記憶部530、対策情報記憶部540、および脆弱性情報記憶部550をそれぞれ更新する。 In S1708, the CPU 340 transmits countermeasure information 441 for suspending the use of the vehicle 110 to the in-vehicle security device 111, reviews the new countermeasure information 441, and ends the attack countermeasure processing. For example, the CPU 340 performs an analysis of an unknown vulnerability based on the log information 411 and the vulnerability information storage unit 550, reviews a countermeasure for the unknown vulnerability, and generates countermeasure information 441 including a patch for correcting the unknown vulnerability and a method for mitigating the attack. The patch includes a backdate command for the software running on the device, a configuration file, update software, etc. Then, the CPU 340 updates the attack information storage unit 530, the countermeasure information storage unit 540, and the vulnerability information storage unit 550 based on the obtained review results.

S1709において、CPU340は、処理対象の脆弱性を許容し、すなわち、最後の攻撃段階の攻撃ではないため、資産に影響がないと判断し、処理対象の脆弱性への攻撃について対策を実施しないことを示す対策情報441をメモリ部350に記憶し、S1704に処理を移す。 In S1709, the CPU 340 tolerates the vulnerability being processed, i.e., it determines that the attack is not in the final stage of the attack and therefore will not affect assets, stores in the memory unit 350 countermeasure information 441 indicating that no countermeasures will be implemented against the attack on the vulnerability being processed, and proceeds to S1704.

S1710において、CPU340は、メモリ部350に記憶した対策情報441を車載セキュリティ装置111に送信し、S1703に処理を移す。なお、対策情報441を車載セキュリティ装置111に送信するタイミングは、上述したタイミングに限らない。例えば、CPU340は、S1706およびS1709のそれぞれにおいて対策情報441を車載セキュリティ装置111に送信してもよいし、S1703の判定においてNOである場合に、対策情報441を車載セキュリティ装置111に送信してもよい。 In S1710, the CPU 340 transmits the countermeasure information 441 stored in the memory unit 350 to the in-vehicle security device 111, and moves the process to S1703. Note that the timing of transmitting the countermeasure information 441 to the in-vehicle security device 111 is not limited to the timing described above. For example, the CPU 340 may transmit the countermeasure information 441 to the in-vehicle security device 111 in each of S1706 and S1709, or may transmit the countermeasure information 441 to the in-vehicle security device 111 if the determination in S1703 is NO.

図18は、車載セキュリティ装置111のCPU220が実行するログ情報管理処理の一例を示す図である。ログ情報管理処理は、CPU220において、所定のタイミングで実行される。所定のタイミングについては、定期的でもよいし、攻撃検知部224がインシデントを検知したときでもよいし、ログ情報記憶部410に割当てられた記憶装置210の記憶容量が予め規定された容量を超えたときでもよい。 Figure 18 is a diagram showing an example of the log information management process executed by the CPU 220 of the in-vehicle security device 111. The log information management process is executed by the CPU 220 at a predetermined timing. The predetermined timing may be periodically, may be when the attack detection unit 224 detects an incident, or may be when the storage capacity of the storage device 210 assigned to the log information storage unit 410 exceeds a predetermined capacity.

S1801において、CPU220は、記憶装置210の空き容量が規定値より大きいか否かを判定する。CPU220は、記憶装置210の空き容量が規定値より大きいと判定した場合、ログ情報管理処理を終了し、記憶装置210の空き容量が規定値以下であると判定した場合、S1802に処理を移す。 In S1801, the CPU 220 determines whether the free space of the storage device 210 is greater than a specified value. If the CPU 220 determines that the free space of the storage device 210 is greater than the specified value, the CPU 220 ends the log information management process. If the CPU 220 determines that the free space of the storage device 210 is equal to or less than the specified value, the process proceeds to S1802.

S1802において、CPU220は、ログ情報記憶部410に記憶されているログ情報411のうち、優先度が最も低いログ情報411を消去し、S1801に処理を移す。 In S1802, the CPU 220 erases the log information 411 with the lowest priority from among the log information 411 stored in the log information storage unit 410, and returns to S1801.

上記の各構成、機能等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈して実行することにより、ソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記録装置、または、IC(Integrated Circuit)カード、メモリカード、DVD等の記録媒体に記録しておくことができる。 The above configurations, functions, etc. may be realized in hardware, in part or in whole, for example by designing them as integrated circuits. Also, the above configurations, functions, etc. may be realized in software by a processor interpreting and executing a program that realizes each function. Information on the programs, tables, files, etc. that realize each function can be recorded on a recording device such as a memory, a hard disk, or an SSD (Solid State Drive), or on a recording medium such as an IC (Integrated Circuit) card, a memory card, or a DVD.

(2)付記
上述の実施の形態には、例えば、以下のような内容が含まれる。 (2) Supplementary Notes The above-described embodiment includes, for example, the following contents.

上述の実施の形態においては、本発明を車両セキュリティシステムに適用するようにした場合について述べたが、本発明はこれに限らず、この他種々のシステム、装置、方法、プログラムに広く適用することができる。 In the above embodiment, the present invention has been described as being applied to a vehicle security system, but the present invention is not limited to this and can be widely applied to a variety of other systems, devices, methods, and programs.

また、上述の実施の形態においては、車載セキュリティ装置111は、ログ情報記憶部410に記憶されているログ情報411を定期的に読み出し、攻撃対策装置130に送信する場合について述べたが、本発明はこれに限らない。例えば、車載セキュリティ装置111は、ログ情報411を生成した際に、ログ情報411に優先度を設定し、優先度に基づいてログ情報411を攻撃対策装置130に送信するようにしてもよい。また、例えば、車載セキュリティ装置111は、ログ情報411を生成した際に、インシデントが発生したか否かを判定し、インシデントが発生したと判定したとき、インシデントに係るログ情報411を攻撃対策装置130に送信するようにしてもよい。 In the above embodiment, the in-vehicle security device 111 periodically reads out the log information 411 stored in the log information storage unit 410 and transmits it to the attack countermeasure device 130, but the present invention is not limited to this. For example, when the in-vehicle security device 111 generates the log information 411, it may set a priority for the log information 411 and transmit the log information 411 to the attack countermeasure device 130 based on the priority. Also, for example, when the in-vehicle security device 111 generates the log information 411, it may determine whether an incident has occurred, and when it determines that an incident has occurred, it may transmit the log information 411 related to the incident to the attack countermeasure device 130.

また、上述の実施の形態においては、車載セキュリティ装置111は、ログ情報411が発生するたびに優先度を設定する場合(リアルタイムに設定する場合)を例に挙げて述べたが、本発明はこれに限らない。例えば、車載セキュリティ装置111は、リアルタイムとは異なる他のタイミングでログ情報411に優先度を設定してもよい。他のタイミングとは、定期的であってもよいし、指定された時間であってもよいし、優先度が設定されていないログ情報411の件数が閾値を超えたときであってもよいし、その他のタイミングでもよい。 In addition, in the above embodiment, the in-vehicle security device 111 has been described as setting a priority every time log information 411 is generated (setting in real time), but the present invention is not limited to this. For example, the in-vehicle security device 111 may set a priority for the log information 411 at a timing other than real time. The other timing may be periodically, at a specified time, when the number of log information 411 for which no priority is set exceeds a threshold, or at another timing.

また、上述の実施の形態においては、車載セキュリティ装置111は、起動時に、攻撃シナリオ600を攻撃対策装置130から取得する場合について述べたが、本発明はこれに限らない。車載セキュリティ装置111は、車両110に搭載されている機器の構成の変更時に、攻撃シナリオ600を攻撃対策装置130から取得するようにしてもよい。 In addition, in the above embodiment, the in-vehicle security device 111 acquires the attack scenario 600 from the attack countermeasure device 130 at startup, but the present invention is not limited to this. The in-vehicle security device 111 may also acquire the attack scenario 600 from the attack countermeasure device 130 when the configuration of the equipment installed in the vehicle 110 is changed.

また、上述の実施の形態においては、攻撃対策装置130は、攻撃シナリオ要求に応じて攻撃シナリオ600を車載セキュリティ装置111に送信する場合について述べたが、本発明はこれに限らない。例えば、攻撃対策装置130は、定期的に、車載セキュリティ装置111から車両構成情報421を取得し、車両構成情報421に対応する攻撃シナリオ600を攻撃情報記憶部530から読み出して、車載セキュリティ装置111に送信するようにしてもよい。 In addition, in the above embodiment, the attack countermeasure device 130 transmits the attack scenario 600 to the in-vehicle security device 111 in response to an attack scenario request, but the present invention is not limited to this. For example, the attack countermeasure device 130 may periodically acquire the vehicle configuration information 421 from the in-vehicle security device 111, read the attack scenario 600 corresponding to the vehicle configuration information 421 from the attack information storage unit 530, and transmit it to the in-vehicle security device 111.

また、上述の実施の形態においては、GW装置240がログ情報411をログ情報記憶部410に記憶する場合について述べたが、本発明はこれに限らない。例えば、車載セキュリティ装置111がログ情報411をログ情報記憶部410に記憶するようにしてもよい。この場合、車載セキュリティ装置111は、ログ情報411に優先度を設定し、優先度が閾値より高いログ情報411をログ情報記憶部410に記憶してもよい。また、例えば、車載セキュリティ装置111は、攻撃に係るログ情報411をログ情報記憶部410に記憶するようにしてもよいし、インシデントに係るログ情報411をログ情報記憶部410に記憶するようにしてもよいし、攻撃段階が進んでいる攻撃に係るログ情報411をログ情報記憶部410に記憶するようにしてもよい。 In the above embodiment, the GW device 240 stores the log information 411 in the log information storage unit 410, but the present invention is not limited to this. For example, the in-vehicle security device 111 may store the log information 411 in the log information storage unit 410. In this case, the in-vehicle security device 111 may set a priority for the log information 411 and store the log information 411 with a priority higher than a threshold in the log information storage unit 410. In addition, for example, the in-vehicle security device 111 may store the log information 411 related to an attack in the log information storage unit 410, may store the log information 411 related to an incident in the log information storage unit 410, or may store the log information 411 related to an attack that is in an advanced attack stage in the log information storage unit 410.

また、上述の実施の形態において、各テーブルの構成は一例であり、1つのテーブルは、2以上のテーブルに分割されてもよいし、2以上のテーブルの全部または一部が1つのテーブルであってもよい。 In addition, in the above-described embodiment, the configuration of each table is an example, and one table may be divided into two or more tables, or all or part of two or more tables may be one table.

上述した実施の形態は、例えば、以下の特徴的な構成を有する。なお、実施の形態に示した構成については、本発明の要旨を超えない範囲において、適宜に、変更したり、組み替えたり、組み合わせたり、省略したりしてもよい。 The above-described embodiment has, for example, the following characteristic configurations. Note that the configurations shown in the embodiments may be modified, rearranged, combined, or omitted as appropriate without departing from the gist of the present invention.

所定の機器(例えば、GW装置240と、制御系ネットワーク250に属する機器と、アシスト系ネットワーク260に属する機器と、情報系ネットワーク270に属する機器と、モバイルルータ280との少なくとも1つ)を備えた車両(例えば、車両110)に搭載される車載セキュリティ装置(例えば、車載セキュリティ装置111)は、上記機器に対する攻撃を示す攻撃情報(例えば、攻撃情報431、攻撃シナリオ600)を記憶する攻撃情報記憶部(例えば、攻撃情報記憶部430、車載セキュリティ装置111と通信可能なコンピュータ)と、上記機器についてのログ情報(例えば、ログ情報411)を記憶するログ情報記憶部(例えば、ログ情報記憶部410、車載セキュリティ装置111と通信可能なコンピュータ)と、上記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を上記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、上記機器に対する攻撃への対策を提供するための攻撃対策装置(例えば、攻撃対策装置130)に送信するログ管理部(例えば、ログ管理部221、CPU220、回路、車載セキュリティ装置111と通信可能なコンピュータ)と、を備える。
上記構成では、車両が備える機器に対する攻撃に係るログ情報が抽出されて攻撃対策装置に送信されるので、例えば、ログ情報の送信に必要となる車両におけるコンピュータのリソースの負荷を低減することができる。 An in-vehicle security device (e.g., the in-vehicle security device 111) mounted on a vehicle (e.g., the vehicle 110) equipped with predetermined devices (e.g., at least one of a GW device 240, a device belonging to a control system network 250, a device belonging to an assist system network 260, a device belonging to an information system network 270, and a mobile router 280) includes an attack information storage unit (e.g., an attack information storage unit 430, a computer capable of communicating with the in-vehicle security device 111) that stores attack information (e.g., attack information 431, attack scenario 600) indicating attacks against the above devices, and a log management unit (e.g., log management unit 221, CPU 220, circuit, computer capable of communicating with in-vehicle security device 111) that extracts log information related to the attack information stored in the attack information storage unit from the log information stored in the log information storage unit and transmits the extracted log information to an attack countermeasure device (e.g., attack countermeasure device 130) for providing countermeasures against attacks on the device.
In the above configuration, log information related to attacks against equipment installed in the vehicle is extracted and transmitted to the attack countermeasure device, thereby reducing the load on computer resources in the vehicle required for transmitting log information, for example.

上記ログ管理部は、上記機器についてのログ情報に、上記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し(例えば、S1522参照)、上記ログ情報記憶部に記憶されているログ情報から、上記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を、上記ログ情報に設定した優先度に基づいて抽出し、抽出したログ情報を、上記攻撃対策装置に送信する(例えば、S1523参照)。
上記構成では、優先度に基づいてログ情報が抽出されるので、例えば、優先度が閾値より高いログ情報を抽出することで、ログ情報の送信に必要となる車両におけるコンピュータのリソースの負荷を更に低減することができる。 The log management unit sets a priority level for the attack in the attack information related to the log information for the device (e.g., see S1522), extracts log information related to the attack information stored in the attack information storage unit from the log information stored in the log information storage unit based on the priority level set in the log information, and transmits the extracted log information to the attack countermeasure device (e.g., see S1523).
In the above configuration, log information is extracted based on priority. For example, by extracting log information with a priority higher than a threshold, the load on the computer resources in the vehicle required to transmit the log information can be further reduced.

上記ログ管理部は、上記機器についてのログ情報に、上記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し(例えば、S1522参照)、上記ログ情報記憶部に記憶されているログ情報を上記ログ情報に設定した優先度に基づいて消去する(例えば、S1802参照)。
上記構成では、優先度に基づいてログ情報が消去されるので、例えば、優先度が閾値より低いログ情報を消去することで、ログ情報の記憶に必要となる記憶装置の記憶容量を低減することができる。 The log management unit sets a priority of the attack in the attack information related to the log information for the device (e.g., see S1522), and erases the log information stored in the log information storage unit based on the priority set in the log information (e.g., see S1802).
In the above configuration, log information is erased based on priority. For example, by erasing log information whose priority is lower than a threshold, the storage capacity of the storage device required to store log information can be reduced.

上記攻撃対策装置は、既知の複数の攻撃の各々について攻撃情報を記憶し、上記車載セキュリティ装置は、上記機器の構成が第1の構成(例えば、前回の起動時の車両110の構成、過去の車両110の構成)から上記第1の構成とは異なる第2の構成(例えば、今回の起動時の車両110の構成、現在の車両110の構成)に変更されているか否かを判定し、上記第1の構成から上記第2の構成に変更されていると判定した場合、上記第2の構成に対応する攻撃情報を上記攻撃対策装置から取得して上記攻撃情報記憶部に記憶する攻撃管理部(例えば、初期設定部222および攻撃管理部223)を備える。
上記構成では、車両の機器の構成が変更された場合に、変更された構成に対応する攻撃情報が攻撃対策装置から取得されて攻撃情報記憶部に記憶されるので、例えば、ログ管理部は、車両の機器の構成に応じたログ情報を抽出できる。 The attack countermeasure device stores attack information for each of a number of known attacks, and the in-vehicle security device is equipped with an attack management unit (e.g., an initial setting unit 222 and an attack management unit 223) that determines whether the configuration of the equipment has been changed from a first configuration (e.g., the configuration of vehicle 110 at the time of the previous startup, the configuration of vehicle 110 in the past) to a second configuration different from the first configuration (e.g., the configuration of vehicle 110 at the time of this startup, the current configuration of vehicle 110), and if it is determined that the configuration has been changed from the first configuration to the second configuration, acquires attack information corresponding to the second configuration from the attack countermeasure device and stores it in the attack information storage unit.
In the above configuration, when the configuration of the vehicle's equipment is changed, attack information corresponding to the changed configuration is obtained from the attack countermeasure device and stored in the attack information storage unit, so that, for example, the log management unit can extract log information according to the configuration of the vehicle's equipment.

上記車載セキュリティ装置と、上記攻撃対策装置と、を含む車両セキュリティシステム(例えば、車両セキュリティシステム100)において、上記車載セキュリティ装置が、上記機器についてのログ情報と上記攻撃情報記憶部に記憶されている攻撃情報とから上記機器に対する攻撃を検知したことに基づいて、上記攻撃への対策内容を含む対策情報を上記攻撃対策装置に要求するための攻撃検知情報(例えば、攻撃検知情報450)を、上記攻撃対策装置に送信する攻撃検知部(例えば、攻撃検知部224、CPU220、回路、車載セキュリティ装置111と通信可能なコンピュータ)と、上記攻撃対策装置から送信される、上記攻撃検知部により攻撃が検知された機器への対策内容を含む対策情報を受信し、受信した対策情報に基づいて、上記機器への対策を実施する対策処理部(例えば、対策処理部225、CPU220、回路、車載セキュリティ装置111と通信可能なコンピュータ)と、を備え、上記攻撃対策装置は、既知の複数の攻撃の各々について対策情報を記憶する対策情報記憶部(例えば、対策情報記憶部540、攻撃対策装置130と通信可能なコンピュータ)と、上記攻撃検知部により送信された攻撃検知情報に基づいて、上記攻撃検知部により検知された攻撃に対応する対策情報を上記対策情報記憶部に記憶されている対策情報から取得し、取得した対策情報を上記対策処理部に送信する対策管理部(例えば、対策管理部343、CPU340、回路、攻撃対策装置130と通信可能なコンピュータ)と、を備える。
上記構成では、車両の機器に対する攻撃が検知されたとき、当該攻撃への対策内容を含む対策情報が攻撃対策装置から取得されて、当該攻撃が検知された機器への対策が実施されるので、例えば、車両のセキュリティを確保することができる。 In a vehicle security system (e.g., vehicle security system 100) including the in-vehicle security device and the attack countermeasure device, an attack detection unit (e.g., attack detection information 450) that requests the attack countermeasure device to provide countermeasure information including countermeasure content for the attack based on the in-vehicle security device detecting an attack on the device from log information about the device and attack information stored in the attack information storage unit, receives countermeasure information including countermeasure content for the device in which an attack has been detected by the attack detection unit and transmits the countermeasure information to the attack countermeasure device (e.g., attack detection information 450) that requests the attack countermeasure device to provide countermeasure information including countermeasure content for the attack based on the in-vehicle security device detecting an attack on the device from log information about the device and attack information stored in the attack information storage unit, and The attack countermeasure device comprises a countermeasure processing unit (e.g., countermeasure processing unit 225, CPU 220, circuit, computer capable of communicating with in-vehicle security device 111) that implements countermeasures against the equipment based on the countermeasure information, and the attack countermeasure device comprises a countermeasure information storage unit (e.g., countermeasure information storage unit 540, computer capable of communicating with attack countermeasure device 130) that stores countermeasure information for each of a number of known attacks, and a countermeasure management unit (e.g., countermeasure management unit 343, CPU 340, circuit, computer capable of communicating with attack countermeasure device 130) that acquires countermeasure information corresponding to the attack detected by the attack detection unit from the countermeasure information stored in the countermeasure information storage unit based on the attack detection information transmitted by the attack detection unit, and transmits the acquired countermeasure information to the countermeasure processing unit.
In the above configuration, when an attack on equipment in a vehicle is detected, countermeasure information including countermeasures against the attack is obtained from the attack countermeasure device, and countermeasures are implemented on the equipment in which the attack was detected, thereby ensuring the security of the vehicle, for example.

上記攻撃検知部により検知された攻撃に対応する対策情報が上記対策情報記憶部に記憶されている対策情報に含まれていない場合、上記対策管理部は、上記攻撃の攻撃段階が最後の攻撃段階であるときは、上記車両を停止する対策情報を上記対策処理部に送信し(例えば、S1708参照)、上記攻撃の攻撃段階が最後の攻撃段階でないときは、上記攻撃への対策を実施しないことを示す対策情報を上記対策処理部に送信する(例えば、S1709、S1710)。
上記構成では、検知された攻撃に対応する対策情報がない場合、攻撃の攻撃段階が最後の攻撃段階であるか否かによって対策を異ならせることで、車両のセキュリティを確保しつつ、ユーザの利便性の低下を抑制することができる。 If countermeasure information corresponding to the attack detected by the attack detection unit is not included in the countermeasure information stored in the countermeasure information storage unit, the countermeasure management unit sends countermeasure information to stop the vehicle to the countermeasure processing unit when the attack stage of the attack is the final attack stage (e.g., see S1708), and sends countermeasure information indicating that countermeasures against the attack will not be implemented to the countermeasure processing unit when the attack stage of the attack is not the final attack stage (e.g., S1709, S1710).
In the above configuration, if there is no countermeasure information corresponding to a detected attack, the countermeasures are varied depending on whether the attack stage is the final attack stage or not, thereby ensuring the security of the vehicle while suppressing a decrease in user convenience.

「A、B、およびCのうちの少なくとも1つ」という形式におけるリストに含まれる項目は、(A)、(B)、(C)、(AおよびB)、(AおよびC)、(BおよびC)または(A、B、およびC)を意味することができると理解されたい。同様に、「A、B、またはCのうちの少なくとも1つ」の形式においてリストされた項目は、(A)、(B)、(C)、(AおよびB)、(AおよびC)、(BおよびC)または(A、B、およびC)を意味することができる。 It should be understood that an item listed in the format "at least one of A, B, and C" can mean (A), (B), (C), (A and B), (A and C), (B and C), or (A, B, and C). Similarly, an item listed in the format "at least one of A, B, or C" can mean (A), (B), (C), (A and B), (A and C), (B and C), or (A, B, and C).

100……車両セキュリティシステム、110……車両、111……車載セキュリティ装置、130……攻撃対策装置。 100...vehicle security system, 110...vehicle, 111...vehicle-mounted security device, 130...attack prevention device.

Claims (8)

所定の機器を備えた車両に搭載される車載セキュリティ装置であって、
前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、
前記機器についてのログ情報を記憶するログ情報記憶部と、
前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、前記機器に対する攻撃への対策を提供するための攻撃対策装置に送信するログ管理部と、
を備える車載セキュリティ装置。 An in-vehicle security device to be mounted on a vehicle equipped with a predetermined device,
an attack information storage unit that stores attack information indicating an attack against the device;
a log information storage unit that stores log information about the device;
a log management unit that extracts log information related to the attack information stored in the attack information storage unit from the log information stored in the log information storage unit, and transmits the extracted log information to an attack countermeasure device that provides countermeasures against attacks against the device;
An in-vehicle security device comprising: 前記ログ管理部は、
前記機器についてのログ情報に、前記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し、
前記ログ情報記憶部に記憶されているログ情報から、前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を、前記ログ情報に設定した優先度に基づいて抽出し、
抽出したログ情報を、前記攻撃対策装置に送信する、
請求項1に記載の車載セキュリティ装置。 The log management unit
setting a priority level of an attack in attack information related to the log information for the device;
extracting log information related to the attack information stored in the attack information storage unit from the log information stored in the log information storage unit based on a priority set for the log information;
Transmitting the extracted log information to the attack countermeasure device.
The vehicle-mounted security device according to claim 1 . 前記ログ管理部は、
前記機器についてのログ情報に、前記ログ情報に関連する攻撃情報における攻撃に係る優先度を設定し、
前記ログ情報記憶部に記憶されているログ情報を前記ログ情報に設定した優先度に基づいて消去する、
請求項1に記載の車載セキュリティ装置。 The log management unit
setting a priority level of an attack in attack information related to the log information for the device;
erasing the log information stored in the log information storage unit based on a priority set for the log information;
The vehicle security device according to claim 1 . 前記攻撃対策装置は、既知の複数の攻撃の各々について攻撃情報を記憶し、
前記機器の構成が第1の構成から前記第1の構成とは異なる第2の構成に変更されているか否かを判定し、前記第1の構成から前記第2の構成に変更されていると判定した場合、前記第2の構成に対応する攻撃情報を前記攻撃対策装置から取得して前記攻撃情報記憶部に記憶する攻撃管理部を備える、
請求項1に記載の車載セキュリティ装置。 the attack countermeasure device stores attack information for each of a plurality of known attacks;
an attack management unit that determines whether or not the configuration of the device has been changed from a first configuration to a second configuration different from the first configuration, and when it is determined that the configuration has been changed from the first configuration to the second configuration, acquires attack information corresponding to the second configuration from the attack countermeasure device and stores the attack information in the attack information storage unit;
The vehicle-mounted security device according to claim 1 . 所定の機器を備えた車両に搭載される車載セキュリティ装置と、前記機器に対する攻撃への対策を提供するための攻撃対策装置と、を含む車両セキュリティシステムであって、
前記車載セキュリティ装置が、
前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、
前記機器についてのログ情報を記憶するログ情報記憶部と、
前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、抽出したログ情報を、前記攻撃対策装置に送信するログ管理部と、
を備える車両セキュリティシステム。 A vehicle security system including an on-board security device mounted on a vehicle equipped with a specific device, and an attack countermeasure device for providing countermeasures against attacks on the device,
The vehicle-mounted security device includes:
an attack information storage unit that stores attack information indicating an attack against the device;
a log information storage unit that stores log information about the device;
a log management unit that extracts log information related to the attack information stored in the attack information storage unit from the log information stored in the log information storage unit and transmits the extracted log information to the attack countermeasure device;
A vehicle security system comprising: 前記車載セキュリティ装置が、
前記機器についてのログ情報と前記攻撃情報記憶部に記憶されている攻撃情報とから前記機器に対する攻撃を検知したことに基づいて、前記攻撃への対策内容を含む対策情報を前記攻撃対策装置に要求するための攻撃検知情報を、前記攻撃対策装置に送信する攻撃検知部と、
前記攻撃対策装置から送信される、前記攻撃検知部により攻撃が検知された機器への対策内容を含む対策情報を受信し、受信した対策情報に基づいて、前記機器への対策を実施する対策処理部と、を備え、
前記攻撃対策装置は、
既知の複数の攻撃の各々について対策情報を記憶する対策情報記憶部と、
前記攻撃検知部により送信された攻撃検知情報に基づいて、前記攻撃検知部により検知された攻撃に対応する対策情報を前記対策情報記憶部に記憶されている対策情報から取得し、取得した対策情報を前記対策処理部に送信する対策管理部と、を備える、
請求項5に記載の車両セキュリティシステム。 The vehicle-mounted security device includes:
an attack detection unit that transmits attack detection information to the attack countermeasure device, based on detection of an attack on the device from log information about the device and the attack information stored in the attack information storage unit, for requesting countermeasure information including countermeasure content against the attack from the attack countermeasure device;
a countermeasure processing unit that receives countermeasure information transmitted from the attack countermeasure device, the countermeasure information including countermeasure details for a device on which an attack has been detected by the attack detection unit, and implements countermeasures for the device based on the received countermeasure information;
The attack countermeasure device includes:
a countermeasure information storage unit that stores countermeasure information for each of a plurality of known attacks;
a countermeasure management unit that acquires countermeasure information corresponding to the attack detected by the attack detection unit from the countermeasure information stored in the countermeasure information storage unit based on the attack detection information transmitted by the attack detection unit, and transmits the acquired countermeasure information to the countermeasure processing unit.
6. The vehicle security system of claim 5. 前記攻撃検知部により検知された攻撃に対応する対策情報が前記対策情報記憶部に記憶されている対策情報に含まれていない場合、前記対策管理部は、
前記攻撃の攻撃段階が最後の攻撃段階であるときは、前記車両を停止する対策情報を前記対策処理部に送信し、
前記攻撃の攻撃段階が最後の攻撃段階でないときは、前記攻撃への対策を実施しないことを示す対策情報を前記対策処理部に送信する、
請求項6に記載の車載セキュリティ装置。 When the countermeasure information corresponding to the attack detected by the attack detection unit is not included in the countermeasure information stored in the countermeasure information storage unit, the countermeasure management unit:
When the attack stage of the attack is the final attack stage, transmitting countermeasure information for stopping the vehicle to the countermeasure processing unit;
when the attack stage of the attack is not the final attack stage, transmitting countermeasure information indicating that a countermeasure against the attack will not be implemented to the countermeasure processing unit;
7. The vehicle-mounted security device according to claim 6. 所定の機器を備えた車両に搭載される車載セキュリティ装置が実行する車両管理方法であって、
車載セキュリティ装置は、
前記機器に対する攻撃を示す攻撃情報を記憶する攻撃情報記憶部と、
前記機器についてのログ情報を記憶するログ情報記憶部と、を備え、
前記攻撃情報記憶部に記憶されている攻撃情報に関連するログ情報を前記ログ情報記憶部に記憶されているログ情報から抽出し、
抽出したログ情報を、前記機器に対する攻撃への対策を提供するための攻撃対策装置に送信する、
車両管理方法。 A vehicle management method executed by an in-vehicle security device mounted on a vehicle equipped with a predetermined device, comprising:
In-vehicle security devices
an attack information storage unit that stores attack information indicating an attack against the device;
a log information storage unit that stores log information about the device,
extracting log information related to the attack information stored in the attack information storage unit from the log information stored in the log information storage unit;
Transmitting the extracted log information to an attack countermeasure device for providing countermeasures against attacks against the device.
Vehicle management methods.
JP2020201360A 2020-12-03 2020-12-03 In-vehicle security device, vehicle security system, and vehicle management method Active JP7478085B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020201360A JP7478085B2 (en) 2020-12-03 2020-12-03 In-vehicle security device, vehicle security system, and vehicle management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020201360A JP7478085B2 (en) 2020-12-03 2020-12-03 In-vehicle security device, vehicle security system, and vehicle management method

Publications (2)

Publication Number Publication Date
JP2022089097A JP2022089097A (en) 2022-06-15
JP7478085B2 true JP7478085B2 (en) 2024-05-02

Family

ID=81987922

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020201360A Active JP7478085B2 (en) 2020-12-03 2020-12-03 In-vehicle security device, vehicle security system, and vehicle management method

Country Status (1)

Country Link
JP (1) JP7478085B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024070859A1 (en) * 2022-09-30 2024-04-04 株式会社デンソー Attack analysis device, attack analysis method, and attack analysis program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010009187A (en) 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
JP2019133599A (en) 2018-02-02 2019-08-08 クラリオン株式会社 On-vehicle device and incident monitoring method
WO2020075826A1 (en) 2018-10-11 2020-04-16 日本電信電話株式会社 Apparatus, data transmission method and program
WO2020090146A1 (en) 2018-01-12 2020-05-07 パナソニックIpマネジメント株式会社 Vehicle system and control method
JP2020086978A (en) 2018-11-27 2020-06-04 株式会社 ハンモック Information processing system and information processing method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010009187A (en) 2008-06-25 2010-01-14 Kddi R & D Laboratories Inc Information processor, information processing system, program, and recording medium
WO2020090146A1 (en) 2018-01-12 2020-05-07 パナソニックIpマネジメント株式会社 Vehicle system and control method
JP2019133599A (en) 2018-02-02 2019-08-08 クラリオン株式会社 On-vehicle device and incident monitoring method
WO2020075826A1 (en) 2018-10-11 2020-04-16 日本電信電話株式会社 Apparatus, data transmission method and program
JP2020086978A (en) 2018-11-27 2020-06-04 株式会社 ハンモック Information processing system and information processing method

Also Published As

Publication number Publication date
JP2022089097A (en) 2022-06-15

Similar Documents

Publication Publication Date Title
US20210044612A1 (en) In-vehicle apparatus and incident monitoring method
JP6629999B2 (en) Specially programmed computing system with associated device configured to implement secure lockdown and method of use thereof
US10939262B2 (en) System and method for bringing programmability and connectivity into isolated vehicles
CN105871830B (en) A kind of firewall of automobile mounted information system
JP6009622B1 (en) Update manager and in-vehicle software update system using the same
He et al. Towards a severity assessment method for potential cyber attacks to connected and autonomous vehicles
JPWO2020080222A1 (en) Threat analyzers, threat analysis methods, and programs
WO2021038870A1 (en) Anomalous vehicle detecting server and anomalous vehicle detecting method
WO2022049894A1 (en) Control-mode switching device and control-mode switching method
JP7478085B2 (en) In-vehicle security device, vehicle security system, and vehicle management method
WO2021111681A1 (en) Information processing device, control method, and program
US11580229B2 (en) Computer-implemented method of security-related control or configuration of a digital system
CN117355832A (en) Monitoring device, monitoring system, and monitoring method
US11096057B2 (en) Communication control device, communication system, and communication control method
US11971982B2 (en) Log analysis device
KR101775517B1 (en) Client for checking security of bigdata system, apparatus and method for checking security of bigdata system
KR20160145574A (en) Systems and methods for enforcing security in mobile computing
CN114301682B (en) Data processing method, device and terminal equipment
US11323344B2 (en) Data processing method, edge device, and data processing system
Okuyama Formulation of a Comprehensive Threat Model for Automated Driving Systems Including External Vehicular Attacks such as V2X and the Establishment of an Attack Evaluation Method through Telecommunication
JP2021018811A (en) Vehicle computer system
Lisova et al. Investigating attack propagation in a sos via a service decomposition
WO2021260932A1 (en) Distributed system, communication terminal, function restoration method, and program
US10334444B1 (en) Automatically switching to a barricade mode to secure mobile computing devices in response to predetermined mobile computing device events
WO2021207872A1 (en) Flying device control method and system, and flying device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230901

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240327

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240409

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240419