WO2020080047A1

WO2020080047A1 - 侵入地点特定装置、および、侵入地点特定方法

Info

Publication number: WO2020080047A1
Application number: PCT/JP2019/037396
Authority: WO
Inventors: 平野　亮; 剛岸川
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2018-10-17
Filing date: 2019-09-24
Publication date: 2020-04-23
Also published as: US11886588B2; JP7346397B2; US20210056206A1; EP3869369A4; CN111989680A; JPWO2020080047A1; EP3869369A1

Abstract

侵入地点特定装置（１０）は、１以上の移動体のうちの脅威が侵入した移動体の識別情報と、当該移動体が有する複数の経路のうち脅威が侵入した経路を示す経路情報と、当該移動体への脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集して記憶している脅威情報収集部（１３０）と、１以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集したログから、発覚情報に基づいて定められる所定期間内に１以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶している車両ログ収集部（１４０）と、車両ログ収集部（１４０）が記憶している履歴情報に示される地点のうち、第一攻撃元から第一経路を通じて脅威が侵入した侵入地点を特定する侵入地点特定部（１５０）と、侵入地点特定部（１５０）が特定した地点を出力する侵入地点通知部（１６０）とを備える。

Description

侵入地点特定装置、および、侵入地点特定方法

　本発明は、侵入地点特定装置、および、侵入地点特定方法に関する。

　車両を不正に制御する脅威に対して防御する技術がある（特許文献１参照）。

特開２０１４－１４６８６８号公報

　車両は、移動体であり、また、侵入から攻撃被害発覚までの期間が一定でないことから、攻撃発覚地点から侵入地点を特定することが容易でないという問題がある。

　そこで、本発明は、移動体に侵入した脅威の侵入地点を特定する侵入地点特定装置等を提供する。

　本発明の一態様に係る侵入地点特定装置は、脅威が侵入し得る複数の経路をそれぞれが有する１以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定装置であって、前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、前記侵入地点特定装置は、前記１以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集して記憶している情報収集部と、前記１以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記１以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶しているログ収集部と、前記ログ収集部が記憶している前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定する特定部と、前記特定部が特定した前記地点を出力する出力部とを備える。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本発明の侵入地点特定装置は、移動体に侵入した脅威の侵入地点を特定することができる。

図１は、実施の形態におけるサイバー攻撃の侵入地点特定システムの全体構成図である。図２は、実施の形態における侵入地点特定装置の構成図である。図３は、実施の形態における脅威情報の一例を示す図である。図４は、実施の形態における車両ログの一例を示す図である。図５は、実施の形態における異常スコアの一例を示す図である。図６は、実施の形態における累積異常スコアの一例を示す図である。図７は、実施の形態における累積異常スコア可視化表示画面の一例を示す図である。図８は、実施の形態における脅威情報の異常検知処理のシーケンスを示す図である。図９は、実施の形態における車両ログの異常検知処理のシーケンスを示す図である。図１０は、実施の形態における異常スコアの算出処理のシーケンスを示す図である。図１１は、実施の形態における侵入地点特定処理のシーケンスを示す図である。図１２は、実施の形態における車両ログ収集部の車両ログ抽出処理のフローチャートである。図１３は、実施の形態における侵入地点特定部の異常スコア算出抽出処理のフローチャートである。図１４は、実施の形態における侵入地点特定部の侵入地点特定処理のフローチャートである。

　（本発明の基礎となった知見）
　本発明者は、「背景技術」の欄において記載した、車両を不正に制御する脅威に対して防御する技術に関し、以下の問題が生じることを見出した。

　近年、自動車の中のシステムには、電子制御装置（ＥＣＵ：ＥｌｅｃｔｒｏｎｉｃＣｏｎｔｒｏｌＵｎｉｔ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ＩＳＯ１１８９８－１で規定されているＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）という規格が存在する。

　ＣＡＮでは、通信路が２本のバスで構成され、バスに接続されているＥＣＵがノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。ＣＡＮでは、送信先ノード又は送信元ノードを指す識別子は存在せず、送信ノードはフレーム毎にメッセージＩＤと呼ばれるＩＤを付けて送信し、各受信ノードは予め定められたメッセージＩＤのみを受信する。そのため、悪意のユーザがＣＡＮのバスにＥＣＵを接続し、そのＥＣＵによって異常な制御コマンドを含むフレームを、正規のＥＣＵになりすまして送信することで、自動車を不正に制御できてしまう脅威がある。

　上記脅威に対して、車載ネットワークなどにおいて、不正な制御データの注入を検知する方法として、例えば、特許文献１に記載の方法がある。しかしながら、車両へのサイバー攻撃による不正な制御データの注入が発覚した攻撃被害発覚地点と、車両に不正なソフトウェアがインストールされたまたは不正なデバイスを設置された侵入地点とは、必ずしも一致しない。また、車両は、移動体であることと、侵入から攻撃被害発覚までの期間が一定でないことから、攻撃発覚地点から侵入地点を特定することは容易でないという問題がある。

　本発明は、上記問題を解決するものであり、移動体に侵入した脅威の侵入地点を特定する侵入地点特定装置等を提供する。より具体的には、本発明は、複数の車両の脅威情報と位置情報とを含むログを用いて、攻撃被害を受けた車両のうちの比較的多くの車両が攻撃被害発覚以前に経由した地点が、侵入地点である可能性が高いと判定することで、侵入地点を特定する装置及び方法を提供する。

　このような問題を解決するために、本発明の一態様に係る侵入地点特定装置は、脅威が侵入し得る複数の経路をそれぞれが有する１以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定装置であって、前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、前記侵入地点特定装置は、前記１以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集して記憶している情報収集部と、前記１以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記１以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶しているログ収集部と、前記ログ収集部が記憶している前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定する特定部と、前記特定部が特定した前記地点を出力する出力部とを備える。

　上記態様によれば、侵入地点特定装置は、１以上の移動体が位置していた地点を集計し、集計された地点に基づいて、移動体に脅威が侵入した地点を特定する。ここで、脅威は、移動体から所定距離以内の攻撃元から侵入することが想定されるので、１以上の移動体に侵入した脅威の攻撃元は、１以上の移動体が位置していた地点のいずれかから所定距離以内に存在すると想定される。よって、侵入地点特定装置は、１以上の移動体が位置していた地点を集計することで、攻撃元から脅威が侵入した侵入地点を特定可能である。このように、侵入地点特定装置は、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記脅威情報は、さらに、前記脅威が潜伏期間を有するか否かを示す潜伏情報を含み、前記潜伏情報は、前記脅威が前記潜伏期間を有することを示す場合には、さらに、前記潜伏期間の長さを含み、前記ログ収集部は、（ａ）前記脅威が前記潜伏期間を有することを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、前記潜伏期間の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶していて、（ｂ）前記脅威が前記潜伏期間を有しないことを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、所定の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶している。

　上記態様によれば、侵入地点特定装置は、移動体が位置していた地点の集計に際して、脅威が潜伏期間を有するものである場合にはその潜伏期間を用い、脅威が潜伏期間を有しないものである場合には所定の長さを有する期間を用いて、容易に移動体が位置していた地点の集計をすることができる。よって、侵入地点特定装置は、移動体に侵入した脅威の侵入地点をより容易に特定することができる。

　例えば、前記特定部は、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点についての異常の度合いを示すスコアをゼロより大きい値とし、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示していない場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点について前記スコアをゼロとし、前記ログ収集部が記憶している前記履歴情報に含まれる地点ごとに、前記脅威情報に基づいて算出される異常の度合いを考慮して前記スコアを補正し、前記補正後の前記スコアが所定値以上である地点を、前記侵入地点として特定する。

　上記態様によれば、侵入地点特定装置は、１以上の移動体が位置していた地点ごとに異常の度合いをスコアを用いて算出し、算出したスコアを用いて、脅威が移動体に侵入した地点を特定する。よって、侵入地点特定装置は、スコアを用いた具体的処理に基づいて、より容易に、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記特定部は、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記脅威が前記移動体の動作に与える影響の深刻さを示す深刻度が高いほど、より大きな値を前記スコアに加算することで、前記補正をする。

　上記態様によれば、侵入地点特定装置は、脅威の深刻度に応じてスコアを補正する。移動体へのサイバー攻撃の中でも、移動体の操作が制御されるなどの危険性の高い攻撃は、深刻度が高く報告される。そこで、より危険性の高い攻撃が発生している地点のスコアが、より大きな値として算出されるようにすれば、スコアが大きい地点をより危険な侵入地点として特定できる。よって、侵入地点特定装置は、脅威の深刻度を考慮して、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記ログは、前記１以上の移動体が位置する地点と、前記１以上の移動体の速度とを前記日時に対応付けて示し、前記ログ収集部は、さらに、収集した前記ログから、前記所定期間内の前記１以上の移動体の速度の履歴をさらに抽出して、前記履歴情報として記憶していて、前記特定部は、さらに、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記移動体の速度がゼロに近いほど、より大きな値を前記スコアに加算することで、前記補正をする。

　上記態様によれば、侵入地点特定装置は、移動体の速度に応じてスコアを補正する。一般に、不正な攻撃デバイスの物理的な取り付け、又は、充電中の不正ソフトウェアのインストールなどの移動体への侵入手段は、移動体が走行しているときよりも、移動体が停車しているときの方が、実行されやすい。そこで、車両が走行していた地点と比較して、車両が停止していた地点のスコアがより大きな値として算出されるようにすれば、多くの移動体が攻撃被害以前に停車していた地点のスコアが大きく算出されるので、より正確な侵入地点として特定され得る。よって、侵入地点特定装置は、移動体の速度を考慮して、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記ログ収集部は、さらに、前記ログ収集部が記憶している前記履歴情報に示される前記地点ごとに、当該地点に位置していた前記移動体の台数を算出して記憶していて、前記特定部は、さらに、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記地点に位置していた前記移動体の台数が多いほど、前記スコアをより小さくする前記補正をする。

　上記態様によれば、侵入地点特定装置は、走行する移動体の台数に応じてスコアを補正する。大型店舗の駐車場など、移動体が攻撃被害を受けたかどうかに関わらず、多くの移動体が走行する。このように多くの移動体が走行する地点について、スコアを小さくし、走行する移動体が少ない地点について、スコアを大きくすることで、地点ごとの偏りをなくして、より正確な侵入地点を特定できる。よって、侵入地点特定装置は、走行する移動体の台数を考慮して、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記脅威は、複数のカテゴリのいずれかに属する脅威を複数含み、前記特定部は、さらに、前記ログ収集部が記憶している前記履歴情報に含まれる地点についての前記スコアを、前記脅威が属するカテゴリごとに集計することで、各カテゴリについての地点ごとの累積スコアを算出して記憶する。

　上記態様によれば、侵入地点特定装置は、脅威のカテゴリごとに累積した累積スコアを用いて脅威の侵入地点を特定できる。充電装置を経由した攻撃、又は、不正デバイスを取り付けた攻撃などの脅威のカテゴリごとに累積スコアを算出することで、同じ地点で侵入した可能性が高い類似の攻撃が発生した地点の累積スコアがより大きく算出される。よって、累積スコアを用いることによって、より正確な侵入地点を特定できる。このように、侵入地点特定装置は、脅威のカテゴリに基づく地点の特定を利用して、より正確に、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記出力部は、さらに、前記ログ収集部が記憶している前記履歴情報に含まれる地点を含む地図を表示画面に表示するとともに、当該地図上において前記累積スコアが大きい地点ほど、寸法がより大きな図形、または、３次元表示において背がより高い図形を用いて表示する。

　上記態様によれば、侵入地点特定装置は、スコアの大きさに対応する大きさ又は高さを有する図形を地図とともに表示する。攻撃被害を受けた移動体が経由した累積スコアが高い地点と、大型店舗の駐車場又は充電装置の設置場所などの情報とを合わせて画面に表示することで、スコアが高い地点に何が存在しているかを確認するためのページの切り替え操作が不要となる。よって、ユーザがより効率的に侵入地点を特定できる利点がある。このように、侵入地点特定装置は、移動体に侵入した脅威の侵入地点に関する情報をユーザに提示しながら、その侵入地点を特定することができる。

　例えば、前記情報収集部は、前記脅威情報として、ＳＴＩＸ（Ｓｔｒｕｃｔｕｒｅｄ　Ｔｈｒｅａｔ　Ｉｎｆｏｒｍａｔｉｏｎ　ｅＸｐｒｅｓｓｉｏｎ）フォーマットの脅威情報を収集して記憶し、前記特定部は、前記ＳＴＩＸフォーマットの脅威情報に含まれるＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）における攻撃元区分が、物理、ローカル又は隣接である場合に、前記第一経路を通じて前記脅威が前記移動体に侵入したと判断する。

　上記態様によれば、侵入地点特定装置は、ＳＴＩＸ又はＣＶＳＳなどの標準化されたフォーマットに従うデータを収集する。これにより、侵入地点特定装置は、より多くの脅威情報を収集でき、また、攻撃元区分を用いて所定の距離内で攻撃可能であるかどうかを判断することで、複数の脅威情報について同様にデータを扱うことができる。また、報告者個人の偏りが小さくなるため、より正確な侵入地点を特定できる。このように、侵入地点特定装置は、より多くの脅威情報に基づいてより正確に、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記ログ収集部は、前記移動体のＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）ログを前記ログとして収集し、所定の緯度と経度とにより特定される地点を、前記地点として用いて、履歴情報を記憶している。

　上記態様によれば、侵入地点特定装置は、ＧＰＳによる位置計測を利用できる。侵入地点特定装置は、移動体に内蔵しているか外付けであるかに関わらず多くの機器において利用されているＧＰＳログを収集し、移動体間で同じ精度の緯度及び経度ごとに地点を抽出し、地点ごとのスコア又は累積スコアを算出する。よって、侵入地点特定装置は、より多くの移動体の位置情報から累積異常スコアを算出できるので、より正確な侵入地点を特定できる。このように、侵入地点特定装置は、ＧＰＳを用いてより正確に、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記ログ収集部は、前記移動体である車両の充電に用いられる充電装置の設置場所、駐車場または車検場所が存在する地点を、前記地点として用いて前記履歴情報を記憶している。

　上記態様によれば、侵入地点特定装置は、車両の充電装置の設置場所、駐車場または車検場所が存在する地点のうちから侵入地点を特定する。侵入地点特定装置は、不正な攻撃デバイスの物理的な取り付け、又は、充電中の不正ソフトウェアのインストールなど、移動体への脅威の侵入が起こりやすい地点として、充電装置の設置場所、駐車場又は車検場所を抽出する。そのため、上記地点ごとのスコア又は累積スコアを算出することで、侵入される可能性の低い地点を除外できる。よって、侵入地点特定装置は、計算量を抑えることによって効率的に、移動体に侵入した脅威の侵入地点を特定することができる。

　例えば、前記侵入地点特定装置は、さらに、（ａ）前記情報収集部が前記１以上の移動体のうちのいずれか一の移動体に前記脅威が侵入したことを示す前記脅威情報を受信した場合に、受信した前記脅威情報が異常であると判断し、または、（ｂ）前記脅威が侵入したことを示す前記ログを前記ログ収集部が受信した場合に、受信した前記ログが異常であると判断する、異常検知部を備え、前記情報収集部は、異常があると前記異常検知部が判断した前記脅威情報を収集し、前記ログ収集部は、異常があると前記異常検知部が判断した前記ログを収集する。

　上記態様によれば、侵入地点特定装置は、脅威の侵入に関連する脅威情報又はログを受信した場合に、その脅威情報又はログに基づいて脅威の侵入地点を特定する。これにより、侵入地点特定装置は、脅威情報または車両ログにおいて移動体への攻撃を検出した後、人手を介さずにスコア又は累積スコアを算出して侵入地点を特定できるため、攻撃発覚から侵入地点特定までの時間を短くすることができ、攻撃被害をより一層抑制することができる。よって、侵入地点特定装置は、異常の検知に基づいて、より短時間で、移動体に侵入した脅威の侵入地点を特定することができる。

　また、本発明の一態様に係る侵入地点特定方法は、脅威が侵入し得る複数の経路をそれぞれが有する１以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定方法であって、前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、前記侵入地点特定方法は、前記１以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集し記憶し、前記１以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記１以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶し、記憶されている前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定し、特定された前記地点を出力する。

　これにより、上記侵入地点特定装置と同様の効果を奏する。

　なお、これらの包括的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なＣＤ－ＲＯＭ等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態に係る侵入地点特定装置について図面を参照しながら説明する。

　なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態）
　本実施の形態において、移動体に侵入した脅威の侵入地点を特定する侵入地点特定装置について説明する。ここでは、移動体の一例として車両を用いて説明する。

　［サイバー攻撃の侵入地点特定システム全体構成図］
　図１は、本実施の形態におけるサイバー攻撃の侵入地点特定システムの全体構成図である。

　図１において、サイバー攻撃の侵入地点特定システムは、脅威情報共有サーバー２０と、車両ログ送信装置３０と、侵入地点特定装置１０とを備える。脅威情報共有サーバー２０と、車両ログ送信装置３０と、侵入地点特定装置１０とは、外部ネットワークを介して接続される。外部ネットワークの一例は、インターネットである。

　脅威情報共有サーバー２０は、脅威情報を解析者から受信し、脅威情報を利用者へ送信するサーバーである。

　脅威情報は、車両へのサイバー攻撃被害が発覚した後に、攻撃の対象となった車両のシステムログから解析者が解析した攻撃の影響と原因などが記述された文書を含む情報である。脅威情報は、例えば、脅威情報構造化記述形式ＳＴＩＸ（Ｓｔｒｕｃｔｕｒｅｄ　Ｔｈｒｅａｔ　Ｉｎｆｏｒｍａｔｉｏｎ　ｅＸｐｒｅｓｓｉｏｎ）の記述形式に従って記述される。なお、「攻撃の対象となった車両」を対象車両ともいう。車両のシステムログを、車両ログともいい、単にログということもある。

　脅威情報構造化記述形式ＳＴＩＸで記述された脅威情報は、サイバー攻撃インシデントの分類（脅威カテゴリともいう）と、攻撃の検出方法と、攻撃の対策方法と、攻撃対象の脆弱性と、共通脆弱性評価システムＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）によって体系化されている脆弱性の攻撃元区分と、脆弱性の深刻度と、攻撃発覚日と、侵入されてから攻撃被害発生までの期間である潜伏期間と、対象車両の車両識別番号と、対象車両の車種とを含む。ここで、潜伏期間は、潜伏情報の一例である。潜伏期間は、脅威が潜伏期間を有するか否かを示す情報である。脅威が潜伏期間を有することを潜伏情報が示す場合には、潜伏情報は、さらに、潜伏期間の長さを含む。

　ＣＶＳＳでは、対象コンポーネントをネットワーク経由でリモートから攻撃可能である場合に、攻撃元区分を「ネットワーク」とする。対象コンポーネントを隣接ネットワークから攻撃する必要がある場合に、攻撃元区分を「隣接」とする。対象コンポーネントをローカル環境から攻撃する必要がある場合に、攻撃元区分を「ローカル」とする。対象コンポーネントを物理アクセス環境から攻撃する必要がある場合に、攻撃元区分を「物理」とする。

　また、ＣＶＳＳでは、脆弱性の深刻度を数値で表現し、最も深刻度が高い場合に１０点、深刻でない場合に０点とする。深刻度は、脅威が車両の動作に与える影響の深刻さを示す指標である。

　解析者は、車両へのサイバー攻撃を解析可能な人物であり、例えば、セキュリティオペレーションセンター、セキュリティ対策チーム、車両の製造元、車載装置の開発元、又は脆弱性発見者などである。

　利用者は、脅威情報を受信する人物または装置であり、例えば、セキュリティオペレーションセンター、セキュリティ対策チーム、又は、侵入地点特定装置１０である。

　車両ログ送信装置３０は、車両識別番号と、車両のシステムログ、ネットワークログ、位置情報、車両状態を含む車両のログを侵入地点特定装置１０へ送信する電子制御装置である。車両ログ送信装置３０は、上記ログを定期的に、または、攻撃被害が発覚した後に、侵入地点特定装置１０へ送信する。車両ログ送信装置３０は、車両に設置されている。

　車両識別番号は、ＶＩＮ（Ｖｅｈｉｃｌｅ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ　Ｎｕｍｂｅｒ）である。車両のシステムログは、ＥＣＵに搭載された車両制御ソフトウェアの動作ログである。ネットワークログは、ＣＡＮネットワークのトラフィックログである。位置情報はＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）のログである。車両状態は、車両の速度である。

　侵入地点特定装置１０は、車両に脅威が侵入した地点を特定する装置である。侵入地点特定装置１０は、脅威情報共有サーバー２０から脅威情報を受信し、車両ログ送信装置３０から車両のログを収集する。そして、侵入地点特定装置１０は、脅威情報を受信した場合、または、車両のログにセキュリティ上の異常が含まれていた場合に、脅威情報と車両のログとを用いて、車両と物理的に比較的近くに位置する攻撃元からでなければ実施できない侵入手段を用いて侵入された侵入地点を特定する。侵入地点の特定方法についての詳細は後述する。なお、「車両と物理的に比較的近くに位置する攻撃元」は、車両から所定距離以内に位置する攻撃元ともいえる。

　車両と物理的に比較的近くに位置する攻撃元からでなければ実施できない侵入手段とは、例えば、車両が充電装置側に停車して充電している間に充電装置から電力線を経由して不正なソフトウェアをインストールする、という手段である。また、侵入手段には、車両が大型店舗の駐車場に駐車している間にＢｌｕｅｔｏｏｔｈ（登録商標）通信を経由して車載インフォテイメント装置に不正なソフトウェアをインストールする、又は、不正な車両修理業者が車両の修理中に、不正なデバイスをＯＢＤ２（ＯＮ　ＢＯＡＲＤ　ＤＩＡＧＮＯＳＴＩＣＳ　２）ポートに取り付ける、という手段も含まれ得る。

　攻撃者は、車両と物理的に比較的近くに位置する攻撃元からでなければ実施できない侵入手段を用いて、脅威が車両に侵入することに成功した後は、インターネット経由で遠隔から不正なソフトウェアまたはデバイスから車載ネットワークに不正な制御コマンドを送信することで攻撃被害を発生させることできる。

　［侵入地点特定装置の構成図］
　図２は、本実施の形態における侵入地点特定装置１０の構成図である。図２において、侵入地点特定装置１０は、通信部１１０と、異常検知部１２０と、脅威情報収集部１３０と、車両ログ収集部１４０と、侵入地点特定部１５０と、侵入地点通知部１６０とを備える。上記の構成要素は、侵入地点特定装置１０が備えるプロセッサ（不図示）がメモリ（不図示）を用いてプログラムを実行することで実現され得る。

　通信部１１０は、外部ネットワークと接続される通信インタフェース装置である。通信部１１０は、脅威情報共有サーバー２０から脅威情報を受信し、異常検知部１２０および脅威情報収集部１３０に脅威情報を転送する。また、通信部１１０は、車両ログ送信装置３０から車両ログを受信し、異常検知部１２０および車両ログ収集部１４０に車両ログを転送する機能を有する。

　異常検知部１２０は、脅威情報又は車両ログの異常を検知する。異常検知部１２０は、通信部１１０から脅威情報を受信し、脅威情報に対象車両のサイバー攻撃が含まれている場合に、異常であると判断し、異常であると判断された脅威情報を脅威情報収集部１３０に通知する。また、異常検知部１２０は、通信部１１０から車両ログを受信し、車両ログにセキュリティ上の異常が含まれる場合に、異常であると判断し、異常であると判断された車両ログを脅威情報収集部１３０に通知する機能を有する。

　脅威情報収集部１３０は、通信部１１０から脅威情報を受信し、脅威情報を記憶する。脅威情報収集部１３０は、通信部１１０を介して脅威情報共有サーバー２０から脅威情報を収集する。脅威情報は、１以上の車両のうちの脅威が侵入した車両の識別情報と、当該車両が有する複数の経路のうち脅威が侵入した経路を示す経路情報と、当該移動体への脅威の侵入による攻撃の発覚日を示す発覚情報とを含む。脅威情報収集部１３０は、情報収集部に相当する。

　また、脅威情報収集部１３０は、異常検知部１２０により異常であると判断された脅威情報を受信する。また、脅威情報収集部１３０は、異常検知部１２０から脅威情報に含まれる脆弱性の攻撃元区分が、「物理」、「ローカル」、又は「隣接」である場合に、車両と物理的に比較的近くに位置する攻撃元から侵入されたと判断する。そして、脅威情報収集部１３０は、脅威情報から車両識別番号と脅威カテゴリと脆弱性の深刻度と潜伏期間とを抽出し、車両ログ収集部１４０に車両識別番号と潜伏期間とを通知し、侵入地点特定部１５０に車両識別番号と脅威カテゴリと脆弱性の深刻度とを通知する。

　また、脅威情報収集部１３０は、異常検知部１２０により異常であると判断された車両ログを受信する。また、脅威情報収集部１３０は、記憶している脅威情報から、車両ログに含まれる車両識別番号と一致する車両識別番号を有する脅威情報を特定する。脅威情報収集部１３０は、特定した脅威情報から、車両識別番号と脅威カテゴリと脆弱性の深刻度と潜伏期間とを抽出し、車両ログ収集部１４０に車両識別番号と潜伏期間とを通知し、侵入地点特定部１５０に車両識別番号と脅威カテゴリと脆弱性の深刻度とを通知する機能を有する。

　車両ログ収集部１４０は、通信部１１０から車両ログを受信し、車両ログに含まれる車両識別番号ごとに車両ログを記憶する。上記車両ログには、異常があると異常検知部１２０が判断した車両ログが含まれている。具体的には、車両ログ収集部１４０は、１以上の車両が位置する地点を日時に対応付けて示すログを収集し、収集したログから、発覚情報に基づいて定められる所定期間内に１以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶している。車両ログ収集部１４０は、ログ収集部に相当する。

　また、車両ログ収集部１４０は、脅威情報収集部１３０から、車両識別番号と潜伏期間とを受信する。車両ログ収集部１４０は、記憶されている車両ログから車両識別番号が一致し、かつ、潜伏期間中の車両ログを異常車両ログとして特定する。車両ログ収集部１４０は、緯度と経度とをそれぞれ０度０分１秒ごとに分割した領域を地点として定義し、異常車両ログから、車両が走行して通過した異常地点と、当該異常地点における車両状態を抽出する。車両ログ収集部１４０は、すべての車両ログから異常地点における車両の台数を全体車両数として抽出し、異常地点と、異常地点における異常車両状態及び全体車両数とを侵入地点特定部１５０に通知する機能を有する。

　なお、車両ログ収集部１４０は、一例として、車両のＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）ログを上記ログとして収集し、所定の緯度と経度とにより特定される地点を、上記地点として用いて、履歴情報を記憶している。また、車両ログ収集部１４０は、車両の充電に用いられる充電装置の設置場所、駐車場または車検場所が存在する地点を、上記地点として用いて履歴情報を記憶している。

　侵入地点特定部１５０は、車両ログ収集部１４０が記憶している履歴情報に示される地点のうち、第一攻撃元から第一経路を通じて脅威が侵入した侵入地点を特定する。侵入地点特定部１５０は、特定部に相当する。

　侵入地点特定部１５０は、脅威情報収集部１３０から、車両識別番号と脅威カテゴリと脆弱性の深刻度とを受信する。侵入地点特定部１５０は、車両ログ収集部１４０から異常地点と異常地点における異常車両状態と全体車両数とを受信し、異常地点ごとに異常車両状態と脆弱性の深刻度と全体車両数に応じて地点ごとの異常スコアを算出又は補正し、脅威カテゴリごとに記憶する。

　異常スコアは、１を基準点とする。侵入地点特定部１５０は、０から１０までの数値で定義されるＣＶＳＳの深刻度を基準点に対して加点し、異常車両状態が「停車」である場合にさらに１０を加点した点数を、全体車両数で割った値を異常スコアとして算出し、脅威カテゴリと地点ごとに記憶する。

　侵入地点特定部１５０は、脅威カテゴリと地点ごとに記憶した異常スコアの総和が０．１を越えたか否かを判定する機能を有する。そして、侵入地点特定部１５０は、異常スコアの総和が０．１を超えた地点について、当該地点が異常であると判定する。

　侵入地点通知部１６０は、侵入地点特定部１５０が特定した地点を出力する。侵入地点通知部１６０は、出力部に相当する。

　侵入地点通知部１６０は、侵入地点特定部１５０が異常と判定した地点を侵入地点特定部１５０から受信する。侵入地点通知部１６０は、地図情報と地点ごとの異常スコアの情報とを画面に表示する。このとき、侵入地点通知部１６０は、地図情報と異常スコアの情報とを重ねて画面に表示してもよい。侵入地点通知部１６０は、異常と判定された地点を、車両識別番号と対応するドライバ、又は、車両識別番号と対応する車両の車種のドライバに通知し、異常と判定された地点をセキュリティ対策チームまたは警察に通知する機能を有する。

　ここで、車両ログ収集部１４０は、脅威が潜伏期間を有することを脅威情報が示していると判定した場合には、発覚日を終期とする、潜伏期間の長さを有する期間を、所定期間として用いて履歴情報を記憶している。一方、脅威が潜伏期間を有しないことを脅威情報が示していると判定した場合には、発覚日を終期とする、所定の長さを有する期間を、所定期間として用いて履歴情報を記憶している。

　また、侵入地点特定部１５０は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、車両ログ収集部１４０が記憶している履歴情報に含まれる各地点についての異常の度合いを示すスコアをゼロより大きい値とする。一方、侵入地点特定部１５０は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示していない場合には、車両ログ収集部１４０が記憶している履歴情報に含まれる各地点についてスコアをゼロとする。そして、侵入地点特定部１５０は、車両ログ収集部１４０が記憶している履歴情報に含まれる地点ごとに、脅威情報に基づいて算出される異常の度合いを考慮してスコアを補正し、補正後のスコアが所定値以上である地点を、侵入地点として特定する。

　侵入地点特定部１５０による補正について詳細に説明する。

　侵入地点特定部１５０は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、脅威が車両の動作に与える影響の深刻さを示す深刻度が高いほど、より大きな値をスコアに加算することで、補正をしてもよい。

　また、侵入地点特定部１５０は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、車両の速度がゼロに近いほど、より大きな値をスコアに加算することで、補正をしてもよい。ここで、ログは、１以上の車両が位置する地点と、１以上の移動体の速度とを日時に対応付けて示しているとする。また、車両ログ収集部１４０は、収集したログから、所定期間内の１以上の車両の速度の履歴をさらに抽出して、履歴情報として記憶しているとする。

　また、侵入地点特定部１５０は、第一経路を通じて脅威が車両に侵入したことを脅威情報が示している場合には、地点に位置していた車両の台数が多いほど、スコアをより小さくする補正をしてもよい。ここで、車両ログ収集部１４０は、車両ログ収集部１４０が記憶している履歴情報に示される地点ごとに、当該地点に位置していた車両の台数を算出して記憶しているとする。

　なお、侵入地点特定部１５０は、車両ログ収集部１４０が記憶している履歴情報に含まれる地点についてのスコアを、脅威が属するカテゴリごとに集計することで、各カテゴリについての地点ごとの累積スコアを算出して記憶してもよい。

　［脅威情報］
　図３は、本実施の形態における脅威情報の一例を示す図である。図３に示される脅威情報は、脅威情報共有サーバー２０から侵入地点特定装置１０へ送信される脅威情報の一例である。

　図３において、脅威情報は、脅威情報番号、攻撃元区分、脆弱性の深刻度、脅威カテゴリ、攻撃発覚日、潜伏期間、車両識別番号、及び、車両の種別の組を含んで構成される。

　攻撃元区分は、「物理」、「ローカル」、「隣接」、及び、「ネットワーク」のうちから１つが選択される。

　脅威情報番号は、脅威情報それぞれに一意に紐付けられる番号である。

　脆弱性の深刻度は、０から１０のうちから１つが選択される。

　図３において、例えば、脅威情報番号１の脅威は、攻撃元区分が「物理」であり、脆弱性の深刻度が「７」であり、脅威カテゴリが「不正なＯＢＤ２デバイス」であり、潜伏期間が「不明」であり、車両識別番号が「Ａ００１」であり、車両の種別が「Ａ」であることが示されている。

　脅威情報の攻撃元区分が「物理」、「隣接」又は、「ローカル」である場合に、車両と物理的に比較的近い位置に攻撃者が存在する、または、車両と物理的に比較的近い位置に侵入ツールを設置されたと判断できる。

　また、脅威情報の脆弱性の深刻度を参照することで攻撃被害の大きさを判断できる。脅威カテゴリを参照することで類似した攻撃を分類できる。潜伏期間を参照することで確認する車両ログの期間を判断できる。車両識別番号を参照することで車両識別番号と対応する車両ログを特定できる。車両の種別を参照することで、類似した車両への攻撃ごとに脅威情報を分類できる。

　［車両ログ］
　図４は、本実施の形態における車両ログ送信装置３０から侵入地点特定装置１０へ送信される車両ログの一例を示す図である。

　図４において、車両ログは、車両識別番号、時刻、位置情報、及び、車両状態の組を含んで構成される。図４において、例えば、車両識別番号「Ａ００１」の車両が、時刻「Ｔ１１」に、緯度「Ｎ１秒」及び緯度「Ｅ１秒」の地点Ａを、「１０ｋｍ／ｈ」で走行していたことが示されている。また、車両識別番号「Ａ００１」の上記車両が、時刻「Ｔ１２」に、緯度「Ｎ２秒」及び経度「Ｅ２秒」の地点Ｂを、「２０ｋｍ／ｈ」で走行していたことが示されている。

　異常な車両の車両識別番号が判明すれば、侵入地点特定部１５０は、車両ログから、異常な車両の車両識別番号に対する時刻を参照することで攻撃が発覚するまでの所定の期間を特定できる。また、所定の期間内における、異常な車両の車両識別番号に対する位置情報を参照することで、当該車両が通過した地点を抽出でき、車両状態を参照することで地点ごとに車両が停車中であるか走行中であるかを判断できる。車両ログにおいて、位置情報は、緯度と経度を０度０分１秒ごとに分割した領域を地点として定義する。

　また、侵入地点特定部１５０は、車両ログから全体車両数を算出する。全体車両数は、所定の期間内に特定の地点における車両の交通量を示す数値であり、具体的には、所定の期間内に特定の地点を通過した正常な車両と異常な車両とを含む車両の合計台数を示す。全体車両数は、車両ログに含まれる、所定の期間内の特定の位置情報を含む車両識別番号を用いて算出される。

　例えば、図４において、所定の期間Ｔ１１～Ｔ４３において、特定の位置情報に相当する地点Ｄに位置した車両の車両識別番号は、Ｂ００１とＣ００１との２つであるので、地点Ｄの全体車両数は２と算出される。

　［異常スコア］
　図５は、本実施の形態における侵入地点特定部１５０が算出する異常スコアの一例を示す図である。なお、異常スコアを単にスコアともいう。

　図５において、異常スコアは、脅威情報番号、脅威カテゴリ、車両識別番号、位置情報、及び、異常スコア算出値の組を含んで構成される。さらに、異常スコア算出値は、基準点、深刻度加点、車両状態加点、全体車両数、及び、異常スコアを含む。

　図５において、脅威情報番号「１」に含まれる車両識別番号「Ａ００１」の車両ログは、攻撃発覚前の潜伏期間内の車両ログ、または、攻撃発覚前１日間の位置情報を抽出したものである。例えば、図４の車両ログにおいて、時刻Ｔ１１～Ｔ１３の期間内に、車両識別番号「Ａ００１」である車両が通過した地点は、「地点Ａ」と「地点Ｂ」と「地点Ｃ」とである。

　ここで、図３の脅威情報において、脅威情報番号「１」の脅威の攻撃元区分は、「物理」であるため、攻撃者または侵入ツールが車両と物理的に比較的近い位置に配置されていたことを示している。よって、侵入地点特定部１５０は、異常スコア算出値の基準点を「１」とする。また、侵入地点特定部１５０は、攻撃元区分が「物理」、「隣接」又は「ローカル」である場合に、基準点をゼロより大きい値、より特定的には「１」と設定し、一方、攻撃元区分が「ネットワーク」である場合には基準点を「０」と設定する。

　さらに、侵入地点特定部１５０は、図３の脅威情報において、脆弱性の深刻度が７であるので、異常スコア算出値の深刻度加点に「７」を設定する。

　また、侵入地点特定部１５０は、図４の車両ログにおいて、車両識別番号「Ａ００１」の地点Ａにおける車両状態が「走行」であるため、異常スコア算出値の車両状態加点に「０」を設定する。

　異常スコア算出値の異常スコアは、基準点と深刻度加点と車両状態加点とを加算した点数を全体車両数で割った数値が設定される。図５において、車両識別番号「Ａ００１」の「地点Ａ」の異常スコアは、地点Ａの全体車両数が１００であるので、基準点と深刻度加点と車両状態加点とを加算した点数「８」を、地点Ａの全体車両数である「１００」で割って、「０．０８」となる。

　図５において、脅威情報番号「２」に含まれる車両識別番号「Ｂ００１」の車両ログは、攻撃発覚前の潜伏期間内の車両ログ、または、攻撃発覚前１日間の位置情報を抽出したものである。例えば、図４の車両ログにおいて、時刻Ｔ２１～Ｔ２２の期間内に、車両識別番号「Ｂ００１」である車両が通過した地点は、「地点Ｄ」と「地点Ｅ」と「地点Ｆ」とである。

　また、図３の脅威情報において、脅威情報番号「２」の脅威の攻撃元区分は、「ローカル」であるため、異常スコアの算出値の基準点を「１」とする。さらに図３の脅威情報において、脅威情報番号「２」に含まれる脆弱性の深刻度が６であるので、異常スコア算出値の深刻度加点に「６」を設定する。

　また、侵入地点特定部１５０は、図４の車両ログにおいて、車両識別番号「Ｂ００１」の地点Ｄにおける車両状態が「停車」であるため、異常スコア算出値の車両状態加点に「１」を設定する。車両状態が「走行」よりも「停車」である場合のほうがサイバー攻撃の侵入地点となる可能性が高いため、「停車」の車両状態加点は「走行」の車両状態加点である「０」よりも高い「１」が設定される。図５において、車両識別番号「Ｂ００１」の「地点Ｄ」の異常スコアは、基準点と深刻度加点と車両状態加点とを加算した点数「９」を、地点Ｄの全体車両数である「１０」で割って「０．９」となる。

　また、図３の脅威情報において、脅威情報番号「４」の脅威の脅威情報の攻撃元区分は、「ネットワーク」であるため、攻撃者または侵入ツールが車両と物理的に比較的近い位置に配置されていないことを示している。よって、侵入地点特定部１５０は、異常スコア算出値の基準点を「０」と設定し、さらに、深刻度加点および車両状態加点は、設定しない。

　このように、異常スコアについて、図３の脅威情報の攻撃元区分を参照し、攻撃元区分が「物理」、「隣接」、または、「ローカル」であれば攻撃者または侵入ツールが車両に物理的に比較的近い位置に配置され、サイバー攻撃の侵入地点となる可能性がある場合に、基準点として「１」が設定される。一方、脅威情報の攻撃元区分がネットワークであれば攻撃者または侵入ツールが車両に物理的に比較的近い位置に配置される必要がないので、サイバー攻撃の侵入地点となる可能性が低いことから、基準点として「０」が設定され、常スコアが「０」と設定される。

　異常スコア算出値の基準点が「１」に設定された場合、さらに、深刻度加点、車両状態加点が設定され得る。深刻度加点は、脅威情報の脆弱性を用いて設定し、車両が不正に制御されるなど、より深刻度が高く危険性の高い攻撃の侵入地点の異常スコアを大きくすることができる。また、車両状態加点は、車両ログの車両状態を用いて設定し、車両が走行である場合は侵入される可能性が低いため異常スコアを小さくし、車両が停止中である場合は侵入される可能性が高いため異常スコアを大きくすることができる。

　また、全体車両数が多い地点は、正常な車両または異常な車両の別にかかわらず多くの車両が通過する地点であるため、異常スコアを小さく設定する。全体車両数が少ない地点は、異常な車両の比率が比較的大きい、特徴的な地点となるため、異常スコアを大きく設定する。

　［累積異常スコア］
　図６は、本実施の形態における侵入地点特定部１５０が算出する脅威カテゴリと地点ごとの累積異常スコアの一例を示す図である。

　図６において、累積異常スコアは、脅威カテゴリ、地点、異常スコア、累積異常スコアの組を含んで構成される。異常スコアは、複数の脅威情報を含んで構成される。累積異常スコアは、図５で説明した異常スコアを累積したものである。

　図６において、脅威情報番号「１」を有する脅威が属する脅威カテゴリは「不正なＯＢＤ２デバイス」である。脅威情報番号「１」と対応する車両ログの位置情報には地点ＡとＢとＣが含まれ、それぞれの異常スコアは「０．０８」、「０．０８」、「０．０４」である。地点ＡとＢとＣとは、他の脅威情報と対応する車両ログの位置情報に含まれないため、累積異常スコアは「０．０８」、「０．０８」、「０．０４」である。

　脅威情報番号「２」と「３」に対応する車両ログの位置情報には地点Ｄが含まれている。脅威情報番号「２」についての地点Ｄの異常スコアは「０．８」であり、脅威情報番号「３」についての地点Ｄの異常スコアは「０．７」である。地点Ｄの累積異常スコアは、脅威情報番号「２」と「３」の地点Ｄの異常スコアの総和である「１．５」である。

　このように、脅威カテゴリと地点ごとに複数の脅威情報の異常スコアを参照して総和を取ることで、類似した攻撃被害を受けた車両のうち、多くの車両が攻撃発覚前に経由、つまり走行することで通過した地点の異常スコアが大きくなるように設定できる。

　［累積異常スコア可視化表示画面の一例］
　図７は、本実施の形態における侵入地点通知部１６０が累積異常スコアを可視化して表示する画面の一例を示した図である。図７では、経度がそれぞれＮ１、Ｎ２及びＮ３である道路と、緯度がそれぞれＷ１、Ｗ２及びＷ３である道路とが地図上に表示されている。また、経度がＮ１であり緯度がＷ１である位置に存在する充電装置Ｘの位置と名称、経度がＮ２であり緯度がＷ３である位置に存在する駐車場Ｙの位置と名称、及び、経度がＮ３であり緯度がＷ２である位置に存在する水素ステーションＺの位置と名称が表示されている。

　図７において、さらに、侵入地点通知部１６０は、累積異常スコアを表示する。侵入地点通知部１６０は、累積異常スコアが大きい地点ほど、寸法がより大きな図形、または、３次元表示において背がより高い図形を用いて表示する。具体的には、侵入地点通知部１６０は、異常累積スコアを棒グラフの図形で示す。棒グラフは、累積異常スコアが大きいほど、長く、又は、大きく表示する。また、３次元表示の場合には、背がより高い図形として表示する。

　侵入地点通知部１６０は、例えば、地点Ｄの累積異常スコアである１．５を示す図形として、経度がＮ１である道路と、緯度がＷ１である道路との交差点に棒グラフを表示する。表示される棒グラフは、地点Ｄの累積異常スコアに相当する大きさ又は高さを有する。また、表示される棒グラフの内部に累積異常スコアの数値「１．５」が表示される。また、地点Ｆの累積異常スコアである０．０６を示す図形として、経度がＮ２である道路と、緯度がＷ１である道路との交差点に棒グラフを表示する。表示の態様は上記と同様である。

　このように、侵入地点通知部１６０は、地図上に侵入地点となる可能性の高い地点の名称と同時に、累積異常スコアを可視化して表示するので、ユーザは、累積異常スコアが高い地点に何が存在しているかを、表示されるページを切り替えることなく視認可能である。そのため、ユーザは、効率的に異常な侵入地点を特定できる。

　［異常検出装置の処理シーケンス］
　図８～図１１は、本実施の形態における脅威情報共有サーバー２０が脅威情報を侵入地点特定装置１０へ送信した、または車両ログ送信装置３０が車両ログを侵入地点特定装置１０へ送信した後、侵入地点特定装置１０が、セキュリティ上の異常を検知して、脅威カテゴリと地点ごとに侵入地点である可能性を示す異常スコアを算出し、脅威カテゴリと地点ごとの累積異常スコアを算出し、侵入地点を特定して通知するまでの処理シーケンスを示している。

　ステップＳ８０１において、脅威情報共有サーバー２０は、侵入地点特定装置１０の通信部１１０へ脅威情報を送信する。脅威情報共有サーバー２０は、事前に、脅威情報を解析者から受信している。脅威情報に含まれる情報は、図３に示す通りである。解析者は、車両へのサイバー攻撃を車両のログなどから解析可能な人物であり、例えば、セキュリティオペレーションセンター、セキュリティ対策チーム、車両の製造元、車載装置の開発元、又は、脆弱性発見者である。

　ステップＳ８０２において、通信部１１０は、ステップＳ８０１で送信された脅威情報を受信し、受信した脅威情報を脅威情報収集部１３０に送信することによって、脅威情報を転送する。

　ステップＳ８０３において、脅威情報収集部１３０は、ステップＳ８０２で送信された脅威情報を受信し、記憶する。

　ステップＳ８０４において、通信部１１０は、ステップＳ８０１で送信され、ステップＳ８０２で受信した脅威情報を異常検知部１２０に送信することによって、脅威情報を転送する。

　ステップＳ８０５において、異常検知部１２０は、ステップＳ８０４で送信された脅威情報を受信する。異常検知部１２０は、受信した脅威情報に、解析対象車両へのサイバー攻撃を含む場合に、受信した脅威情報が異常であると判断する。ここで解析対象車両は、例えば、特定の製造元の車両であり、この場合、特定の製造元の車両の車両識別番号が脅威情報に含まれる場合に、当該脅威情報を異常であると判断する。

　ステップＳ８０６において、異常検知部１２０は、ステップＳ８０５において、脅威情報が異常であると判断した場合に異常な脅威情報を脅威情報収集部１３０に送信する。

　ステップＳ８０７において、脅威情報収集部１３０は、ステップＳ８０６で送信された異常な脅威情報を受信する。

　図９に移り、ステップＳ９０１において、車両ログ送信装置３０は、侵入地点特定装置１０の通信部１１０へ車両ログを送信する。ここで車両ログは、例えばＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）などの通信プロトコルを用いて、インターネットを経由して侵入地点特定装置１０へ送信される。車両ログに含まれる情報は、図４に示す通りである。

　ステップＳ９０２において、通信部１１０は、ステップＳ９０１で送信された車両ログを受信し、受信した車両ログを車両ログ収集部１４０に送信することによって、車両ログを転送する。

　ステップＳ９０３において、車両ログ収集部１４０は、ステップＳ９０２で送信された車両ログを受信し、記憶する。

　ステップＳ９０４において、通信部１１０は、ステップＳ９０１で送信され、ステップＳ９０２で受信した車両ログを異常検知部１２０に送信することによって、車両ログを転送する。

　ステップＳ９０５において、異常検知部１２０は、ステップＳ９０４で送信された車両ログを受信し、受信した車両ログの中にサイバー攻撃を含むログを検出した場合に、受信した車両ログが異常であると判断する。ここで車両ログから異常を検知する方法は、例えば、車速が１０ｋｍ／ｈ以内でのみ発動する自動駐車制御を指示するメッセージが、車速１００ｋｍ／ｈの走行中に送信された場合に異常と検出するルールを事前に作成しておく前提で、異常検知部１２０は、車両ログに含まれるＣＡＮネットワークトラフィックを監視し、ルールに一致するメッセージを含む車両ログが含まれていた場合に異常である検出する。

　ステップＳ９０６において、異常検知部１２０は、ステップＳ９０５において車両ログが異常であると判断した場合に、異常な車両ログを脅威情報収集部１３０に送信する。

　ステップＳ９０７において、脅威情報収集部１３０は、ステップＳ９０６で送信された異常な車両ログを受信する。

　ステップＳ９０８において、脅威情報収集部１３０は、ステップＳ９０７で受信した異常な車両ログに含まれる車両識別番号と対応する異常な脅威情報を特定する。ここで、車両識別番号は、全ての車両の中でユニークな値であり、脅威情報に含まれる車両識別番号と車両ログに含まれる車両識別番号とは、同一であるので、車両ログと脅威情報の対応付けが可能である。

　図１０に移り、ステップＳ１００１において、脅威情報収集部１３０は、異常な脅威情報を取得する。この処理は、ステップＳ８０７またはステップＳ９０８において、脅威情報収集部１３０が異常な脅威情報を受信又は特定する処理に相当する。

　ステップＳ１００２において、脅威情報収集部１３０は、ステップＳ１００１の脅威情報の攻撃元区分が、「物理」、「ローカル」または「隣接」である場合、脅威情報から、車両識別番号と脅威カテゴリと深刻度と攻撃発覚日と潜伏期間とを抽出する。ここで、脅威情報に含まれる潜伏情報が、潜伏期間を有しないことを示している場合には、所定の期間、より具体的には所定の日数、例えば１日を潜伏期間として用いる。潜伏期間中の車両ログの抽出方法については、図１２にて後述する。

　ステップＳ１００３において、脅威情報収集部１３０は、ステップＳ１００２で抽出された車両識別番号と攻撃発覚日と潜伏期間とを車両ログ収集部１４０へ送信する。

　ステップＳ１００４において、車両ログ収集部１４０は、ステップＳ１００３の車両識別番号と攻撃発覚日と潜伏期間とを受信する。

　ステップＳ１００５において、車両ログ収集部１４０は、ステップＳ１００４の車両識別番号と対応する車両ログから、潜伏期間中の位置情報と、地点ごとの車両状態とを抽出し、侵入地点特定装置１０へ送信する。ここで地点は、位置情報に含まれる緯度と経度とを０度０分１秒ごとに分割した地点である。また、車両ログに含まれる情報は、図４に示す通り、時刻と、その時刻における車両の位置情報と、その時刻における車両状態である速度情報とを含む。例えば、車両ログ収集部１４０は、車両ログの時刻を参照して潜伏期間中のログを特定し、位置情報と速度情報とを対応付けて抽出することで、所定の地点ごとの車両状態を抽出する。

　ステップＳ１００６において、侵入地点特定部１５０は、ステップＳ１００５で送信された、車両識別番号と位置情報と地点ごとの車両状態とを受信する。

　ステップＳ１００７において、車両ログ収集部１４０は、車両ログ収集部１４０が記憶するすべての車両ログから潜伏期間中の地点ごとの車両数を全体車両数として抽出し、侵入地点特定部１５０へ送信する。

　ステップＳ１００８において、侵入地点特定部１５０は、ステップＳ１００７で送信された車両識別番号と位置情報と地点ごとの車両状態とを受信する。

　ステップＳ１００９において、脅威情報収集部１３０は、ステップＳ１００２で抽出された車両識別番号と脅威カテゴリと脆弱性の深刻度とを侵入地点特定部１５０へ送信する。ここで、脆弱性の深刻度は、ＣＶＳＳなどで表現され、最も深刻度が高い場合に１０点、最も深刻でない場合に０点とする数値である。

　ステップＳ１０１０において、侵入地点特定部１５０は、ステップＳ１００９で送信された脅威カテゴリと脆弱性の深刻度とを受信する。

　ステップＳ１０１１において、侵入地点特定部１５０は、ステップＳ１００６とステップＳ１００８とステップＳ１０１０とで受信した、位置情報と地点ごとの車両状態と地点ごとの全体車両数と脆弱性の深刻度とを用いて、地点ごとに異常スコアを算出し、脅威カテゴリと対応付けて記憶する。異常スコアの算出方法については図１３にて後述する。

　図１１に移り、ステップＳ１１０１において、侵入地点特定部１５０は、異常スコアを算出して脅威カテゴリと対応付けて記憶する。この処理は、ステップＳ１０１１の処理に相当する。

　ステップＳ１１０２において、侵入地点特定部１５０は、ステップＳ１１０１で記憶された脅威カテゴリと地点ごとに累積異常スコアを算出し、位置情報と累積異常スコアとを侵入地点通知部１６０へ送信する。累積異常スコアの算出方法については図１４にて後述する。

　ステップＳ１１０３において、侵入地点通知部１６０は、ステップＳ１１０２で送信された位置情報と累積異常スコアとを受信し、地点ごとに地図上に表示する。ここで累積異常スコアの表示方法は、図７に示す通りである。

　ステップＳ１１０４において、侵入地点特定部１５０は、ステップＳ１１０２で算出された累積異常スコアがしきい値以上である場合には、侵入地点であると特定して、位置情報を侵入地点通知部１６０へ送信する。ここで、しきい値は、侵入地点特定部１５０が事前に保持している。

　ステップＳ１１０５において、侵入地点通知部１６０は、ステップＳ１１０４で送信された位置情報を受信し、ドライバまたはセキュリティ対策チームへ通知する。脅威情報に含まれる車両と同一車種のドライバと、セキュリティ対策チームに侵入地点に関する情報を通知することで、ユーザが侵入地点に近づかないなどの一時的な対応をとったり、又は、侵入地点周辺の調査を速やかに実施したりすることができ、車両への攻撃被害を低減することが可能となる。

　［車両ログ抽出処理のフローチャート］
　図１２に、本実施の形態における車両ログ収集部１４０の車両ログ抽出処理のフローチャートを示す。

　ステップＳ１２０１において、車両ログ収集部１４０は、異常な脅威情報と車両ログとを取得し、次にステップＳ１２０２を実施する。

　ステップＳ１２０２において、車両ログ収集部１４０は、脅威情報に潜伏期間の記載があるか否かを判定する。脅威情報に潜伏期間の記載がある場合（ステップＳ１２０２でＹＥＳ）に、ステップＳ１２０３を実施し、脅威情報に潜伏期間の記載がない場合（ステップＳ１２０２でＮＯ）に、次にステップＳ１２０４を実施する。なお、「脅威情報に潜伏期間の記載がある」とは、脅威が潜伏期間を有することを潜伏情報が示していること、に相当する。

　ステップＳ１２０３において、車両ログ収集部１４０は、脅威情報に記載されている潜伏期間内の車両ログに含まれる時刻情報を参照して取得し、次にステップＳ１２０５を実施する。

　ステップＳ１２０４において、車両ログ収集部１４０は、脅威情報に記載されている記載の攻撃発覚日から、攻撃発覚日の前日（所定の期間に相当）の車両ログに含まれる時刻情報を参照して車両ログを取得し、次にステップＳ１２０５を実施する。

　ステップＳ１２０５において、車両ログ収集部１４０は、車両ログ収集部１４０が記憶する車両ログから異常な脅威情報に含まれる車両識別番号と対応する車両ログとを特定し、異常な位置情報と、異常な位置情報における速度情報とを含む車両状態を抽出し、次にステップＳ１２０６を実施する。

　ステップＳ１２０６において、車両ログ収集部１４０は、車両ログ収集部１４０が記憶するすべての車両ログを取得し、ステップＳ１２０５の異常な位置情報を含む車両ログに含まれる車両識別番号の種類数を全体車両数として算出する。ここで全体車両数を特定の位置情報を含む車両ログに含まれる車両識別番号の種類数とすることで同一車両が同一地点を複数回通過した場合も、同一地点の全体車両数を１回とカウントでき、同一車両の重複カウントをなくすことができる。

　［異常スコア算出フローチャート］
　図１３に、本実施の形態における侵入地点特定部１５０の異常スコア算出抽出処理のフローチャートを示す。

　ステップＳ１３０１において、侵入地点特定部１５０は、脅威カテゴリと地点ごとの異常スコアを、異常スコア［ｉ］として記憶し、次にステップＳ１３０２を実施する。ここでｉは１以上のＮ以下の整数であり、Ｎは地点の数であり、ｉの値によって車両ログ収集部１４０が抽出した１つの地点が特定される。

　ステップＳ１３０２において、侵入地点特定部１５０は、ｉの値を１として記憶し、次にステップＳ１３０３を実施する。

　ステップＳ１３０３において、侵入地点特定部１５０は、ｉの値に対応する脅威情報番号を参照し、脅威情報の攻撃元区分が「物理」、「ローカル」又は「隣接」であるか否かを判定する。侵入地点特定部１５０は、脅威情報の攻撃元区分が「物理」、「ローカル」又は「隣接」である場合に、次にステップＳ１３０４を実施する。一方、脅威情報の攻撃元区分が上記のいずれでもない場合に、次にステップＳ１３０５を実施する。

　ステップＳ１３０４において、侵入地点特定部１５０は、異常スコア［ｉ］の値を１として記憶し、次にステップＳ１３０６を実施する。

　ステップＳ１３０５において、侵入地点特定部１５０は、異常スコア［ｉ］の値を０として記憶し、次にステップＳ１３１２を実施する。

　ステップＳ１３０６において、侵入地点特定部１５０は、ｉの値に対応する脅威情報番号を参照し、脅威情報の深刻度が１以上であるか否かを判定する。脅威情報の深刻度が１以上である場合に、次にステップＳ１３０７を実施する。一方、脅威情報の深刻度が０である場合に、次にステップＳ１３０８を実施する。ここで、深刻度はＣＶＳＳに従う、０から１０で高いほど深刻であると定義される値である。

　ステップＳ１３０７において、侵入地点特定部１５０は、異常スコア［ｉ］の値に深刻度の数値を加算して記憶し、次にステップＳ１３０８を実施する。

　ステップＳ１３０８において、侵入地点特定部１５０は、ｉの値に対応する車両ログ収集部１４０が抽出したｉの値と対応する地点における車両状態を参照し、車両状態が停車中であるか否かを判定する。車両状態が停車中である場合に、次にステップＳ１３０９を実施する。一方、車両状態が停車中でない場合に、ステップＳ１３１０を実施する。ここで車両状態は、速度情報を含み、車両の速度が０ｋｍ／ｈである場合に停車中であると判断する。

　ステップＳ１３０９において、侵入地点特定部１５０は、異常スコア［ｉ］の値に１を加えて記憶し、次にステップＳ１３１０を実施する。なお、異常スコア［ｉ］の値に１を加える代わりに、異常スコア［ｉ］の値を２倍して記憶してもよい。

　ステップＳ１３１０において、侵入地点特定部１５０は、ｉの値に対応する車両ログ収集部１４０が抽出したｉの値と対応する地点における全体車両数を参照し、全体車両数が１以上であるか否かを判定する。全体車両数が１以上である場合に、次にステップＳ１３１１を実施する。一方、全体車両数が１以上でない場合に、次にステップＳ１３１２を実施する。

　ステップＳ１３１１において、侵入地点特定部１５０は、異常スコア［ｉ］の数値を全体車両数で除算した値を算出して記憶し、次にステップＳ１３１２を実施する。

　ステップＳ１３１２において、侵入地点特定部１５０は、ｉの数値がＮである場合に、脅威カテゴリと対応付けて記憶し、終了する。一方、ｉの数値がＮでない場合に、次にステップＳ１３１３を実施する。

　ステップＳ１３１３において、侵入地点特定部１５０は、ｉの数値に１を加えた数値をｉとして記憶し、次にステップＳ１３０３を実施する。

　［侵入地点特定フローチャート］
　図１４に、本実施の形態における侵入地点特定部１５０の侵入地点特定処理のフローチャートを示す。

　ステップＳ１４０１において、侵入地点特定部１５０は、脅威情報収集部１３０が記憶するすべての脅威情報それぞれに対して、ステップＳ１３０１からステップＳ１３１３（図１３参照）の異常スコア算出フローチャートに従って、地点ごとの異常スコアを算出し、所定の脅威カテゴリと対応する異常スコア［１］から異常スコア［Ｍ］を抽出し、次にステップＳ１４０２を実施する。ここでＭは、所定の脅威カテゴリと対応する脅威情報の数である。所定の脅威カテゴリは、脅威情報に含まれる脅威カテゴリであり、脅威カテゴリごとにそれぞれ侵入地点特定フローチャートを実施する。

　ステップＳ１４０２において、侵入地点特定部１５０は、地点ごとの累積異常スコアを累積異常スコア［ｋ］として記憶し、次にステップＳ１４０３を実施する。ここでｋは１からＬまでの数値であり、Ｌはすべての地点数であり、所定の脅威カテゴリと対応する異常スコア［１］から異常スコア［Ｍ］に含まれるユニークな地点数である。

　ステップＳ１４０３において、侵入地点特定部１５０は、ｋを１として記憶する。

　ステップＳ１４０４において、侵入地点特定部１５０は、累積異常スコア［ｋ］を異常スコア［１］から異常スコア［Ｍ］までをすべて加算した値として算出して記憶し、次にステップＳ１４０５を実施する。

　ステップＳ１４０５において、侵入地点特定部１５０は、侵入地点通知部１６０へ地点情報と累積異常スコアと送信し、侵入地点通知部１６０は地点情報と累積異常スコアを表示し、次にステップＳ１４０６を実施する。

　ステップＳ１４０６において、侵入地点特定部１５０は、累積異常スコアがしきい値以上であるか否かを判定する。累積異常スコアがしきい値以上である場合に、次にステップＳ１４０７を実施し、そうでない場合に、次にステップＳ１４０８を実施する。

　ステップＳ１４０７において、侵入地点特定部１５０は、累積異常スコアと対応する地点が侵入地点であると判定し、次にステップＳ１４０９を実施する。

　ステップＳ１４０８において、侵入地点特定部１５０は、累積異常スコアと対応する地点が侵入地点でないと判定し、次にステップＳ１４０９を実施する。

　ステップＳ１４０９において、侵入地点特定部１５０は、累積異常スコアと対応する地点情報をドライバまたはセキュリティ対策チームに通知し、次にステップＳ１４１０を実施する。

　ステップＳ１４１０において、侵入地点特定部１５０は、ｋがＬと等しいか否かを判定する。ｋがＬと等しい場合（ステップＳ１４１０でＹＥＳ）には図１４に示された一連の処理を終了する。一方、ｋがＬと等しくない場合（ステップＳ１４１０でＮＯ）には、次にステップＳ１４１１を実施する。

　ステップＳ１４１１において、侵入地点特定部１５０は、ｋの数値に１を加えた数値をｋとして記憶し、次にステップＳ１４０４を実施する。

　（他の実施の形態）
　以上のように、本発明に係る技術の例示として実施の形態を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。

　（１）上記実施の形態では、自動車に対するセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、又は、飛行機などのモビリティにも適用してもよい。

　（２）上記の実施の形態では、侵入地点特定装置１０は異常検知部１２０を備えると説明したが、異常検知部１２０は必須の構成要素ではない。侵入地点特定部１５０が異常検知部１２０を備えない場合は、脅威情報共有サーバー２０から脅威情報を受信したタイミング、人手で異常を発見したタイミング、定期的なタイミング、または、外部システムから異常通知を受けたタイミングで、異常検知部１２０が脅威情報と車両ログと収集して、侵入地点特定部１５０が異常スコアを算出してもよい。

　（３）上記の実施の形態では、車両ログ送信装置３０は、車両内に設置されているとして説明したが、車両ログ送信装置３０は、複数の車両ログを取りまとめて送信するエッジサーバーであってもよいし、車両ログを収集しているクラウドサーバーであってもよい。

　（４）上記の実施の形態では、異常検知部１２０は、脅威情報または車両ログのＣＡＮネットワークトラフィックを用いて異常を検知する説明としたが、ＣＡＮ－ＦＤ、Ｅｔｈｅｒｎｅｔ、ＬＩＮ、Ｆｌｅｘｒａｙであってもよいし、それぞれを組み合わせた構成であってもよいし、車両システムが出力するシステムログを用いて、システムログにエラーが含まれる場合に異常として検知してもよい。

　（５）上記の実施の形態では、脅威情報収集部１３０が図３に示す脅威情報を収集すると説明したが、侵入地点の原因解析に、より一層役立てられる攻撃者のプロファイリング情報を収集してもよい。

　（６）上記の実施の形態では、車両ログ収集部１４０が図４に示す車両ログを収集すると説明したが、車両識別番号は製造元が付与した個人を識別できる番号ではなく匿名化された数値でもよい。また、時刻は絶対時刻でなく相対時刻であってもよい。また、位置情報は秒単位ではなく分単位または度単位でもよい。また、車両状態は速度情報の生の値ではなく停車中または走行中を表すラベルでもよい。

　（７）上記の実施の形態では、侵入地点特定部１５０が図５に示す異常スコアを算出して脅威カテゴリごとに記憶すると説明したが、脅威カテゴリと対応付けて記憶しなくてもよい。脅威カテゴリと対応付けて記憶しない場合は、侵入地点特定部１５０は脅威カテゴリごとではなく、すべての脅威カテゴリに対して、地点ごとの累積異常スコアを算出してもよい。

　（８）上記の実施の形態では、侵入地点特定部１５０が図５に示す緯度と経度とで分割した地点ごとに異常スコアを記憶すると説明したが、緯度と経度とで分割した地点ではなく、充電装置、水素ステーション、ガソリンスタンド、駐車場、修理業者の拠点、車検業者の拠点、カーレンタル業者の拠点、カーシェアリング業者の拠点、車両製造工場、交差点、道路、又は、交通信号機など任意の地点ごとに算出してもよい。

　（９）上記の実施の形態では、侵入地点特定部１５０が図５に示す異常スコアを所定の距離で攻撃可能な場合に基準点として１とし、ＣＶＳＳの深刻度を加点し、車両状態が停車中であれば２倍し、全体車両数で乗算して算出すると説明したが、いずれか一つで算出してもよいし、任意の組み合わせで算出してもよい。

　（１０）上記の実施の形態では、侵入地点特定部１５０が図５に示す異常スコアを算出すると説明したが、基準点の取りうる数値は任意の値でよい。また、深刻度はＣＶＳＳの値を用いずに人手で判断してもよく深刻度として加点する点数は任意の値でよい。また、車両状態は、停車中と走行中との２種類で判定したが、車両の移動速度に応じて停車中に近いほど車両状態加点が高くなるように変更してもよいし、車両状態加点は乗算でなくてもよい。また、全体車両数は、全体車両数そのものの値ではなく、全体車両数のうち異常な車両数表す割合として記憶してもよい。

　（１１）上記の実施の形態では、侵入地点特定部１５０が累積異常スコアがしきい値以上である場合に侵入地点であると特定すると説明したが、しきい値は事前に設定されてもよいし、全体の累積異常スコアの割合から算出してもよい。

　（１２）上記の実施の形態では、侵入地点通知部１６０は、累積異常スコアを地図上に表示するとして説明したが、累積異常スコアは表形式を用いて数値で表示してもよいし、ポップアップ通知で表示してもよい。

　（１３）上記の実施の形態では、侵入地点通知部１６０は、累積異常スコアの数値を、図形を用いて表示するとして説明したが、色を用いて数値の大きさを表現して表示してもよい。

　（１４）上記の実施の形態では、侵入地点通知部１６０は、地点ごとに累積異常スコア地図上に表示するとして説明したが、攻撃を受けた車両が通過した地点と地点を結ぶ経路を図形や色で表現して地図上に表示してもよい。

　（１５）上記の実施の形態では、侵入地点通知部１６０は、侵入地点特定部１５０から侵入地点の情報を受信したのち、ドライバまたはセキュリティ対策チームに通知すると説明したが、通知先は、警察でもよいし、交通省でもよいし、脆弱性情報の共有機関でもよい。

　（１６）上記実施の形態における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしても良い。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又は全部を含むように１チップ化されても良い。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。

　（１７）上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしても良い。前記ＩＣカード又は前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。前記ＩＣカード又は前記モジュールは、上記の超多機能ＬＳＩを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ＩＣカード又は前記モジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしてもよい。

　（１８）本発明の一態様としては、異常検知の方法をコンピュータにより実現するプログラム（コンピュータプログラム）であるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕｅ―ｒａｙ（登録商標）Ｄｉｓｃ）、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１９）上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。

　本発明の車載ネットワークシステムにおける侵入地点特定装置は、移動体に侵入した脅威の侵入地点を特定する装置に適用できる。より具体的には、複数の車両の脅威情報と位置情報を含むログを用いて、攻撃被害を受けた車両のうち、多くの車両が攻撃被害以前に経由した地点が、侵入地点である可能性が高いと判定することで、侵入地点を特定することが可能となる。その結果、侵入地点をセキュリティ対策チームに通知し、周辺の調査や、ドライバへ侵入地点周辺に近づかないように促す警告などにより、さらなる攻撃被害を抑制することができ、自動車の安全性向上につながる。

　１０　侵入地点特定装置
　２０　脅威情報共有サーバー
　３０　車両ログ送信装置
　１１０　通信部
　１２０　異常検知部
　１３０　脅威情報収集部
　１４０　車両ログ収集部
　１５０　侵入地点特定部
　１６０　侵入地点通知部

Claims

　脅威が侵入し得る複数の経路をそれぞれが有する１以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定装置であって、
　前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、
　前記侵入地点特定装置は、
　前記１以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集して記憶している情報収集部と、
　前記１以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記１以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶しているログ収集部と、
　前記ログ収集部が記憶している前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定する特定部と、
　前記特定部が特定した前記地点を出力する出力部とを備える
　侵入地点特定装置。
　前記脅威情報は、さらに、前記脅威が潜伏期間を有するか否かを示す潜伏情報を含み、
　前記潜伏情報は、前記脅威が前記潜伏期間を有することを示す場合には、さらに、前記潜伏期間の長さを含み、
　前記ログ収集部は、
　（ａ）前記脅威が前記潜伏期間を有することを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、前記潜伏期間の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶していて、
　（ｂ）前記脅威が前記潜伏期間を有しないことを前記脅威情報が示していると判定した場合には、前記発覚日を終期とする、所定の長さを有する期間を、前記所定期間として用いて前記履歴情報を記憶している
　請求項１に記載の侵入地点特定装置。
　前記特定部は、
　前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点についての異常の度合いを示すスコアをゼロより大きい値とし、
　前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示していない場合には、前記ログ収集部が記憶している前記履歴情報に含まれる各地点について前記スコアをゼロとし、
　前記ログ収集部が記憶している前記履歴情報に含まれる地点ごとに、前記脅威情報に基づいて算出される異常の度合いを考慮して前記スコアを補正し、
　前記補正後の前記スコアが所定値以上である地点を、前記侵入地点として特定する
　請求項１又は２に記載の侵入地点特定装置。
　前記特定部は、前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記脅威が前記移動体の動作に与える影響の深刻さを示す深刻度が高いほど、より大きな値を前記スコアに加算することで、前記補正をする
　請求項３に記載の侵入地点特定装置。
　前記ログは、前記１以上の移動体が位置する地点と、前記１以上の移動体の速度とを前記日時に対応付けて示し、
　前記ログ収集部は、さらに、
　収集した前記ログから、前記所定期間内の前記１以上の移動体の速度の履歴をさらに抽出して、前記履歴情報として記憶していて、
　前記特定部は、さらに、
　前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記移動体の速度がゼロに近いほど、より大きな値を前記スコアに加算することで、前記補正をする
　請求項３又は４に記載の侵入地点特定装置。
　前記ログ収集部は、さらに、
　前記ログ収集部が記憶している前記履歴情報に示される前記地点ごとに、当該地点に位置していた前記移動体の台数を算出して記憶していて、
　前記特定部は、さらに、
　前記第一経路を通じて前記脅威が前記移動体に侵入したことを前記脅威情報が示している場合には、前記地点に位置していた前記移動体の台数が多いほど、前記スコアをより小さくする前記補正をする
　請求項３～５のいずれか１項に記載の侵入地点特定装置。
　前記脅威は、複数のカテゴリのいずれかに属する脅威を複数含み、
　前記特定部は、さらに、
　前記ログ収集部が記憶している前記履歴情報に含まれる地点についての前記スコアを、前記脅威が属するカテゴリごとに集計することで、各カテゴリについての地点ごとの累積スコアを算出して記憶する
　請求項３～６のいずれか１項に記載の侵入地点特定装置。
　前記出力部は、さらに、
　前記ログ収集部が記憶している前記履歴情報に含まれる地点を含む地図を表示画面に表示するとともに、当該地図上において前記累積スコアが大きい地点ほど、寸法がより大きな図形、または、３次元表示において背がより高い図形を用いて表示する
　請求項７に記載の侵入地点特定装置。
　前記情報収集部は、
　前記脅威情報として、ＳＴＩＸ（Ｓｔｒｕｃｔｕｒｅｄ　Ｔｈｒｅａｔ　Ｉｎｆｏｒｍａｔｉｏｎ　ｅＸｐｒｅｓｓｉｏｎ）フォーマットの脅威情報を収集して記憶し、
　前記特定部は、
　前記ＳＴＩＸフォーマットの脅威情報に含まれるＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）における攻撃元区分が、物理、ローカル又は隣接である場合に、前記第一経路を通じて前記脅威が前記移動体に侵入したと判断する
　請求項１～８のいずれか１項に記載の侵入地点特定装置。
　前記ログ収集部は、前記移動体のＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）ログを前記ログとして収集し、所定の緯度と経度とにより特定される地点を、前記地点として用いて、履歴情報を記憶している
　請求項１～９のいずれか１項に記載の侵入地点特定装置。
　前記ログ収集部は、前記移動体である車両の充電に用いられる充電装置の設置場所、駐車場または車検場所が存在する地点を、前記地点として用いて前記履歴情報を記憶している
　請求項１～１０のいずれか１項に記載の侵入地点特定装置。
　前記侵入地点特定装置は、さらに、
　（ａ）前記情報収集部が前記１以上の移動体のうちのいずれか一の移動体に前記脅威が侵入したことを示す前記脅威情報を受信した場合に、受信した前記脅威情報が異常であると判断し、または、（ｂ）前記脅威が侵入したことを示す前記ログを前記ログ収集部が受信した場合に、受信した前記ログが異常であると判断する、異常検知部を備え、
　前記情報収集部は、異常があると前記異常検知部が判断した前記脅威情報を収集し、
　前記ログ収集部は、異常があると前記異常検知部が判断した前記ログを収集する
　請求項１～１１のいずれか１項に記載の侵入地点特定装置。
　脅威が侵入し得る複数の経路をそれぞれが有する１以上の移動体に当該脅威が侵入した侵入地点を特定する侵入地点特定方法であって、
　前記複数の経路は、当該移動体から所定距離以内の第一攻撃元から前記脅威が侵入し得る第一経路を含み、
　前記侵入地点特定方法は、
　前記１以上の移動体のうちの前記脅威が侵入した移動体の識別情報と、当該移動体が有する前記複数の経路のうち前記脅威が侵入した経路を示す経路情報と、当該移動体への前記脅威の侵入による攻撃の発覚日を示す発覚情報とを含む脅威情報を収集し記憶し、
　前記１以上の移動体が位置する地点を日時に対応付けて示すログを収集し、収集した前記ログから、前記発覚情報に基づいて定められる所定期間内に前記１以上の移動体が位置していた地点の履歴を抽出し履歴情報として記憶し、
　記憶されている前記履歴情報に示される前記地点のうち、前記第一攻撃元から前記第一経路を通じて脅威が侵入した侵入地点を特定し、
　特定された前記地点を出力する
　侵入地点特定方法。