WO2021038870A1

WO2021038870A1 - 異常車両検出サーバおよび異常車両検出方法

Info

Publication number: WO2021038870A1
Application number: PCT/JP2019/034264
Authority: WO
Inventors: 平野　亮; 剛岸川; 良浩氏家; 芳賀　智之
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2019-08-30
Filing date: 2019-08-30
Publication date: 2021-03-04
Also published as: WO2021039851A1; CN113302953A; EP4024249A1; US20210349997A1; EP4024249A4; JPWO2021039851A1; US11829472B2

Abstract

本開示によれば、サーバ上で収集した車両ログから、攻撃者によるリバースエンジニアリング活動が疑われる不審な挙動を検知し、異常スコアを算出し、異常車両を検出する。さらに異常スコアに基づいて、適切な対策を選択することで不審な車両を重点的に監視、優先的に解析することを可能とする。

Description

異常車両検出サーバおよび異常車両検出方法

　本開示は、車両ログのイベント内容に基づいて車両ごとに異常スコアを算出し、同一車種の平均異常スコアよりも高い異常スコアを有する車両を異常車両として検出する技術に関する。

　近年、自動車の中のシステムには、電子制御ユニット（以下、ＥＣＵ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークを車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在するが、その中でも最も主流な車載ネットワークの一つに、ＣｏｎｔｒｏｌｌｅｒＡｒｅａＮｅｔｗｏｒｋ（以降、ＣＡＮ）という規格が存在し、さらに、自動運転やコネクテッドカーの普及に伴い、車載ネットワークトラフィックの増大が予想され、車載Ｅｔｈｅｒｎｅｔ（登録商標）の普及が進んでいる。

　一方で、車載システムに侵入し、車両を不正制御する脅威も報告されている。このような脅威に対して、従来のＩｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ（ＩＰ）通信で用いられてきた、非特許文献１のように、暗号通信を用いて不正なノードの通信による不正制御を防ぐ方法や、特許文献１にように、車載ネットワークの異常な通信を検知し、不正なフレームを遮断する方法が開示されている。

特許第５６６４７９９号公報

ＲＦＣ５４０６：Ｇｕｉｄｅｌｉｎｅｓ　ｆｏｒ　Ｓｐｅｃｉｆｙｉｎｇ　ｔｈｅ　Ｕｓｅ　ｏｆ　ＩＰｓｅｃ　Ｖｅｒｓｉｏｎ２、２００９年２月

　しかしながら、非特許文献１の方法では、暗号通信を用いるため、送受信ノードによる暗号化・復号処理が必要となりオーバーヘッドが発生する。また暗号通信に用いる鍵管理が重要となり、ＥＣＵの制御を奪わる、鍵が漏洩する等の場合には、不正なフレーム送信による不正制御が可能となってしまう。また、特許文献１の方法は、不正なフレームを送信されたことによる異常への対処であり、攻撃の発生を未然に防ぐわけではない。一般に、車両の不正制御を試みる攻撃者は、事前に車両の不正制御を引き起こすためのフレームの調査等の車載ネットワークのリバースエンジニアを事前に行う。この時の車載ネットワークのフレーム調査段階における、攻撃者の活動を把握することができれば、フレームの調査段階を攻撃発生の予兆として捉え、攻撃者の調査の妨害や、対象車両の重点監視等のアクションにつなげることができ、より安全性を高めることができる。

　そこで、本開示は、複数車両の車両ログをサーバ上で監視し、攻撃者のリバースエンジニアによって発生する通常とは異なる車両の不審挙動を捉え、車両がリバースエンジニアをされている可能性の高さを異常スコアとして算出し、同一車種の平均異常スコアよりも高い異常スコアを有する車両を異常車両として検出し、異常スコアの値と異常カテゴリに基づいて異常に対して対策する異常車両検出方法を提供する。

　上記目的を達成するために、車両システムにおいて発生したイベント内容のデータを含む車両ログを１以上の車両から受信する異常車両検出サーバであって、受信した車両ログのイベント内容に基づいて、通常の運転とは異なる不審挙動を検出し、前記車両ログと対応する車両に対してリバースエンジニアリングが行われている可能性を示す異常スコアを算出する異常スコア算出部と、前記異常スコアが所定値以上の場合に、前記車両を異常車両として判定する異常車両判定部とを備える、異常車両検出サーバを提供する。

　本開示によれば、車載システムにおいて、攻撃者が車両を不正制御するためのリバースエンジニアリング活動が疑われる不審な挙動を検知し、異常スコアを算出する。さらに異常スコアの値と異常カテゴリに基づいて、異常に対して対策を実施することで車載システムのセキュリティを維持することを可能とする。

図１は、実施の形態１における、異常車両検出システムの全体構成図である。図２は、実施の形態１における、車両システムの構成図である。図３は、実施の形態１における、異常車両検出サーバの構成図である。図４は、実施の形態１における、車両ログ送信装置の構成図である。図５は、実施の形態１における、車両ログの一例を示す図である。図６は、実施の形態１における、異常ルールの一例を示す図である。図７は、実施の形態１における、除外ルールの一例を示す図である。図８は、実施の形態１における、異常スコアの一例を示す図である。図９は、実施の形態１における、対策ルールの一例を示す図である。図１０は、実施の形態１における、異常リスト表示画面の一例を示す図である。図１１は、実施の形態１における、異常エリア表示画面の一例を示す図である。図１２は、実施の形態１における、異常階層表示画面の一例を示す図である。図１３は、実施の形態１における、車両ログ受信処理のシーケンスを示す図である。図１４は、実施の形態１における、外部ログ受信処理のシーケンスを示す図である。図１５は、実施の形態１における、異常スコア算出処理のシーケンスを示す図である。図１６は、実施の形態１における、異常対策処理のシーケンスを示す図である。図１７は、実施の形態１における、異常表示処理のシーケンスを示す図である。図１８は、実施の形態１における、車両別異常スコア算出処理のフローチャートである。図１９は、実施の形態１における、車種別異常スコア算出処理のフローチャートである。図２０は、実施の形態１における、エリア別異常スコア算出処理のフローチャートである。図２１は、実施の形態１における、異常車両判定処理のフローチャートである。図２２は、実施の形態１における、異常対策処理のフローチャートである。

　本開示の一実施態様の異常車両検出サーバは、車両システムにおいて発生したイベント内容のデータを含む車両ログを１以上の車両から受信する異常車両検出サーバであって、受信した車両ログのイベント内容に基づいて、通常の運転とは異なる不審挙動を検出し、前記車両ログと対応する車両に対してリバースエンジニアリングが行われている可能性を示す異常スコアを算出する異常スコア算出部と、前記異常スコアが所定値以上の場合に、前記車両を異常車両として判定する異常車両判定部と、を備える、異常車両検出サーバである。

　これにより、車載ネットワークシステムをリバースエンジニアリングしている疑わしさを算出することが可能となり、より疑わしい車両を把握することができるため効果的である。

　また、前記異常車両判定部は、さらに、一の車両に対して算出された異常スコアと、前記一の車両と同一の車種の異常スコアに基づく統計値を比較し、前記一の車両が異常車両であるか否かを判定するとしてもよい。

　これにより、特定の車種において発生する可能性が高い異常を除外することができ、同一車種の他の車両では発生数が少なく、より疑わしい異常および車両を抽出できるため効果的である。

　また、前記異常車両判定部は、一の車両に対して算出された異常スコアと、前記一の車両と同一のエリアに位置する車両の異常スコアに基づく統計値を比較し、前記一の車両が異常車両であるか否かを判定するとしてもよい。

　これにより、特定のエリアにおいて発生する可能性が高い異常を除外することができ、同一エリアに位置する他の車両では発生数が少なく、より疑わしい異常および車両を抽出できるため効果的である。

　また、前記異常スコア算出部は、ネットワーク機器接続頻発または、インターネット接続異常、アクセス先アドレスの変化、アクセス元アドレスの変化、ネットワークログイン試行のいずれかを不振挙動として検出し、前記不審挙動が発生した場合に、ネットワーク解析活動と判定し、車両に対して異常スコアを増加させるとしてもよい。

　これにより、攻撃者が車両システムの通信機能を解析しようとする試行をとらえることができるため効果的である。

　また、さらに、異常対策通知部を備え、前記異常スコア算出部が、前記不審挙動をネットワーク解析活動と判定した場合、前記異常対策通知部は、異常スコアの値に応じて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告のいずれか１つ以上の対策を実施してもよい。

　これにより、攻撃者が車両システムの通信機能を解析しようとする試行を妨害することができるため効果的である。

　また、前記異常スコア算出部は、車両制御機能頻発、システムエラー頻発、システムエラー削除、システムログイン、ファイル数またはプロセス数の変化のいずれかを不審挙動として検出し、前記不審挙動が発生した場合に、システム解析活動と判定し、車両に対して異常スコアを増加させるとしてもよい。

　これにより、攻撃者が車両システムの車両制御機能やホストマシン自体を解析しようとする試行をとらえることができるため効果的である。

　また、さらに、異常対策通知部を備え、前記異常スコア算出部が、前記不審挙動をネットワーク解析活動と判定した場合、前記異常対策通知部は、異常スコアの値に応じて、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの警告のいずれか１つ以上の対策を実施してもよい。

　これにより、攻撃者が車両システムの車両制御機能やホストマシン自体を解析しようとする試行を妨害することができるため効果的である。

　また、前記異常スコア算出部は、前記不審挙動を検出した場合であっても、所定の期間内に前記不審挙動が発生した場合または所定のエリアにて前記不審挙動が発生した場合は、異常スコアを増加させないとしてもよい。

　これにより、開発者が車両システムの検証のために不審挙動を発生させている場合や、修理業者がエラー解除している場合、車両システムのソフトウェア更新によってファイル数が変わる場合など、誤検知を防ぐことができるため効果的である。

　また、前記異常スコア算出部は、所定の期間中に前記不審挙動が発生しなかった場合は、異常スコアを減少させるとしてもよい。

　これにより、攻撃者が攻撃対象車両を通常走行に用いる可能性は低いと考えられるため、しばらく通常走行され、不審な挙動が発生しなかった場合は、攻撃対象車両である可能性が低いと考えられるため効果的である。

　また、前記異常車両検出サーバは、さらに、前期異常車両判定装置が異常車両と判定した車両に対して、前記異常スコアの値または前記不審挙動の種別に基づいて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告、ネットワーク接続制限と、車両制御機能制限、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの通知のうち、いずれか１つ以上の対策を要求する異常通知部を備えるとしてもよい。

　これにより、攻撃者によるリバースエンジニアリング活動の疑わしさが高い車両に対して、車両制御機能を制限することで攻撃者の解析を妨げることや、車両ログの種類数を増やして、攻撃内容を解析することが可能となり効率的である。

　また、前記異常車両検出サーバは、さらに、前期異常車両判定装置が異常車両と判定した車両と同一の車種に対して、前記異常スコアの値または前記不審挙動の種別に基づいて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告、ネットワーク接続制限と、車両制御機能制限、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの通知のうち、いずれか１つ以上の対策を要求する異常通知部を備えるとしてもよい。

　これにより、攻撃者によるリバースエンジニアリング活動の疑わしさが高い車種に対して、車両制御機能を制限することで攻撃者の解析を妨げることや、車両ログの種類数を増やして、攻撃内容を解析することが可能となり効率的である。

　また、前記異常車両検出サーバは、さらに、前期異常車両判定装置が異常車両と判定した車両と同一のエリアに位置する車両に対して、前記異常スコアの値または前記不審挙動の種別に基づいて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告、ネットワーク接続制限と、車両制御機能制限、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの通知のうち、いずれか１つ以上の対策を要求する異常通知部を備えるとしてもよい。

　これにより、攻撃者によるリバースエンジニアリング活動の疑わしさが高いエリアに対して、車両制御機能を制限することで攻撃者の解析を妨げることや、車両ログの種類数を増やして、攻撃内容を解析することが可能となり効率的である。

　また、前記異常車両検出サーバは、前記異常スコアが高い順に異常車両をリスト表示する異常表示部を備えるとしてもよい。

　これにより、異常表示部の表示内容を確認して異常車両を解析するオペレーターが、より疑わしい車両から優先的に解析することができるため効果的である。

　また、前記異常車両検出サーバは、前記異常車両と判定された車両の位置情報を地図上に表示する異常車両表示部を備えるとしてもよい。

　これにより、異常表示部の表示内容を確認して異常車両を解析するオペレーターが、異常車両がどのエリアに位置していて、どの施設で異常が発生しているかを判断でき、解析の手がかりとすることができるため効果的である。

　また、前記異常車両検出サーバは、車両に対する攻撃を、攻撃の進行度に応じて階層別に表示し、前記異常車両と判定された車両または車種、位置情報のいずれか一つの情報を、攻撃の進行度が低い偵察フェーズの階層に表示する異常車両表示部を備えるとしてもよい。

　これにより、異常表示部の表示内容を確認して異常車両を解析するオペレーターが、異常車両に対する攻撃の進行度が分かるため、解析の優先度をつけることができるため効果的である。

　以下、図面を参照しながら、本開示の実施の形態に関わる異常車両検出システムについて説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　［１　異常車両検出システムの全体構成図］
　図１は、本実施の形態に関わる異常車両検出システムの全体構成を示す図である。異常車両検出システムは、異常車両検出サーバ１０、車両システム２０、除外ルール共有サーバ３０、車両ログ送信装置２００から構成され、外部ネットワークを介して異常車両検出サーバ１０と、除外ルール共有サーバ３０、車両システム２０が接続される。外部ネットワークは、例えば、インターネットである。外部ネットワーク５０の通信方法は、有線であっても無線であっても良い。また、無線通信方式は既存技術であるＷｉ－Ｆｉ（登録商標）や、３Ｇ／ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）であっても良い。

　車両システム２０は、車両ログ送信装置２００を備え、車両ログ送信装置２００は、外部ネットワークを介して、車両ログを異常車両検出サーバ１０へ送信する装置である。車両ログの詳細は後述する。図では、車両システム２０は１台のみ記載しているが、１以上の車両システム２０それぞれが、車両ログを異常車両検出サーバ１０へ送信する。

　除外ルール共有サーバ３０は、異常車両検出サーバ１０が利用する除外ルールを異常車両検出サーバ１０へ送信するサーバである。除外ルールは、例えば、車両システムの開発者によって作成され、除外ルール共有サーバ３０へアップロードされる。車両システムのソフトウェアアップデートのリストや、ディーラーまたは開発拠点、検証拠点、ディーラー、修理業者のリストである。除外ルールには、異常車両検出サーバ１０が車両ログのイベント内容と異常ルールを参照して異常スコアを算出する際に、除外対象となる異常ルールと、その期間と位置情報の少なくとも１つ以上が記載される。除外ルールの詳細は後述する。

　異常車両検出サーバ１０は車両ログ送信装置２００から車両ログを受信し、除外ルール共有サーバ３０から除外ルールを受信し、車両ログと、除外ルールと、事前に記憶された車両ログを異常と判定する条件が記載された異常ルールに基づいて車両ごとに異常スコアを算出し、異常車両を検出するサーバである。異常スコアの算出方法および異常車両の判定方法の詳細は後述する。

　［２　車両システムの構成図］
　図２は、車両システム２０の構成図である。車両システム２０は、車両ログ送信装置２００からと、セントラルＥＣＵ３００と、ＺｏｎｅＥＣＵ４００ａと、ＺｏｎｅＥＣＵ４００ｂと、ＺｏｎｅＥＣＵ４００ｃと、ＺｏｎｅＥＣＵ４００ｄと、ボディＥＣＵ５００ａと、カーナビＥＣＵ５００ｂと、ステアリングＥＣＵ５００ｃと、ブレーキＥＣＵ５００ｄを備え、車両ログ送信装置２００と、セントラルＥＣＵ３００と、ＺｏｎｅＥＣＵ４００ａと、ＺｏｎｅＥＣＵ４００ｂと、ＺｏｎｅＥＣＵ４００ｃと、ＺｏｎｅＥＣＵ４００ｄは、車載ネットワークであるイーサネット（登録商標）１３を介して接続される。ボディＥＣＵ５００ａとＺｏｎｅＥＣＵ４００ａはイーサネット１１を介して接続され、カーナビＥＣＵ５００ｂとＺｏｎｅＥＣＵ４００ｂはイーサネット１２を介して接続され、ステアリングＥＣＵ５００ｃとＺｏｎｅＥＣＵ４００ｃはＣＡＮ１４を介して接続され、ブレーキＥＣＵ５００ｄとＺｏｎｅＥＣＵ４００ｄはＣＡＮ－ＦＤ１５を介して接続される。車両ログ送信装置２００と、セントラルＥＣＵ３００は外部ネットワークにも接続される。

　車両ログ送信装置２００は、イーサネット１３を介して、セントラルＥＣＵ３００から車両ログを収集し、外部ネットワークを介して、収集した車両ログを異常車両検出サーバ１０へ送信する装置である。

　セントラルＥＣＵ３００は、ＺｏｎｅＥＣＵ４００ａ、ＺｏｎｅＥＣＵ４００ｂ、ＺｏｎｅＥＣＵ４００ｃ、ＺｏｎｅＥＣＵ４００ｄと、イーサネット１３を介して、ＺｏｎｅＥＣＵ４００ａ、ＺｏｎｅＥＣＵ４００ｂ、ＺｏｎｅＥＣＵ４００ｃ、ＺｏｎｅＥＣＵ４００ｄを制御し、車両システム全体を制御する。例えば、自動駐車や自動運転などの車両制御機能を制御する。また、車両システム内で発生したネットワーク機器の接続やインターネット接続異常などイベント情報をＺｏｎｅＥＣＵ４００ａ～ｄから収集し、収集したイベント情報を車両ログとして記憶し、車両ログを車両ログ送信装置２００へ送信する。

　ＺｏｎｅＥＣＵ４００ａ、ＺｏｎｅＥＣＵ４００ｂ、ＺｏｎｅＥＣＵ４００ｃ、ＺｏｎｅＥＣＵ４００ｄは、イーサネット１３を介して、セントラルＥＣＵ３００と他のＺｏｎｅＥＣＵと通信し、ＺｏｎｅＥＣＵ４００ａは、イーサネット１３を介して、ボディＥＣＵ５００ａと通信し、車両のロックやワイパーなど車体に関わる機能を制御し、ＺｏｎｅＥＣＵ４００ｂは、イーサネット１１を介して、カーナビＥＣＵ５００ｂと通信し、カーナビの表示を制御し、ＺｏｎｅＥＣＵ４００ｃは、ＣＡＮ１４を介して、ステアリングＥＣＵ５００ｃと通信し、ステアリングの操舵を制御し、ＺｏｎｅＥＣＵ４００ｄは、ＣＡＮ－ＦＤ１５を介して、ブレーキＥＣＵ５００ｄと通信し、ブレーキを制御する機能を有するＥＣＵである。

　ボディＥＣＵ５００ａは車両に搭載される車体に関わる機能を制御するＥＣＵである。

　カーナビＥＣＵ５００ｂは車両に搭載されるカーナビの表示を制御するＥＣＵである。

　ステアリングＥＣＵ５００ｃは車両に搭載されるステアリングの操舵を制御するＥＣＵである。

　ブレーキＥＣＵ５００ｄは車両に搭載されるブレーキを制御するＥＣＵである。

　［３　異常車両検出サーバの構成図］
　図３は、異常車両検出サーバ１０の構成図である。異常車両検出サーバ１０は、サーバ側通信部１０１と、車両ログ受信部１０２と、車両ログ記憶部１０３と、除外ルール受信部１０４と、ルール記憶部１０５と、異常スコア算出部１０６と、異常スコア記憶部１０７と、異常車両判定部１０８と、異常対策通知部１０９と、異常表示部１１０とで構成される。

　サーバ側通信部１０１は、外部ネットワークを介して、車両ログ送信装置２００から車両ログを受信し、車両ログ受信部１０２へ送信する。また、除外ルール共有サーバ３０から除外ルールを受信し、除外ルールを除外ルール受信部１０４へ送信する。

　車両ログ受信部１０２は、サーバ側通信部１０１から車両ログを受信し、車両ログ記憶部１０３へ記憶する。

　除外ルール受信部１０４は、サーバ側通信部１０１から除外ルールを受信し、ルール記憶部１０５へ記憶する。

　ルール記憶部１０５は、事前に、車両ログに含まれるイベントのうち異常と判定する条件が記載された異常ルールと、異常ルールに記載された異常カテゴリと異常スコアに応じた対策内容が記載された対策ルールを記憶する。また、除外ルール受信部１０４が除外ルール共有サーバ３０から受信した除外ルールを記憶する。

　異常スコア算出部１０６は、車両ログを受信すると、ルール記憶部１０５から異常ルールと除外ルールを取得し、車両ログに記載されたイベントと、異常ルールと、除外ルールに基づき、車両１台ごとに異常スコアを算出する。そして、異常スコア記憶部１０７に異常スコアを記録する。異常スコアの算出方法の詳細については後述する。

　異常車両判定部１０８は、異常スコア記憶部１０７が記憶する異常スコアを参照し、攻撃を試行されていると推測される異常車両を検出する。異常車両の検出方法の詳細については後述する。

　異常対策通知部１０９は、異常車両判定部１０８が異常車両と判定した車両または異常車両と同一の車種、異常車両と同一のエリアに位置する車両に対して、異常対策通知を送信する。異常対策通知は、例えば、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告、ネットワーク接続制限と、車両制御機能制限、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの通知のうち、いずれか１つ以上の対策であり、車両システム２０の車両ログ送信装置２００またはセントラルＥＣＵ３００へ通知することとで実現する。

　異常表示部１１０は、異常車両判定部１０８が異常車両と判定した車両または異常車両と同一の車種、異常車両と同一のエリアに位置する車両をユーザに対して表示する。例えば、異常車両検出サーバ１０を利用して解析を行うオペレーターがユーザであり、グラフィカルユーザーインターフェースを用いて表示する。

　［４　車両ログ送信装置の構成図］
　図４は、車両ログ送信装置の２００の構成図である。車両ログ送信装置は、車両側通信部２１０と、車両ログ送信部２２０と、異常対策部２３０と、で構成される。

　車両側通信部２１０は、外部ネットワークを介して、異常車両検出サーバ１０と接続され、情報を交換する。

　車両ログ送信部２２０は、イーサネット１３を介して、セントラルＥＣＵ３００と接続され、セントラルＥＣＵ３００から車両ログを受信し、車両側通信部２１０を経由して、異常車両検出サーバ１０へ車両ログを送信する。

　異常対策部２３０は、異常車両検出サーバ１０が異常車両を検出した場合、異常車両検出サーバ１０が送信した異常対策通知を受信し、異常対策通知の内容に応じて、セントラルＥＣＵ３００または車両ログ送信部２２０へ対策を指示する。例えば、対策通知内容が車両制御機能制限である場合はセントラルＥＣＵ３００へ機能制限を指示し、対策通知内容が車両ログの送信頻度の増加であれば、車両ログ送信部２２０へ送信頻度の増加を指示する。

　［５　車両ログの一例］
　図５は、車両ログ記憶部１０３に格納される車両ログの一例である。車両ログは車両システム内で発生したイベント内容であり、異常スコア算出部１０６が異常スコアを算出する際に用いられる。車両ログは、イベントごとに、車両ログ番号、車両識別子、車種、時刻、車両位置情報、イベント名で構成される。図では、車両ログは番号が１である行では、車両と１対１で対応する車両識別子が「Ａ１」であり、車両の車種を表す車種が「Ａ」であり、イベント発生時刻を表す時刻が「ＴＡ１１」であり、イベント発生時の車両の位置を表す車両位置情報が「Ｘ１、Ｙ１」であり、イベント名が「ネットワーク機器登録」であることを示している。例えば、車両位置情報はＧＰＳ情報を用いてイベントが発生した時刻における車両の位置情報である。ネットワーク機器登録およびネットワーク機器削除は、例えば、スマートフォンがＢｌｕｅｔｏｏｔｈ（登録商標）でカーナビＥＣＵ５００ｂと接続または削除されたイベントである。または、タブレット機器がカーナビＥＣＵ５００ｂとＷｉ―Ｆｉで接続または削除されたイベントである。

　また、車両制御機能作動は、緊急ブレーキ作動や自動駐車モードの起動など、車両システムを制御する機能が作動したイベントである。

　また、システムエラー発生は、セントラルＥＣＵ３００が、ＺｏｎｅＥＣＵ４００ａ～ｄ上で発生したエラーまたは、イーサネット１３、イーサネット１１、イーサネット１２、ＣＡＮ１４、ＣＡＮ－ＦＤ１５上にて発生したネットワークエラーが発生したイベントであり、システムエラー解除は、ディーラー等で利用される車両診断ツールを用いて、システムエラーを解除されたイベントである。

　また、アドレスＡへアクセスは、カーナビＥＣＵ５００ｂがアドレスＡのＷｅｂサーバに対してアクセスしたイベントである。

　また、アドレスＢからアクセスは、また、アドレスＢのサーバからカーナビＥＣＵ５００ｂに対してアクセスがあったイベントである。

　また、システムログインは、カーナビＥＣＵ５００ｂに対してログインが試行されたイベントである。

　ファイル数増加は、セントラルＥＣＵ３００上に格納されるファイルの種類数が増加したイベントである。

　つまり、車両識別子が同一で、イベント名がネットワーク機器登録である行と、イベント名がネットワーク機器削除である行を参照することで、時刻ＴＡ１１からＴＡ１２の間で、ネットワーク機器が１個接続され、その後１個減少したことが分かる。

　また、車両識別子が同一で、イベント名がインターネット切断である行と、直近の時刻で発生したイベント名がインターネット接続の行を参照することで、時刻の差からインターネット切断時間を得ることができる。ＶＰＮ切断およびＶＰＮ接続についても同様である。

　また、アドレスＡへのアクセスアクセス先アドレスの変化車両ログ番号が７である行と８である行の車両ログを参照することで、緊急ブレーキが、時刻ＴＡ２３に「Ｘ１、Ｙ１」というエリアで発動し、時刻ＴＡ２４に、「Ｘ１、Ｙ１」というエリアで発動したことがわかる。以降では車両位置情報をエリアとして表記することもある。

　また、車両ログ番号が７である行と８である行の車両ログを参照することで、緊急ブレーキが、時刻ＴＡ２３に「Ｘ１、Ｙ１」というエリアで発動し、時刻ＴＡ２４に、「Ｘ１、Ｙ１」というエリアで発動したことがわかる。以降では車両位置情報をエリアとして表記することもある。

　また、イベント名がアドレスＡへアクセスのイベントと、イベント名がアドレスＢへのアクセスのイベントを参照すれば、カーナビＥＣＵ５００ｂが２のアドレスへアクセスしたことが分かるため、アクセス先アドレスの変化を取得することができる。

　また、イベント名がファイル数またはプロセス数が増加のイベントを複数参照すれば、ファイル数またはプロセス数の変化を取得することができる。

　［６　異常ルールの一例］
　図６は、ルール記憶部１０５に格納される異常ルールの一例である。異常ルールは異常ルール番号、異常ルール内容、期間、回数、異常スコア、異常カテゴリからなる。図のルール番号「１」の行では、ルール内容が「ネットワーク機器接続」であり、期間が「１時間」であり、回数が「４」であり、異常スコアが「＋１」であることが分かる。例えば、車両ログから１時間以内のネットワーク接続数を取得し、４回以上であれば、異常スコアを「＋１」するというルールが記載される。また、期間「―」は期間を考慮しないことを示し、例えば、異常ルール番号が８の行では、車両ログからシステムログイン回数を取得し、１回以上であれば異常スコアを「＋５」するというルールが記載される。

　ネットワーク機器接続は、攻撃者がスマートフォンなどの端末を車両システムにつなげることで、侵入を図る際に増加するため、１時間に４回の接続は異常として判定する。

　インターネットまたはＶＰＮ遮断は、攻撃者が車両システムと車両システムと接続されるサーバの通信を傍受する場合または、攻撃者が攻撃発覚を恐れて意図的に切断する場合に発生するため、１０分間で１回以上発生した場合に異常として判定する。

　アクセス先アドレスの変化は、攻撃者が車両システムに対して、悪意のあるＵＲＬへアクセスさせようと試行した際に変化するため、１回で異常として判定する。

　アクセス元アドレスの変化は、攻撃者が車両システムに対して、ポートスキャンなど攻撃を試行した際に変化するため、１回で異常として判定する。

　車両制御機能作動は、攻撃者が緊急ブレーキの発動コマンドを調査する際に、緊急ブレーキを複数回発動させる際に発生するため、１時間に１０回以上で異常として判定する。

　システムエラー発生は、攻撃者が車両システムをブルートフォース攻撃した際に、エラーとなるような通信を発生させてしまう場合に発生するため、２４時間以内に２回以上で異常として判定する。

　システムエラー解除は、攻撃者がシステムエラーを発生させてしまった場合に、車両診断ツールなどを用いて自らシステムエラーを消去する場合に発生するため、１回以上で異常として判定する。

　システムログインは、攻撃者が車両システムに対してユーザログインを試行した場合に発生するため、１回で異常として判定する。

　ファイル数またはプロセス数の変化は、攻撃者がマルウェアを車両システムにインストールした際に、ファイル数が増加または、プロセス数が増加するため、１回以上で異常として判定する。

　異常カテゴリは、ネットワーク解析またはシステム解析のいずれかが記載され、ネットワーク解析は攻撃者が車両システムの通信機能を解析している可能性が高いことを示し、ネットワーク解析は攻撃者が車両システムのホストマシンを解析している可能性が高いことを示す。異常カテゴリは異常対策時に、効果的な異常対策手段を選択するために利用される。

　［７　除外ルールの一例］
　図７は、ルール記憶部１０５に格納される除外ルールの一例である。図では、１つの除外ルールごとに、除外ルール番号、位置情報、有効期間、内容、除外対象異常ルールが記載される。

　図の除外ルール番号が３である行では、位置情報がＸ６．Ｙ６であり、有効期限が設定なしを表す「―」であり、内容が修理業者Ａであり、除外対象ルールがシステムエラー解除である。つまり、位置情報Ｘ６．Ｙ６には、修理業者Ａが存在するため、システムエラーを専用ツールで解除する可能性があるため、異常ルールにおいてシステムエラー解除のイベントを異常と判定せずに、異常スコアをカウントしないことを表す。

　また、図の除外ルール番号が４である行では、位置情報「日本」、有効期間「Ｔ３～Ｔ４」、内容「ソフト更新」、除外対象ルール「ファイル数の変化またはプロセス数の変化」である。つまり、有効期間Ｔ３～Ｔ４の間は、車両システムのソフトウェア更新のため、ファイル数が増えることがあるため、ファイル数またはプロセス数の変化を異常と判定せず、異常スコアをカウントしないことを表す。

　また。図の番号Ｍの行では、位置情報Ｘ４、Ｙ４ではトンネルがあることがわかるため、攻撃者によらないインターネットまたはＶＰＮ切断であることから、異常と判定せずに異常スコアをカウントしないことを表す。

　［８　異常スコアの一例］
　図８は、異常スコア記憶部１０７に格納される異常スコアの一例である。異常スコアは異常スコア算出部１０６によって車両ログと、異常ルールと、除外ルールを用いて算出される。異常スコアは、車両ごとの異常スコアである車両別異常スコアと、車種ごとの異常スコアの平均である車種別平均異常スコアと、エリア別の異常スコアの平均であるエリア別平均異常スコアから構成される。

　車両別異常スコアでは、異常ルール番号ごとに異常スコアが算出される。異常スコアの算出方法は後述する。例えば、異常ルール番号が２である行では、車両識別子がＡ１である車両の異常スコアが１であることを示している。また、最後に異常と判定されたイベントの発生時刻である最終異常日時が格納される。最終異常日時を確認することで、特定の車両に対して、異常が発生していない期間を取得することができ、攻撃者が攻撃をしていない、つまり、異常が一定期間発生していない車両に対しては異常スコアを低下させることができる。

　車種別平均異常スコアでは、異常ルール番号と車種ごとに異常スコアが算出し、車種ごとの平均値が格納される。例えば、異常ルール番号が１である行では、車種Ａの平均異常スコアが０であることを示している。

　エリア別平均異常スコアでは、異常ルール番号と車種ごとに異常スコアが算出し、車種ごとの平均値が格納される。例えば、異常ルール番号が６である行では、車種Ａの平均異常スコアが０．５であることを示している。

　［９　対策ルールの一例］
　図９は、ルール記憶部に格納される対策ルールの一例である。対策ルールは、対策ルール番号と、異常カテゴリと、異常スコア、対策ルール内容から構成される。異常対策通知部１０９は、異常と判定された車両の異常スコアを参照し、異常スコアが最も高い異常ルールの異常カテゴリと、異常スコアの値を取得し、異常カテゴリと異常スコアの値に応じて対策ルールを選択し、対策ルール内容を異常対策部２３０へ通知する。

　例えば、異常カテゴリがネットワーク解析で、異常スコアが２５であった場合、対策ルール内容は、「アクセス先とアクセル元アドレスを制限」を選択する。

　異常スコアの値の大きさによって、攻撃者が攻撃を試行している可能性を把握することができるため、異常スコアが大きいほど、より攻撃者の攻撃試行を妨害する対策を講じることができる。異常スコアが小さい場合、攻撃者の攻撃試行の可能性は低いため、車両システムの通常利用に影響がない範囲での対策を講じることができる。

　ネットワークインターフェースを遮断は、外部ネットワークとのインタフェースを利用不能にし、インターネット接続を完全に遮断する対策である。

　アクセス先とアクセス元アドレスを制限は、インターネットのアクセス先のアドレスを一部に制限し、アクセス元アドレスおよびポートを一部に制限することで、攻撃者のネットワーク解析を妨害する対策である。

　ネットワーク接続機器数を制限は、ネットワーク接続機器を少数に制限することで、ＷｉＦｉパスワードに対するブルートフォース攻撃などのネットワーク解析を妨害する対策である。

　車両制御機能を停止は、例えば、自動駐車モードや緊急ブレーキの発動自体を停止することで、攻撃者のシステム解析を妨害する対策である。

　車両ログの送信頻度を増加は、車両ログが定常時には１時間に１回送信である場合に、１０分に１回送信に変更することで、攻撃者のシステム解析の状況をより詳細に捉えるための対策である。

　車両ログの種類数を増加は、車両ログが定常時には２種類である場合に、５種類に変更することで、攻撃者のシステム解析の状況をより詳細に捉えるための対策である。

　ドライバへの警告は、攻撃者であった場合に、車両システムを監視していることを通知することで、今後の解析を妨害する対策である。

　［１０　異常スコアリスト表示画面の一例］
　図１０は、異常表示部１１０が表示する異常スコアリスト表示画面の一例である。異常スコアの大きい順に車両識別子を並べる。これにより、異常車両検出サーバ１０を利用するオペレーターは、より攻撃が疑われる車両を容易に見つけ出すことができ、優先的に車両ログを解析することができる。

　［１１　異常スコア地図表示画面の一例］
　図１１は、異常表示部１１０が表示する異常スコア地図表示画面の一例である。画面には、地図が表示されており、地図上に緯度がＸ２、Ｘ３、Ｘ４と表示され、経度がＹ２、Ｙ３、Ｙ４と表示されている。また、異常車両と判定された車両の最新の位置情報の地点、例えば、Ｘ４、Ｙ４を異常車両として地図上に表示している。また、異常車両と判定された車両が位置するエリア、例えばＸ３、Ｙ３を異常エリアとして地図上に表示している。

　これにより、オペレーターは容易に攻撃者が攻撃試行している可能性が高い車が存在する位置を直観的に把握することができ、地図上の施設名から、状況を推測することができる。

　［１２　異常スコア段階表示画面の一例］
　図１２は、異常表示部１１０が表示する異常スコア段階表示画面の一例である。画面には攻撃の進行度を表すフェーズである、偵察、武器化、デリバリー、エクスプロイト、インストール、Ｃ＆Ｃ、目的実行を段階に分けて表示されており、異常車両と判定された車両識別子Ａ１の車両が現在偵察フェーズであることを示している。

　これにより、オペレーターは、車両Ａ１に対する攻撃がどの程度進行しているかを直観的に把握することができる。

　［１３　車両ログ受信処理のシーケンス］
　図１３は、本開示の実施の形態１における異常車両検出サーバ１０が、車両システム２０から車両ログを受信して記憶するまでの処理シーケンスを示している。

　車両システム２０のセントラルＥＣＵ３００は、イーサネット１３を介して車両ログを収集し、収集した車両ログを車両ログ送信装置２００の車両ログ送信部２２０に送信する（Ｓ１３０１）。

　車両ログ送信装置２００の車両ログ送信部２２０は、車両側通信部２１０へ車両ログを送信する（Ｓ１３０２）。

　車両ログ送信装置２００の車両側通信部２１０は、外部ネットワークを介して、異常車両検出サーバ１０のサーバ側通信部１０１へ車両ログを送信する（Ｓ１３０３）。

　異常車両検出サーバ１０のサーバ側通信部１０１は、車両ログを受信し、車両ログ受信部１０２へ転送する（Ｓ１３０４）。

　異常車両検出サーバ１０の車両ログ受信部１０２は、車両ログを受信し、車両ログ記憶部１０３に格納する（Ｓ１３０５）。

　［１４　除外ルール受信処理のシーケンス］
　図１４は、本開示の実施の形態１における異常車両検出サーバ１０が、除外ルール共有サーバ３０から除外ルールを受信して記憶するまでの処理シーケンスを示している。

　除外ルール共有サーバ３０は、外部ネットワークを介して、除外ルールを異常車両検出サーバ１０のサーバ側通信部１０１に送信する（Ｓ１４０１）。

　異常車両検出サーバ１０のサーバ側通信部１０１は、除外ルールを受信し、除外ルール受信部１０４へ転送する（Ｓ１４０２）。

　異常車両検出サーバ１０の除外ルール受信部１０４は、除外ルールを受信し、ルール記憶部１０５に格納する（Ｓ１４０３）。

　［１５　異常スコア算出処理のシーケンス］
　図１５は、本開示の実施の形態１における異常車両検出サーバ１０が、異常スコアを算出し、異常車両を検出するまでの処理シーケンスを示している。

　異常車両検出サーバ１０の異常スコア算出部１０６は、車両ログ記憶部１０３から車両ログを取得し、ルール記憶部１０５から除外ルールと異常ルールを取得する（Ｓ１５０１）。

　異常スコア算出部１０６は、取得した車両ログと、除外ルールと、異常ルールに基づき、異常スコアを算出して、異常スコア記憶部１０７に格納する（Ｓ１５０２）。

　異常スコア算出部１０６は、異常スコア算出後、異常車両判定部１０８へ通知する（Ｓ１５０３）。

　異常車両判定部１０８は、異常スコア記憶部１０７から異常スコアを取得し、異常車両を検出する（Ｓ１５０４）。

　［１６　異常対策処理のシーケンス］
　図１６は、本開示の実施の形態１における異常車両検出サーバ１０が、異常車両を検出後、異常に対して対策を講じるまでの処理シーケンスを示している。

　異常車両検出サーバ１０の異常車両判定部１０８は、検出した異常車両の車両識別子と、車種と、エリアと、異常スコアを異常対策通知部１０９へ送信する（Ｓ１６０１）。

　異常車両検出サーバ１０の異常対策通知部１０９は、受信した異常車両の車両識別子に対応する車両または、受信した異常車両の車種と同一の車種の車両、受信した異常車両のエリアと同一エリアに位置する車両へ通知するよう、サーバ側通信部１０１へ送信する（Ｓ１６０２）。

　異常車両検出サーバ１０のサーバ側通信部１０１は、外部ネットワークを介して、Ｓ１６０２の通知を車両ログ送信装置２００の車両側通信部２１０へ送信する（Ｓ１６０３）。

　車両ログ送信装置２００の車両側通信部２１０は、Ｓ１６０２の通知を異常対策部２３０へ送信する（Ｓ１６０４）。

　車両ログ送信装置２００の異常対策部２３０は、車両ログ送信部２２０へ異常対策を要求する（Ｓ１６０５）。例えば、車両ログの種類量や頻度の増加を要求する。

　車両ログ送信装置２００の異常対策部２３０は、イーサネット１３を介して、セントラルＥＣＵ３００へ異常対策を要求する（Ｓ１６０６）。例えば、車両制御機能の制限を要求する。

　［１７　異常表示処理のシーケンス］
　図１７は、本開示の実施の形態１における異常車両検出サーバ１０が、異常車両を検出後、異常をオペレーターへ表示するまでの処理シーケンスを示している。

　異常車両検出サーバ１０の異常車両判定部１０８は、検出した異常車両の車両識別子と、車種と、エリアと、異常スコアを異常表示部１１０へ送信する（Ｓ１７０１）。

　異常車両検出サーバ１０の異常表示部１１０は、受信した異常車両の車両識別子と、車種と、エリアを、グラフィカルユーザーインターフェースを用いて表示する（Ｓ１７０２）。

　[１８　車両別異常スコア算出処理のフローチャート]
　図１８に、本開示の実施の形態１における異常スコア算出部１０６の車両別異常スコア算出処理のフローチャートを示す。

　異常スコア算出部１０６は、変数ｉを用意し、ｉ＝１とする（Ｓ１８０１）。そして、Ｓ１８０２を実施する。ここでｉは１～Ｎの値で、Ｎは異常ルール数を表す。

　異常ルールｉを選択し（Ｓ１８０２）、Ｓ１８０３を実施する。

　車両ログに記載されるイベント内容と、位置情報と、時刻と、除外ルールを参照し、異常ルールｉが除外対象異常ルールでない場合、Ｓ１８０４を実行し、異常ルールｉが除外対象異常ルールである場合、Ｓ１８０５を実行する（Ｓ１８０３）。

　車両ログに記載されるイベント内容と位置情報と時刻と、除外ルールを参照し、車両ログのイベントが異常ルールｉと合致し、異常であると判定される場合、Ｓ１８０６を実施する（Ｓ１８０４）。また、車両ログのイベントが異常ルールｉと合致せず、異常でないと判定される場合、Ｓ１８０５を実行する。

　異常スコアに記載される最終異常日時を参照し、現在の日時から２４時間経過している場合、Ｓ１８０７を実施する（Ｓ１８０５）。

　車両ログに記載される車両識別子と対応する異常スコアを、異常ルールｉに記載された異常スコア分を加算し（Ｓ１８０６）、Ｓ１８０８を実施する。

　車両ログに記載される車両識別子と対応する異常スコアを、０に変更し（Ｓ１８０７）、Ｓ１８０８を実施する。

　ｉがＮである場合、終了し、そうでない場合Ｓ１８０９を実施する（Ｓ１８０８）。

　ｉを１インクリメントし（Ｓ１８０９）、Ｓ１８０２を実施する。

　[１９　車種別異常スコア算出処理のフローチャート]
　図１９に、本開示の実施の形態１における異常スコア算出部１０６の車種別異常スコア算出処理のフローチャートを示す。

　異常スコア算出部１０６は、車両別異常スコアを取得する（Ｓ１９０１）。

　変数ｉを用意し、ｉ＝１とする（Ｓ１９０２）。そして、Ｓ１９０３を実施する。ここでｉは１～Ｎの値で、Ｎは異常ルール数を表す。

　異常ルールｉを選択し（Ｓ１９０３）、Ｓ１９０４を実施する。

　車種ごとに、すべての車両の車両別異常スコアから、異常ルールｉと対応する異常スコアを抽出し、平均値を算出する（Ｓ１９０４）。

　ｉがＮである場合、終了し、そうでない場合Ｓ１９０６を実施する（Ｓ１９０５）。

　ｉを１インクリメントし（Ｓ１９０６）、Ｓ１９０３を実施する。

　[２０　エリア別異常スコア算出処理のフローチャート]
　図２０に、本開示の実施の形態１における異常スコア算出部１０６の車種別異常スコア算出処理のフローチャートを示す。

　異常スコア算出部１０６は、車両別異常スコアを取得する（Ｓ２００１）。

　変数ｉを用意し、ｉ＝１とする（Ｓ２００２）。そして、Ｓ２００３を実施する。ここでｉは１～Ｎの値で、Ｎは異常ルール数を表す。

　異常ルールｉを選択し（Ｓ２００３）、Ｓ２００４を実施する。

　エリアごとに、すべての車両の車両別異常スコアから、異常ルールｉと対応する異常スコアを抽出し、平均値を算出する（Ｓ２００４）。

　ｉがＮである場合、終了し、そうでない場合Ｓ２００９を実施する（Ｓ２００５）。

　ｉを１インクリメントし（Ｓ２００６）、Ｓ２００２を実施する。

　[２１　異常車両検出処理のフローチャート]
　図２１に、本開示の実施の形態１における異常車両判定部１０８の異常車両検出処理のフローチャートを示す。

　異常車両判定部１０８は、特定車両を選択し、選択した車両の異常スコアを取得し（Ｓ２１０１）、Ｓ２１０２と、Ｓ２１０４と、Ｓ２１０６を実施する。ここで異常スコアは車両別異常スコア、車種別異常スコア、エリア別異常スコアを含む。

　異常スコアが１０よりも大きい場合に、Ｓ２１０３を実施し、そうでない場合に、終了する（Ｓ２１０２）。

　選択中の車両を異常車両として検出し（Ｓ２１０３）、終了する。

　異常スコアが選択中の車両と同一車種の車種別異常平均スコアよりも大きい場合に、Ｓ２１０５を実施し、そうでない場合に、終了する（Ｓ２１０４）。

　選択中の車両を異常車両として検出し、異常スコアを２倍にして、異常スコア記憶部１０７に格納し（Ｓ２１０５）、終了する。これにより、通常とより異なる挙動を示す車両の異常スコアを大きくすることができ、優先的に解析することができる。

　異常スコアが選択中の車両と同一エリアに位置するエリア別異常平均スコアよりも大きい場合に、Ｓ２１０７を実施し、そうでない場合に、終了する（Ｓ２１０６）。

　選択中の車両を異常車両として検出し、異常スコアを２倍にして、異常スコア記憶部１０７に格納し（Ｓ２１０７）、終了する。これにより、通常とより異なる挙動を示す車両の異常スコアを大きくすることができ、優先的に解析することができる。

　[２２　異常対策処理のフローチャート]
　図２２に、本開示の実施の形態１における異常対策通知部１０９の異常対策処理のフローチャートを示す。

　異常車両判定部１０８が検出した異常車両の情報を取得し（Ｓ２２０１）、Ｓ２２０２を実施する。

　異常車両と判定された車両の異常スコアを参照し、異常スコアの値が最も大きい異常ルールと対応する異常カテゴリを抽出し（Ｓ２２０２）、Ｓ２２０３を実施する。

　異常カテゴリが、ネットワーク解析である場合、Ｓ２２０４を実施し、そうでない場合、Ｓ２２０５を実施する（Ｓ２２０３）。

　ルール記憶部が記憶する対策ルールに基づいて、異常カテゴリと異常スコアの値を参照し、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告のいずれか１つ以上の対策を選択する（Ｓ２２０４）。そして、車両側通信部２１０へその対策を通知し、終了する。

　異常カテゴリが、システム解析である場合、Ｓ２２０６を実施し、そうでない場合、終了する（Ｓ２２０５）。

　ルール記憶部が記憶する対策ルールに基づいて、異常カテゴリと異常スコアの値を参照し、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告のいずれか１つ以上の対策を選択する（Ｓ２２０６）。そして、車両側通信部２１０へその対策を通知し、終了する。

　［その他変形例］
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、自動車に搭載される車載ネットワークにおけるセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。

　すなわち、モビリティネットワークおよびモビリティネットワークシステムにおけるサイバーセキュリティ対策として適用可能である。

　また、工場やビルなどの産業制御システムで利用される通信ネットワークや、組込みデバイスを制御するための通信ネットワークに適用してもよい。

　（２）上記の実施の形態において、異常ルールに記載される、期間と、回数、異常スコアの値は、変更してもよい。攻撃が疑われる特定の条件を満たした場合に異常スコアが加算されればよい。

　（３）上記の実施の形態において、異常スコア算出部１０６は、異常ルールごとに異常スコアを算出すると説明したが、異常ルールすべてを適応した異常スコアの合計値を算出してもよい。

　（４）上記の実施の形態において、異常スコア算出部１０６は、車種とエリアごとに異常スコアの平均値を算出すると説明したが、合計値または中央値のような統計値を用いてもよい。

　（５）上記の実施の形態において、異常スコアリスト表示画面は、異常スコアの高い順に表示させると説明したが、異常スコアの昇順または降順にソートできる機能を用意してもよい。

　（６）上記の実施の形態において、異常スコア地図表示画面は、異常エリアと異常車両を地図上に表示すると説明したが、異常エリアと異常車両はそれぞれ複数表示してもよく、異常スコアを合わせて表示してもよい。

　（７）上記の実施の形態において、異常スコア段階表示画面は、特定の異常車両の攻撃進行度を示す段階別に表示すると説明したが、すべての段階を表示する必要はなく、偵察フェーズのみを表示してもよい。

　（８）上記の実施の形態において、異常スコア算出処理のフローチャートでは、最終異常日時から２４時間経過していた場合、異常スコアを０にすると説明したが、必ずしも２４時間である必要はなく所定の時間であればよい。また、異常スコアを必ずしも０にする必要はなく、減少させてもよい。

　（９）上記の実施の形態において、異常車両検出処理のフローチャートでは、異常スコアが車種別異常平均スコアよりも大きい場合とエリア別異常平均スコアよりも大きい場合に、異常スコアを２倍すると説明したが、必ずしも２倍である必要はなく、固定値を加えるなど異常スコアが大きくなればよい。

　（１０）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（１１）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（１２）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（１３）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１４）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、車載システムのログから、攻撃者によるリバースエンジニアリング活動が疑われる異常な挙動を検知し、異常スコアを算出する。さらに、同一車種や同一エリアの車載システムと異常スコアを比較することで、正常車両とは異なる攻撃対象となっている可能性の高い異常車両を検知する。そして、異常車両に対して、異常スコアと異常カテゴリに応じた対策を実施することで異常な車両を優先的に適切に解析することを可能とする。

　１０　異常車両検出サーバ
　１１、１２、１３　イーサネット
　１４　ＣＡＮ
　１５　ＣＡＮ－ＦＤ
　２０　車両システム
　３０　除外ルール共有サーバ
　２００　車両ログ送信装置
　３００　セントラルＥＣＵ
　４００ａ、４００ｂ、４００ｃ、４００ｄ　ＺｏｎｅＥＣＵ
　５００ａ　ボディＥＣＵ
　５００ｂ　カーナビＥＣＵ
　５００ｃ　ステアリングＥＣＵ
　５００ｄ　ブレーキＥＣＵ
　１０１　サーバ側通信部
　１０２　車両ログ受信部
　１０３　車両ログ記憶部
　１０４　除外ルール受信部
　１０５　ルール記憶部
　１０６　異常スコア算出部
　１０７　異常スコア記憶部
　１０８　異常車両判定部
　１０９　異常対策通知部
　１１０　異常表示部
　２１０　車両側通信部
　２２０　車両ログ送信部
　２３０　異常対策部

Claims

　車両システムにおいて発生したイベント内容のデータを含む車両ログを１以上の車両から受信する異常車両検出サーバであって、
　受信した車両ログのイベント内容に基づいて、通常の運転とは異なる不審挙動を検出し、前記車両ログと対応する車両に対してリバースエンジニアリングが行われている可能性を示す異常スコアを算出する異常スコア算出部と、
　前記異常スコアが所定値以上の場合に、前記車両を異常車両として判定する異常車両判定部と、
　を備える、異常車両検出サーバ。
　前記異常車両判定部は、さらに、一の車両に対して算出された異常スコアと、前記一の車両と同一の車種の異常スコアに基づく統計値を比較し、前記一の車両が異常車両であるか否かを判定する、
　請求項１記載の異常車両検出サーバ。
　前記異常車両判定部は、
　一の車両に対して算出された異常スコアと、前記一の車両と同一のエリアに位置する車両の異常スコアに基づく統計値を比較し、前記一の車両が異常車両であるか否かを判定する、
　請求項１記載の異常車両検出サーバ。
　前記異常スコア算出部は、ネットワーク機器接続頻発または、インターネット接続異常、診断コマンド頻発、アクセス先アドレスの変化、アクセス元アドレスの変化のいずれかを不審挙動として検出し、前記不審挙動が発生した場合に、ネットワーク解析活動と判定し、車両に対して異常スコアを増加させる、
　請求項１から３のいずれか１項に記載の異常車両検出サーバ。
　さらに、異常対策通知部を備え、
　前記異常スコア算出部が、前記不審挙動をネットワーク解析活動と判定した場合、前記異常対策通知部は、異常スコアの値に応じて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告のいずれか１つ以上の対策を実施する、
　請求項４記載の異常車両検出サーバ。
　前記異常スコア算出部は、車両制御機能頻発、システムエラー頻発、システムエラー削除、故障コード頻発、システムログイン、ファイル数またはプロセス数の変化のいずれかを不審挙動として検出し、前記不審挙動が発生した場合に、システム解析活動と判定し、車両に対して異常スコアを増加させる、
　請求項１から３のいずれか１項に記載の異常車両検出サーバ。
　さらに、異常対策通知部を備え、
　前記異常スコア算出部が、前記不審挙動をネットワーク解析活動と判定した場合、前記異常対策通知部は、異常スコアの値に応じて、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの警告のいずれか１つ以上の対策を実施する、
　請求項６記載の異常車両検出サーバ。
　前記異常スコア算出部は、前記不審挙動を検出した場合であっても、所定の期間内に前記不審挙動が発生した場合または所定のエリアにて前記不審挙動が発生した場合は、異常スコアを増加させない、
　請求項１から７のいずれか１項に記載の異常車両検出サーバ。
　前記異常スコア算出部は、所定の期間中に前記不審挙動が発生しなかった場合は、異常スコアを減少させる、
　請求項１から８のいずれか１項に記載の異常車両検出サーバ。
　前記異常車両検出サーバは、さらに、前期異常車両判定装置が異常車両と判定した車両に対して、前記異常スコアの値または前記不審挙動の種別に基づいて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告、ネットワーク接続制限と、車両制御機能制限、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの通知のうち、いずれか１つ以上の対策を要求する異常通知部を備える、
　請求項１から９のいずれか１項に記載の異常車両検出サーバ。
　前記異常車両検出サーバは、さらに、前記異常車両判定装置が異常車両と判定した車両と同一の車種に対して、前記異常スコアの値または前記不審挙動の種別に基づいて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告、ネットワーク接続制限と、車両制御機能制限、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの通知のうち、いずれか１つ以上の対策を要求する異常通知部を備える、
　請求項１から９のいずれか１項に記載の異常車両検出サーバ。
　前記異常車両検出サーバは、さらに、前記異常車両判定装置が異常車両と判定した車両と同一のエリアに位置する車両に対して、前記異常スコアの値または前記不審挙動の種別に基づいて、ネットワークインターフェースの遮断、アクセス先とアクセス元のアドレスの制限、ネットワーク接続機器数の制限、ドライバへの警告、ネットワーク接続制限と、車両制御機能制限、車両制御機能の起動停止、車両ログの送信頻度の増加、車両ログの種類数の増加、ドライバへの通知のうち、いずれか１つ以上の対策を要求する異常通知部を備える、
　請求項１から９のいずれか１項に記載の異常車両検出サーバ。
　前記異常車両検出サーバは、前記異常スコアが高い順に異常車両をリスト表示する異常車両表示部を備える、
　請求項１から１２のいずれか１項に記載の異常車両検出サーバ。
　前記異常車両検出サーバは、前記異常車両と判定された車両の位置情報を地図上に表示する異常車両表示部を備える、
　請求項１から１２のいずれか１項に記載の異常車両検出サーバ。
　前記異常車両検出サーバは、車両に対する攻撃を、攻撃の進行度に応じて階層別に表示し、前記異常車両と判定された車両または車種、位置情報のいずれか一つの情報を、攻撃の進行度が低い偵察フェーズの階層に表示する異常車両表示部を備える、
　請求項１から１２のいずれか１項に記載の異常車両検出サーバ。
　車両システムにおいて発生したイベント内容のデータを含む車両ログを１以上の車両から受信する異常車両検出方法であって、
　受信した車両ログのイベント内容に基づいて、通常の運転とは異なる不審挙動を検出し、前記車両ログと対応する車両に対してリバースエンジニアリングが行われている可能性を示す異常スコアを算出する異常スコア算出ステップと、
　前記異常スコアが所定値以上の場合に、前記車両を異常車両として判定する異常車両判定ステップと、
　を備える、異常車両検出方法。