WO2021111865A1

WO2021111865A1 - 判定装置、判定プログラム及び判定方法

Info

Publication number: WO2021111865A1
Application number: PCT/JP2020/042793
Authority: WO
Inventors: 慎一相羽; 浩史上田; 直樹足立; 翔悟上口; 史也石川
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2019-12-06
Filing date: 2020-11-17
Publication date: 2021-06-10
Also published as: CN114747182A; US20230006860A1; JP2021093572A; JP7247875B2; DE112020005980T5

Abstract

判定装置の制御部は、複数の車載ＥＣＵから送信される複数の第１データ及び第２データを取得し、第１データに基づいて判定用データを導出し、第１データを識別する識別子と第２データを識別する識別子の複数の組合せにおいて、第２データ及び判定用データに基づき、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、特定した不正判定組合せに含まれる複数の識別子と、正当判定組合せに含まれる複数の識別子に基づいて、第１データ又は第２データが不正であるかを判定する。

Description

判定装置、判定プログラム及び判定方法

　本開示は、判定装置、判定プログラム及び判定方法に関する。
　本出願は、２０１９年１２月６日出願の日本出願第２０１９－２２１５１７号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　従来、車両に搭載された複数の車載ＥＣＵ（Electronic Control Unit）間の通信には、ＣＡＮの通信プロトコルが広く採用されている。車両の多機能化及び高機能化に伴って、搭載される車載ＥＣＵの数が増加する傾向となるが、当該車載ＥＣＵをグループ（セグメント）に分けて車両ネットワークを構成し、同一グループとなる複数の車載ＥＣＵは共通の通信線で接続され相互にデータの送受信を行うと共に、異なるグループの車載ＥＣＵ間のデータの送受信は、車載中継装置（ゲートウェイ）によって中継される（例えば、特許文献１）。

　特許文献１の車両ネットワークには、車載中継装置（ゲートウェイ）に加え、車両ネットワークのセグメント夫々に接続され、車両ネットワークに流れる不正なデータ（メッセージ）を検知する車両ネットワーク監視装置を備えている。当該車両ネットワーク監視装置は、不正なデータ（メッセージ）を検知したとき、車載制御装置（車載ＥＣＵ）に対して警告情報（メッセージコード）を送信する。

特開２０１３－１３１９０７号公報

　本開示の一態様に係る判定装置は、車両に搭載され、複数の車載ＥＣＵと通信可能に接続された判定装置であって、前記複数の車載ＥＣＵから送信されるデータの正否の判定に関する制御を行う制御部を備え、前記データは、第１データ及び第２データを含み、前記制御部は、前記複数の車載ＥＣＵから送信される複数の前記第１データ及び前記第２データを取得し、前記第１データに基づいて、判定用データを導出し、前記第１データを識別する識別子と前記第２データを識別する識別子の複数の組合せにおいて、前記第２データ及び前記判定用データに基づき、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定する。

実施形態１に係る判定装置を含むシステム構成を例示する模式図である。判定装置の内部構成を例示するブロック図である。複数の識別子夫々における相関を例示した説明図である。第１データ及び第２データ夫々を識別する識別子による複数の組合せ（組合せテーブル）に関する説明図である。判定装置の制御部に含まれる機能部を例示する機能ブロック図である。判定装置の制御部の処理を例示するフローチャートである。

［本開示が解決しようとする課題］
　特許文献１の車両ネットワーク監視装置は、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定する点については、考慮されていない。

　本開示の目的は、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定することができる判定装置等を提供する。

［本開示の効果］
　本開示の一態様によれば、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定する判定装置等を提供することができる。

［本開示の実施形態の説明］
　最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る判定装置は、車両に搭載され、複数の車載ＥＣＵと通信可能に接続された判定装置であって、前記複数の車載ＥＣＵから送信されるデータの正否の判定に関する制御を行う制御部を備え、前記データは、第１データ及び第２データを含み、前記制御部は、前記複数の車載ＥＣＵから送信される複数の前記第１データ及び前記第２データを取得し、前記第１データに基づいて、判定用データを導出し、前記第１データを識別する識別子と前記第２データを識別する識別子の複数の組合せにおいて、前記第２データ及び前記判定用データに基づき、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定する。

　本態様にあたっては、判定装置は、第１データ、第２データ及び判定用データに基づき、複数の第１データ及び第２データを識別する識別子による複数の組合せにおいて、正当な第１データ及び第２データの識別子のみを含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定する。従って、判定装置は、互いに関連性を有する複数のデータにおいて、正当なデータを特定することができる。判定装置は、不正判定組合せに含まれる識別子の第１データ又は第２データと、特定した正当なデータ（正当判定組合せに含まれる識別子の第１データ及び第２データ）とに基づいて、不正判定組合せに含まれる識別子の第１データ又は第２データのいずれのデータが不正であるかを判定する。従って、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合であっても、当該攻撃によって不正となったデータを特定することができる。

（２）本開示の一態様に係る判定装置は、前記複数の組合せ夫々は、複数の前記第１データ夫々を識別するための複数の識別子と、前記第２データの識別子とを含み、同一の識別子が、２つ以上の前記組合せに重複して含まれる。

　本態様にあたっては、組合せ夫々は、複数の第１データ夫々を示す複数の識別子と、単一の第２データの識別子とによるデータセットによって構成され、同一の識別子が、２つ以上の組合せにて重複して含まれる。従って、いずれかの識別子に基づき、これら組合せを互いに数珠繋ぎに連関させることができ、正当判定組合せと判定された組合せに含まれる第１データ又は第２データの識別子を用いて、他の組合せに含まれる識別子の第１データ及び第２データの判定を効率的に行うことができる。

（３）本開示の一態様に係る判定装置は、前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第１データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第２データとの差異が所定値以内である場合、前記いずれかの組合せは、正当判定組合せであると特定する。

　本態様にあたっては、判定装置は、複数の組合せの夫々において、いずれかの組合せに含まれる複数の第１データに基づき導出した判定用データと、当該組合せに含まれる第２データとの差異が所定値以内である場合、当該組合せは、正当判定組合せである特定する。このように複数の組合せの夫々において、当該組合せに含まれる第１データ及び第２データの正否を判定するため、組合せ夫々に対する判定を効率的に行うことができる。所定値は、判定用データと第２データとを比較するにあたり、判定装置による判定処理の精度上、判定用データと第２データとが実質的に同一の値であると判定するための閾値である。

（４）本開示の一態様に係る判定装置は、前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第１データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第２データとの差異が所定値よりも大きい場合、前記いずれかの組合せは、不正判定組合せであると特定する。

　本態様にあたっては、判定装置は、複数の組合せの夫々において、組合せに含まれる複数の第１データに基づき導出した判定用データと、当該組合せに含まれる第２データとの差異が所定値よりも大きい場合、当該組合せは、不正判定組合せである特定する。このように複数の組合せの夫々において、当該組合せに含まれる第１データ及び第２データの正否を判定するため、組合せ夫々に対する判定を効率的に行うことができる。

（５）本開示の一態様に係る判定装置は、前記制御部は、前記不正判定組合せに含まれる識別子において、前記正当判定組合せに含まれる識別子とは異なる識別子の第１データ又は第２データを、不正なデータとして判定する。

　本態様にあたっては、正当判定組合せに含まれる識別子の第１データ及び第２データは、既に正当なデータであると判定されている。これに対し、不正判定組合せに含まれる識別子の第１データ及び第２データのいずれかのデータは、不正なデータであると推定される。そこで、当該不正判定組合せに含まれる識別子の第１データ又は第２データであっても、正当判定組合せに含まれる識別子の第１データ及び第２データと同じデータは、正当なデータであると判定することができる。従って、不正判定組合せに含まれる識別子の第１データ及び第２データにおいて、正当判定組合せに含まれる識別子の第１データ又は第２データとは異なるデータを、不正なデータとして判定することにより、不正判定組合せに含まれる識別子の第１データ及び第２データにおける、いずれのデータが不正であるかを効率的に判定することができる。

（６）本開示の一態様に係る判定装置は、前記制御部は、前記不正判定組合せに含まれる複数の第１データの識別子において、他の不正判定組合せにて不正と判定されたデータの識別子を除いた識別子の第１データに基づき、判定用データを導出し、該判定用データ及び前記不正判定組合せに含まれる識別子の第２データに基づき、前記不正判定組合せに含まれる第１データ及び該第２データの正否を判定する。

　本態様にあたっては、いずれかの不正判定組合せに含まれる識別子の複数の第１データにおいて、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第１データに基づき、判定用データを導出する。そして、判定装置は、当該不正と判定されたデータを除いた第１データと、判定用データ当該と、不正判定組合せに含まれる識別子の第２データとに基づき、第１データ及び第２データの正否を判定する。判定用データを導出するために用いられる第１データは、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第１データであるため、正当なデータである可能性が高い。従って、不正と判定されたデータを除いた第１データを用いて導出した判定用データと、第２データとに基づき、第１データ及び第２データの正否の判定を効率的に行うことができる。

（７）本開示の一態様に係る判定装置は、複数の組合せに関する情報は、自装置からアクセス可能な所定の記憶領域に記憶されており、制御部は、所定の記憶領域を参照することにより、複数の組合せに関する情報を取得する。

　本態様にあたっては、複数の組合せに関する情報は、判定装置に含まれる記憶部のみならず、例えば、判定装置と通信可能に接続された外部サーバ等、判定装置からアクセス可能な所定の記憶領域に記憶されているため、当該組合せに関する情報を効率的に取得することができる。

（８）本開示の一態様に係る判定装置は、前記組合せを構成する前記識別子に対応する前記第１データ及び前記第２データは、相関関係を有し、前記第１データ及び前記第２データの相関係数の絶対値は、０．７以上である。

　本態様にあたっては、組合せを構成する識別子に対応する第１データ及び前記第２データは相関関係を有し、当該第１データ及び前記第２データの相関係数の絶対値の所定値を０．７とすることで、第１データとの間の相関係数の絶対値が、０．７以上の第２データを用いてデータの正否を判定することができ、当該判定結果の精度を向上させることができる。

（９）本開示の一態様に係る判定プログラムは、コンピュータに、複数の車載ＥＣＵから送信される複数の第１データ及び第２データを取得し、前記第１データに基づいて、判定用データを導出し、前記第１データ及び前記第２データ夫々を識別する識別子による複数の組合せに関する情報を取得し、取得した前記第２データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定する処理を実行させる。

　本態様にあたっては、コンピュータを判定装置として機能させることができる。

（１０）本開示の一態様に係る判定方法は、複数の車載ＥＣＵから送信される複数の第１データ及び第２データを取得し、前記第１データに基づいて、判定用データを導出し、前記第１データ及び前記第２データ夫々を識別する識別子による複数の組合せに関する情報を取得し、取得した前記第２データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定する処理をコンピュータに実行させる。

　本態様にあたっては、互いに関連性を有する複数のデータのいずれかのデータに対し攻撃がされた場合、当該攻撃によって不正となったデータを判定する判定方法を提供することができる。

[本開示の実施形態の詳細]
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る判定装置２を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る判定装置２を含むシステム構成を例示する模式図である。図２は、判定装置２等の内部構成を例示するブロック図である。車両Ｃには、車外通信装置１、判定装置２及び判定装置２と通信可能に接続された複数の車載ＥＣＵ３が搭載されている。

　判定装置２は、これら複数の車載ＥＣＵ３が出力（送信）するメッセージ等のデータの正否を判定する。判定装置２は、これら複数の車載ＥＣＵ３間において送受信されるデータを中継する例えばＣＡＮゲートウェイ又はイーサスイッチ（登録商標）等の車載中継装置として機能する。又、判定装置２は、車外通信装置１を介して車外ネットワークＮに接続された外部サーバＳ１（プログラム提供装置）と通信する車載中継装置として機能するものであってもよい。判定装置２は、外部サーバＳ１から取得したプログラム又はデータを、車両Ｃに搭載されている車載ＥＣＵ３（Electronic Control Unit）に送信するリプロマスターとして機能するものであってもよい。判定装置２は、外部サーバＳ１と協働して、後述する一連の判定処理を行うものであってもよい。

　外部サーバＳ１は、例えばインターネット又は公衆回線網等の車外ネットワークＮに接続されているサーバ等のコンピュータであり、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）又はハードディスク等による記憶部Ｓ１１を備える。外部サーバＳ１には、車載ＥＣＵ３の製造メーカ等によって作成された当該車載ＥＣＵ３を制御するためのプログラム又はデータが、記憶部Ｓ１１に保存されている。当該プログラム又はデータは、更新プログラムとして車両Ｃに送信され、車両Ｃに搭載されている車載ＥＣＵ３のプログラム又はデータを更新するために用いられるものであってもよい。このように構成された外部サーバＳ１（プログラム提供装置）は、ＯＴＡ（Over The Air）サーバとも称される。車両に搭載される車載ＥＣＵ３は、外部サーバＳ１から無線通信により送信された更新プログラムを取得し、当該更新プログラムを実行するプログラムとして適用することにより、自ＥＣＵが実行するプログラムを更新（リプロ）することができる。更に、外部サーバＳ１の記憶部Ｓ１１には、判定装置２と協働して一連の判定処理を行うためのプログラム又はデータが記憶されているものであってもよい。

　車両Ｃには、車外通信装置１、判定装置２、表示装置５、及び種々の車載機器を制御するための複数の車載ＥＣＵ３が搭載されている。車外通信装置１と判定装置２とは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。判定装置２及び車載ＥＣＵ３は、ＣＡＮ（Controller Area Network／登録商標）又はＴＣＰ／ＩＰ等の通信プロトコルに対応した車内ＬＡＮ４によって通信可能に接続されている。

　車外通信装置１は、車外通信部１１及び、判定装置２と通信するための入出力Ｉ／Ｆ（インターフェイス）１２を含む。車外通信部１１は、３Ｇ、ＬＴＥ、４Ｇ、ＷｉＦｉ等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部１１に接続されたアンテナ１３を介して外部サーバＳ１とデータの送受信を行う。車外通信装置１と外部サーバＳ１との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。

　入出力Ｉ／Ｆ１２は、判定装置２と、例えばシリアル通信するための通信インターフェイスである。車外通信装置１と判定装置２とは、入出力Ｉ／Ｆ１２及び入出力Ｉ／Ｆ１２に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置１は、判定装置２と別装置とし、入出力Ｉ／Ｆ１２等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置１は、判定装置２の一構成部位として、判定装置２に内蔵されるものであってもよい。

　判定装置２は、制御部２０、記憶部２１、車内通信部２３及び入出力Ｉ／Ｆ２４を含む。判定装置２は、例えば、制御系の車載ＥＣＵ３、安全系の車載ＥＣＵ３及び、ボディ系の車載ＥＣＵ３等の複数の系統の通信線４１（ＣＡＮバス、イーサネット（登録商標）ケーブル）によるセグメントを統括し、これらセグメント間での車載ＥＣＵ３同士の通信を中継するゲートウェイ又はイーサスイッチ等の車載中継装置である。又は、判定装置２は、車両Ｃ全体をコントロールするボディＥＣＵの一機能部として構成されるものであってもよい。又は、判定装置２は、車載中継装置とは別体の装置として構成され、車載中継装置と通信可能に接続されるものであってもよい。判定装置２は、車載中継装置を介して車載ＥＣＵ３が出力したメッセージ等のデータを取得し、当該データの正否を判定するものであってもよい。

　記憶部２１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部２１に記憶された制御プログラムは、判定装置２が読み取り可能な記録媒体２２から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部２１に記憶させたものであってもよい。記憶部２１には、車両Ｃに搭載される全ての車載ＥＣＵ３の構成情報及び中継処理を行うにあたり用いる経路情報（ルーティングテーブル）が記憶される。記憶部２１には、更に、後述する組合せテーブルに関する情報が記憶されている。

　車内通信部２３は、例えば、ＣＡＮ（Controller Area Network）又はＴＣＰ／ＩＰ等の通信プロトコルを用いた入出力インターフェイス（ＣＡＮトランシーバ）であり、制御部２０は、車内通信部２３を介して車内ＬＡＮ４に接続されている車載ＥＣＵ３又は他の中継装置等の車載機器と相互に通信する。車内通信部２３は、複数個（図面上では３つ）設けられており、車内通信部２３夫々に、車内ＬＡＮ４を構成する通信線４１が接続されている。このように車内通信部２３を複数個設けることにより、車内ＬＡＮ４を複数個のセグメントに分け、各セグメントに車載ＥＣＵ夫々を、当該車載ＥＣＵの機能（制御系機能、安全系機能、ボディ系機能）に応じて接続する。

　車内通信部２３がＣＡＮの通信プロトコルを用いる場合、判定装置が車載ＥＣＵから取得するデータは、ＣＡＮメッセージとなる。車内通信部２３がＴＣＰ／ＩＰの通信プロトコルを用いる場合、判定装置が車載ＥＣＵから取得するデータは、ＩＰパケットとなる。

　制御部２０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部２１に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部２０は、通信線４１夫々に接続されている車載ＥＣＵ３から送信されるメッセージ等のデータを受信、又は当該車載ＥＣＵ３に対しメッセージ等のデータを送信するものであり、例えばＣＡＮコントローラとして機能する。又、制御部２０は、受信したメッセージ内に含まれるＣＡＮ－ＩＤ等のメッセージ識別子を参照し、参照したメッセージ識別子（ＣＡＮ－ＩＤ）及び記憶部２１に記憶してある経路情報（ルーティングテーブル）に基づいて送信先となるセグメントに対応する車内通信部２３を特定する。そして、制御部２０は、特定した車内通信部２３から、当該受信したメッセージを送信することにより、該メッセージを中継するＣＡＮゲートウェイとして機能する。制御部２０はＣＡＮコントローラとして機能するとしたがこれに限定されない。車内通信部２３がＣＡＮトランシーバ及びＣＡＮコントローラとして機能するものであってもよい。又は、制御部２０は、車載ＥＣＵ３から送信されるＩＰパケット等のデータを受信及び中継処理を行うレイヤー２又はレイヤー３のイーサスイッチとして機能するものであってもよい。

　制御部２０は、車載ＥＣＵ３から取得（受信）したメッセージ等のデータを解析等することにより、当該データの正否を判定する。データの正否の判定において、不正なデータとは、例えば、車外通信装置１等を介して車外から侵入したウィルス等により異常な状態となった車載ＥＣＵ３又は不正に交換された車載ＥＣＵ３等の不正な車載ＥＣＵ３から送信されるメッセージ等のデータである。詳細は後述するが、制御部２０は、受信したデータを解析等して正否を判定し、例えば、正当（正常）な車載ＥＣＵ３になりすました不正（異常）な車載ＥＣＵ３、又は外部から攻撃を受けて異常となった車載ＥＣＵ３から送信されたメッセージを、不正なメッセージとして判定することができる。制御部２０は、不正と判定したメッセージ等のデータに含まれる識別子（ＣＡＮ－ＩＤのメッセージ識別子等）を特定し、例えば、当該特定した識別子を含むデータの中継処理を禁止する等の防衛処理を行う。

　車載ＥＣＵ３は、制御部３０、記憶部３１及び車内通信部３２を含む。記憶部３１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ＥＣＵ３のプログラム又はデータが記憶されている。

　表示装置５は、例えばカーナビゲーションのディスプレイ等のＨＭＩ（Human Machine Interface）装置である。表示装置５は、判定装置２の入出力Ｉ／Ｆ２４とシリアルケーブル等のハーネスにより通信可能に接続されている。表示装置５には、判定装置２の制御部２０から入出力Ｉ／Ｆ２４を介して出力されたデータ又は情報が表示される。判定装置２は、上述のごとく、受信したメッセージが不正なメッセージであると判定した場合、当該不正なメッセージに含まれる識別子等の情報を表示装置５に送信し、表示装置５に当該情報を表示させるものであってもよい。表示装置５に当該情報を表示させることにより、車両Ｃの操作者に不正なメッセージを検出したことを報知することができる。表示装置５と判定装置２との接続形態は、入出力Ｉ／Ｆ２４等による接続形態に限定されず、表示装置５と判定装置２とは、車内ＬＡＮ４を介した接続形態であってもよい。

　図３は、複数の識別子夫々における相関を例示した説明図である。図４は、第１データ及び第２データ夫々を識別する識別子による複数の組合せ（組合せテーブル２１１）に関する説明図である。

　車載ＥＣＵ３から出力（送信）されるデータは、当該データを識別するための識別子が含まれる。車載ＥＣＵ３から出力されるデータが、例えばＣＡＮメッセージの場合、ＣＡＮメッセージのフレームに含まれるＣＡＮ－ＩＤのフィールドに格納されるメッセージ識別子（ＣＡＮ－ＩＤの番号）が、識別子に相当する。複数の識別子のデータが互いに相関関係を有している。相関関係を有するとは、いずれか二つの識別子のデータにおいて、これらデータの相関係数の絶対値が所定値以上であることを示すものである。相関係数は、例えば、ＣＡＮメッセージ又はＩＰパケットのペイロードに格納されている値又は内容に関する情報に基づき、算出するものであってもよい。

　当該所定値は、例えば０．７であり、所定値を０．７とすることにより、取得部２０１から出力されたデータ群から、比較的に相関が高い状態量となる複数のデータを抽出することができる。更に推定精度を向上させるにあたり、当該所定値は、０．９とすることが望ましい。更に好ましくは、当該所定値は、０．９７とするのが良い。相関係数は、例えば、算式（相関係数＝複数のデータに含まれる第１データの値と、複数のデータに含まれる第１データ以外の第２データの値との共分散／（第１データの値の標準偏差　×　第２データの値の標準偏差））を用いることにより算出することができる。相関係数夫々の絶対値を所定値以上とすることにより、正又は負の相関において、互いに相関が高い状態量となる複数のデータを抽出することができる。第２データが第１データに対し負の相関となる場合、相関係数は、負（マイナス）の値となるが、この値に－１を乗算することにより、正の相関となる第２データとして用いることができる。

　本実施形態の図示にて、例えば、８個の識別子における相関関係を示す。すなわち、図３及び４において、当該識別子を、ＣＡＮ－ＩＤとした場合、ＣＡＮ－ＩＤが、１００，１１０，１２０，１３０，１４０、１５０、１６０及び１７０のメッセージ（データ）間の相関関係が、例示されている。図３に示すとおり、いずれかの識別子のメッセージは、他の複数の識別子のメッセージと相関関係を有している。すなわち、これら複数の識別子のメッセージ夫々は、他のメッセージを介して数珠繋ぎとなるように相関関係を有している。

　例えば、ＣＡＮ－ＩＤが１７０の識別子において、１６０及び１４０を介して自識別子（１７０）に回帰する経路と、１２０，１５０及び１１０を介して自識別子（１７０）に回帰する経路による少なくとも２つの経路によって、他のメッセージを介して数珠繋ぎとなる相関関係を有している。従って、いずれかの識別子に対し攻撃がされた場合であっても、当該複数の経路にて数珠繋ぎとなっている他の複数の識別子との関係を用いることにより、どの識別子のデータが不正なデータであるかを判定し、当該不正な識別子を特定することができる。

　図４は、これら複数の識別子における相関関係の組合せをテーブル形式（組合せテーブル２１１）にて示している。なお、図４においては、これら組合せ夫々に基づき、当該組合せに含まれる識別子（第１識別子又は第２識別子）のデータの正否に関する事項を付記してあるが、事項当該については、後述する。

　組合せテーブル２１１は、管理項目（メタデータ）として、例えば、組合せＮｏ、複数の第１識別子、第２識別子を含む。組合せＮｏの項目（フィールド）には、組合せを特定するための管理番号が格納される。本実施形態においては、一例として、８個の識別子（１００，１１０，１２０，１３０，１４０，１５０，１６０，１７０及び１８０）を、８個の組合せ（Ｎｏ１からＮｏ８）にて構成した組合せテーブル２１１としている。このように組合せの個数は、判定対象となるデータの識別子の個数と同数とするものであってもよい。第２識別子の項目（フィールド）には、後述する判定データとの比較対象となるデータの識別子（第２識別子）が、格納される。複数の第１識別子の各項目（フィールド）には、第２識別子のデータと相関関係を有するデータの識別子（第１識別子）夫々が格納される。当該第１識別子夫々を含むデータは、第２識別子のデータと比較するための判定データを導出するために用いられるデータである。

　上述のとおり、いずれかの識別子のメッセージは、他の複数の識別子のメッセージと相関関係を有しており、組合せテーブル２１１にて例示しているとおり、全ての識別子夫々は、少なくとも２つ以上の組合せに含まれている。例えば、ＣＡＮ－ＩＤが１００の識別子は、第２識別子としてＮｏ．１の組合せに含まれると共に、第１識別子としてＮｏ．１、２及び７の組合せに含まれている。すなわち、識別子の組合せ夫々は、複数の第１データ夫々を示す複数の識別子と、単一の第２データの識別子とによるデータセットによって構成される。その上で、同一の識別子が、少なくとも２つ以上の組合せにおいて重複して含まれるように、当該組合せ夫々は、構成されている。

　組合せテーブル２１１は、更に、第１識別子夫々と第２識別子との相関係数の絶対値を含むものであってもよい。相関係数の絶対値の項目（フィールド）には、対応する第１識別子と第２識別子との相関係数又は、相関係数の絶対値が格納される。

　本実施形態において、データを識別するための識別子は、ＣＡＮ－ＩＤによるメッセージ識別子であると記載したが、これに限定されない。車載ＥＣＵ３及び判定装置２が用いる通信プロトコルが、例えばＴＣＰ／ＩＰである場合、当該データを識別するための識別子は、ＩＰパケットに含まれる送信元アドレス、送信先アドレス、ポート番号又は、これらの組合せによるものであってもよい。

　図５は、判定装置２の制御部２０に含まれる機能部を例示する機能ブロック図である。判定装置２の制御部２０は、記憶部２１に記憶されている制御プログラムを実行することにより、取得部２０１、出力部２０２及び中継処理部２０３として機能し、判定装置２を車載中継装置として動作させる。更に、判定装置２の制御部２０は、記憶部２１に記憶されている制御プログラムを実行することにより、データ分類部２０４、判定用データ導出部２０５、比較部２０６、特定部２０７及び、判定部２０８として機能し、取得したデータの正否を判定し、これらデータに含まれる識別子において、正当な識別子と、不正な識別子とを特定する。

　取得部２０１は、車載ＥＣＵ３から出力（送信）されたメッセージ等の複数のデータを車内通信部２３を介して取得する。取得部２０１は、取得したデータを中継処理部２０３及びデータ分類部２０４に出力する。

　中継処理部２０３は、記憶部２１に記憶されている経路情報を参照することにより、取得したメッセージ等のデータに含まれるＣＡＮ－ＩＤ又は、送信先アドレスに基づき当該データの中継先となる車内通信部２３を特定し、当該データを出力部２０２に出力する。

　出力部２０２は、中継処理部２０３から出力されたデータを、中継先として特定された車内通信部２３を介して出力し、これら取得部２０１、中継処理部２０３及び出力部２０２によって、データ中継処理が行われる。

　データ分類部２０４は、取得部２０１を介して、車載ＥＣＵ３から出力（送信）されたメッセージ等の複数のデータを取得する。データ分類部２０４は、記憶部２１に記憶されている組合せテーブル２１１を参照して組合せ夫々に含まれる第１識別子及び第２識別子に基づき、取得した複数のデータを、個々の組合せにおける第１識別子を含むデータ（第１データ）と、第２識別子を含むデータ（第２データ）とに分類（分別）する。上述のとおり、データ分類部２０４は、例えば、ＣＡＮメッセージに含まれるＣＡＮ－ＩＤ又は、ＩＰパケットに含まれる送信先アドレス等を識別子（第１識別子又は第２識別子）として用いる。このように中継処理に用いるＣＡＮ－ＩＤ（ＣＡＮメッセージ）又は送信先アドレス等（ＩＰパケット）を、データを識別するための識別子として用いることにより、中継処理に付随する処理として当該データの識別を行うことができ、判定装置２の処理負荷が増加することを抑制することができる。

　データ分類部２０４は、第１データ及び第２データの分類（分別）を、個々の組合せ夫々において行う。すなわち、データ分類部２０４は、各組合せにおいて、複数の第１データ及び第２データからなるデータセットを生成する。

　データ分類部２０４は、全ての組合せ夫々において、個々の組合せ（一の組合せ）に含まれる複数の第１識別子の第１データを判定用データ導出部２０５に出力すると共に、当該個々の組合せ（一の組合せ）に含まれる第２識別子の第２データを比較部２０６に出力する。すなわち、データ分類部２０４は、複数の組合せにおいて、一の組合せに含まれる第１識別子の第１データを判定用データ導出部２０５に出力し、当該一の組合せに含まれる第２識別子の第２データを比較部２０６に出力する処理を、組合せの個数分、順次又は逐次に繰り返す。

　判定用データ導出部２０５は、データ分類部２０４から出力された各組合せ毎の第１データに基づき、判定用データを導出する。すなわち、判定用データ導出部２０５は、例えば、Ｎｏ１の組合せに含まれる複数の第１識別子（１２０，１３０，１４０）を含む第１データ夫々を入力値として、判定用データを出力値として出力する変換関数を用いることにより、当該Ｎｏ１の組合せに含まれる第２識別子（１００）を含む第２データに対応する判定用データを導出する。又は、判定用データ導出部２０５は、例えば、複数の第１データを入力した場合、判定用データを出力するように学習されたＤＮＮ（deep neural network）等の学習モデルより構成されるものであってもよい。判定用データ導出部２０５は、例えば、ＤＮＮ等の学習モデルを含み、当該学習モデルに複数の第１データを入力し、学習モデルから出力される判定用データを取得することにより、判定用データを導出するものであってもよい。このように相関関係を有する第１識別子の第１データと第２識別子の第２データとは、判定用データを介して対応関係にあり、第２識別子を攻撃からの保護対象とする保護ＣＡＮＩＤとした場合、第１識別子は、第２識別子のデータを推定するにあたって当該第２識別子に関連する関連ＣＡＮＩＤに相当する。判定用データ導出部２０５は、導出した判定用データを比較部２０６に出力する。

　比較部２０６は、全ての組合せ夫々において、判定用データ導出部２０５から取得した判定用データと、データ分類部２０４から出力された第２データとを比較する。比較部２０６は、比較結果として、例えば、判定用データ及び第２データが一致したか否かに関する情報、又は判定用データと第２データとの差異が所定以内である否か等、当該差異に関する情報を特定部２０７に出力する。

　特定部２０７は、判定用データと第２データとが一致する等、判定用データと第２データとの差異が所定値以内である場合、当該判定用データの元データである複数の第１データ及び第２データは、正当（正常）なデータであると判定し、当該第１データの第１識別子及び第２データの第２識別子を含む組合せを正当判定組合せである特定する。当該所定値とは、判定用データと第２データとを比較するにあたり、判定装置２による判定処理の精度上、判定用データと第２データとが実質的に同一の値であると判定するための閾値である。

　特定部２０７は、判定用データと第２データとが一致しない等、判定用データと第２データとの差異が所定値より大きい場合、当該判定用データの元データである複数の第１データ又は第２データは、不当（異常）なデータであると判定し、当該第１データの第１識別子及び第２データの第２識別子を含む組合せを不正判定組合せである特定する。特定部２０７は、複数の組合せ夫々における特定結果、すなわち個々の組合せが正当判定組合せであるか、又は不正判定組合せであるかを特定した結果を判定部２０８に出力する。

　判定部２０８は、特定部２０７から出力された複数の組合せ夫々における特定結果を取得する。判定部２０８は、組合せテーブル２１１を参照することにより、複数の組合せ夫々において、個々の組合せが含む第１識別子及び第２識別子に関する情報を取得する。判定部２０８は、正当判定組合せに含まれる第１識別子及び第２識別子は、正当（正常）な識別子であり、当該識別子を含むデータは、正当（正常）なデータであると判定する。

　本実施形態の図３にて例示しているように、例えば１００及び１４０の識別子のデータが攻撃を受け、不正なデータとなっている場合、当該不正なデータの識別子（１００、１４０）を含まない組合せである組合せＮｏ６において、判定用データと第２データとの差異が所定値以内となる。すなわち、当該組合せＮｏ６に含まれる第１識別子（１２０，１３０）及び第２識別子（１５０）のデータは、正当（正常）なデータであると判定される。

　これに対し、１００及び１４０の識別子を第１識別子又は第２識別子として含む他組合せ（Ｎｏ１，２，３，４，５，７及び８）においては、判定用データと第２データとの差異が所定値よりも大きくなり、当該第１識別子又は第２識別子のデータは、不当（異常）なデータであると、一旦判定される。上述のとおり、これら他組合せは、不正判定組合せとして特定される。

　当該不正判定組合せに含まれる第１識別子及び第２識別子において、正当判定組合せに含まれる第１識別子及び第２識別子として既に正当（正常）あると判定された識別子を除いた結果、単一の識別子が残存した場合、判定部２０８は、当該残存した識別子を不正な識別子であると判定（特定）する。本実施形態において、例えば組合せＮｏ４に含まれる第１識別子（１２０，１４０）及び第２識別子（１３０）において、１２０及び１３０の識別子は、正当判定組合せである組合せＮｏ６にも含まれる識別子であり、既に正当（正常）な識別子として判定されている。従って、１４０の識別子は、正当（正常）あると判定された識別子を除いた結果、残存する単一の識別子に相当する。すなわち、１４０の識別子が不正であるために、組合せＮｏ４における判定データと第２識別子の第２データとの差異が所定値以内とならず、当該組合せＮｏ４は、不正判定組合せに特定されたものとなる。

　判定部２０８は、不正判定組合せにおいて、既に正当と判定した識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子は不正な識別子であり、当該不正な識別子を含むデータは不正なデータであると判定する。このように判定部２０８は、正当判定組合せに含まれる複数の識別子に基づいて、不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを、効率的に判定することができる。

　判定部２０８は、不正判定組合せ及び、不正と判定した識別子に関する情報を、判定用データ導出部２０５に出力することにより、ループ処理を行う。すなわち、不正判定組合せ及び、不正と判定した識別子に関する情報は、判定部２０８から判定用データ導出部２０５に帰還され、判定用データ導出部２０５による判定用データ導出する処理が、再度実行される。

　判定用データ導出部２０５は、判定部２０８から出力された不正判定組合せ及び、不正と判定した識別子に関する情報を取得する。判定用データ導出部２０５は、夫々の不正判定組合せにおいて、当該不正判定組合せの複数の第１識別子から、既に不正と判定した識別子を除いた第１識別子を含む第１データに基づき、判定用データを導出する。

　本実施形態においては、例えば、組合せＮｏ８に含まれる第１識別子（１１０，１４０）において、１４０の識別子は、既に不正な識別子として判定されており、当該不正な識別子（１４０）を除いた第１識別子（１１０）に基づき、判定用データを導出する。このように既に不正と判定された識別子を除いた第１識別子の第１データに基づくことにより、第２識別子の第２データとの差異が所定値以内となる可能性が高い判定用データを導出することができる。

　比較部２０６、特定部２０７及び判定部２０８は、判定用データ導出部２０５が再度、導出した判定用データに基づき、前回の処理と同様の処理を行い、夫々の不正判定組合せにおいて、不正と判定した識別子を除いた第１識別子及び、第２識別子の正否について判定する。比較部２０６は、不正と判定した識別子を除いた第１識別子に基づき導出された判定用データと、第２識別子の第２データとを比較し、比較結果として、当該判定用データと、第２識別子の第２データとの差異が所定値以内であるか否か等、当該差異に関する情報を判定部２０８に出力する。

　判定部２０８は、不正と判定した識別子を除いた第１識別子に基づき導出された判定用データと第２識別子の第２データとが一致する等、差異が所定値以内である場合、不正と判定した識別子を除いた第１識別子及び第２識別子は、正当な識別子であり、当該正当な識別子を含むデータは正当なデータであると判定する。判定部２０８は、このような判定処理を再起的に繰り返すことにより、正当と判定した識別子を追加していき、正当な識別子、すなわち信頼できる識別子の個数を増加させることができる。判定部２０８は、再度、不正判定組合せにおいて、正当と判定した識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子は不正な識別子であり、当該不正な識別子を含むデータは不正なデータであると判定する。判定部２０８等は、複数の組合せ夫々に含まれる全ての識別子のデータに対し、当該処理を繰り返すことにより、これら全ての識別子の正否を判定する。

　判定部２０８は、識別子の判定結果に関する情報を表示装置５に出力する。当該判定結果に関する情報を表示装置５に出力することにより、例えば、いずれかの識別子のデータが攻撃され、不正（異常）となっていることを車両Ｃの操作者に報知することができる。判定部２０８は、不正と判定した識別子に関する情報又は、不正と判定した識別子のデータの中継を禁止する信号（中継禁止信号）を中継処理部２０３に出力する。当該中継禁止信号等を中継処理部２０３に出力することにより、攻撃され不正（異常）となっている識別子のデータの中継を禁止し、当該不正なデータに対する防御処置を行うことができる。

　データ分類部２０４、判定用データ導出部２０５、比較部２０６、特定部２０７及び判定部２０８は、判定装置２の制御部２０における機能部として説明したが、これに限定されない。これら機能部における一部の機能部は、判定装置２と通信可能に接続される外部サーバＳ１等のクラウドサーバ、又は車両Ｃに搭載されるビークルコンピュータの一機能部として構成され、判定装置２と、外部サーバＳ１又はビークルコンピュータ等が協働して、これら機能部における一連の処理を行うものであってもよい。

　図６は、判定装置２の制御部２０の処理を例示するフローチャートである。判定装置２の制御部２０は、車両ＣＣが起動状態（ＩＧスイッチがオン）又は停止状態（ＩＧスイッチがオフ）において、常時的に以下の処理を行う。

　判定装置２の制御部２０は、車載ＥＣＵ３から送信される複数のデータ（第１データ及び第２データ）を取得する（Ｓ１０１）。制御部２０は、車載ＥＣＵ３から送信される複数のデータを取得する。制御部２０が取得したデータは、識別子による複数の組合せに応じて、個々の組合せに含まれる第１識別子の第１データ又は、第２識別子の第２データに分類されるデータである。従って、制御部２０が取得したデータは、個々の組合せにおける第１データ及び第２データを含む。

　判定装置２の制御部２０は、第１データ及び第２データ夫々を識別する識別子による複数の組合せに関する情報を取得する（Ｓ１０２）。制御部２０は、記憶部２１を参照し、当該記憶部２１に記憶されている複数の組合せに関する情報を取得する。複数の組合せに関する情報は、例えば、外部サーバＳ１の記憶部２１等、判定装置２の制御部２０がクセス可能な所定の記憶領域に記憶されており、制御部２０は、車外通信装置１を介して外部サーバＳ１と通信することにより、当該外部サーバＳ１から複数の組合せに関する情報を取得するものであってもよい。

　判定装置２の制御部２０は、複数の組合せ夫々における第１データに基づいて、複数の組合せ夫々における第２データに相当する判定用データを導出する（Ｓ１０３）。制御部２０は、複数の組合せにおける個々の組合せが含む第１識別子の第１データに基づいて、判定用データを導出する。制御部２０は、取得したデータに含まれるＣＡＮ－ＩＤ等の識別子を抽出し、抽出した識別子が、組合せに含まれる第１識別子と同じ識別子のデータを、第１データとして特定する。制御部２０は、取得したデータに含まれるＣＡＮ－ＩＤ等の識別子を抽出し、抽出した識別子が、組合せに含まれる第２識別子と同じ識別子のデータを、第２データとして特定する。

　個々の組合せは、複数の第１識別子を含むものため、制御部２０は、当該複数の第１識別子に基づいて、複数の第１データを特定する。制御部２０は、特定した複数の第１データを、例えば変換関数等に入力し、第２データに対応する判定用データを導出する。制御部２０は、複数の組合せ夫々において、個々の組合せにおける第２データに対応する判定用データを導出する。

　判定装置２の制御部２０は、複数の組合せ夫々における第２データ及び判定用データの差異は所定値以内であるかを判定する（Ｓ１０４）。制御部２０は、複数の組合せ夫々において、個々の組合せ毎に、第２データと判定用データとは一致するか、又は第２データ及び判定用データの差異は所定値以内であるかの判定を行う。当該所定値とは、判定用データと第２データとを比較するにあたり、判定装置２による判定処理の精度上、判定用データと第２データとが実質的に同一の値であると判定するための閾値である。または、制御部２０は、判定用データ及び第２データの一致度を基準とし、当該一致度が所定値以上であれば、判定用データと第２データとが実質的に同一の値であると判定するものであってもよい。

　差異が所定値以下の場合（Ｓ１０４：ＹＥＳ）、判定装置２の制御部２０は、正当な第１データ及び第２データの識別子を含む正当判定組合せを特定する（Ｓ１０５）。差異が所定値以下の場合、制御部２０は、判定用データの元データである複数の第１データを示す第１識別子及び、第２データを示す第２識別子を含む組合せを正当判定組合せと特定する。すなわち、正当判定組合せに含まれる第１識別子及び第２識別子は、正当な識別子であり、当該正当な識別子を含むデータは、正当なデータであると判定される。

　差異が所定値以下でない場合（Ｓ１０４：ＮＯ）、すなわち差異が所定値よりも大きい場合、判定装置２の制御部２０は、不正な第１データ又は第２データの識別子を含む不正判定組合せを特定する（Ｓ１０５１）。差異が所定値よりも大きい場合、制御部２０は、判定用データの元データである複数の第１データを示す第１識別子及び、第２データを示す第２識別子を含む組合せを不正判定組合せと特定する。すなわち、不正判定組合せ含まれる第１識別子及び第２識別子のいずれかの識別子は、不正な識別子であり、当該不正な識別子データは、不正なデータであると判定される。

　判定装置２の制御部２０は、正当又は不正と判定した第１データ又は第２データの識別子を抽出する（Ｓ１０６）。制御部２０は、正当判定組合せに含まれる第１データ及び第２データを示す識別子は、正当な識別子であるとして判定（特定）し抽出する。制御部２０は、不正判定組合せに含まれる第１データ及び第２データを示す識別子において、既に正常と判定した識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子を不正な識別子であると判定（特定）し抽出する。従って、正当判定組合せに含まれる複数の識別子に基づいて、特定した不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定し、抽出することができる。

　判定装置２の制御部２０は、不正判定組合せに含まれる複数の第１データの識別子において、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第１データに基づき、判定用データを導出する（Ｓ１０７）。制御部２０は、夫々の不正判定組合せにおいて、当該不正判定組合せの第１識別子から、既に不正と判定した識別子を除いた第１識別子を含むデータに基づき、判定用データを再度、導出する。既に不正と判定された識別子を除いた第１識別子のデータに基づくことにより、制御部２０は、第２識別子のデータとの差異が所定値以内となる可能性が高い判定用データを導出することができる。

　判定装置２の制御部２０は、不正判定組合せに含まれる第２データ及び、導出した判定用データの差異が所定値以内であるかを判定する（Ｓ１０８）。制御部２０は、不正判定組合せに含まれる第２データと、既に不正と判定された識別子を除いた第１識別子のデータに基づき導出した判定用データとを、上述の処理Ｓ１０４と同様に比較し、第２データ及び判定用データの差異が所定値以内であるかを判定する。

　差異が所定値以下の場合（Ｓ１０８：ＹＥＳ）、判定装置２の制御部２０は、第１データ及び第２データの識別子を正当と判定する（Ｓ１０９）。制御部２０は、夫々の不正判定組合せにおいて、既に不正と判定された識別子を除いた第１識別子と、第２識別子とは、正当な識別子であり、当該正当な識別子を含むデータは、正当なデータであると判定する。制御部２０は、このような判定処理を再起的に繰り返すことにより、正当と判定した識別子を追加していき、正当な識別子、すなわち信頼できる識別子の個数を増加させることができる。

　差異が所定値以下でない場合（Ｓ１０８：ＮＯ）、すなわち差異が所定値よりも大きい場合、判定装置２の制御部２０は、第１データ又は第２データの識別子を不正と判定する（Ｓ１０９１）。制御部２０は、夫々の不正判定組合せにおいて、既に不正と判定された識別子を除いた第１識別子及び第２識別子のいずれかの識別子は、不正な識別子であり、当該不正な識別子のデータは、不正なデータであると判定する。

　判定装置２の制御部２０は、全ての識別子について判定したか否かを判断する（Ｓ１１０）。制御部２０は、複数の組合せに含まれる全ての識別子のデータの正否の判定結果を記憶部２１に記憶しており、当該判定結果を参照して、全ての識別子について判定したか否かを判断する。

　全ての識別子を判定していない場合（Ｓ１１０：ＮＯ）、制御部２０は、再度Ｓ１０７からの処理を実行することにより、Ｓ１０７からＳ１１０までをループ処理する。制御部２０は、Ｓ１０７及びＳ１０８等の判定処理を再起的に繰り返すことにより、正当と判定した識別子を追加していき、正当な識別子、すなわち信頼できる識別子の個数を増加させることができる。制御部２０は、夫々の不正判定組合せにおいて、既に正当（正常）あると判定された識別子を除いた結果、単一の識別子が残存した場合、当該残存した識別子を不正な識別子であると判定することにより、不正な識別子を確実に特定し、特定した不正な識別子個数を増加させることができる。

　全ての識別子を判定した場合（Ｓ１１０：ＹＥＳ）、制御部２０は、判定結果を表示装置５等に出力する（Ｓ１１１）。当該判定結果に関する情報を表示装置５に出力することにより、相関関係を有する複数の識別子において、例えば、個々の識別子の正否の状態、又はいずれかの識別子のデータが攻撃され不正（異常）となっていることを車両Ｃの操作者に報知することができる。制御部２０は、不正と判定した識別子のデータの中継を禁止する信号（中継禁止信号）を中継処理部２０３に出力するものであってもよい。当該中継禁止信号等を中継処理部２０３に出力することにより、攻撃され不正（異常）となっている識別子のデータの中継を禁止し、当該不正なデータによる攻撃に対する防御処置を行うことができる。

　本実施形態によれば、判定装置２は、特定した不正判定組合せに含まれる第１識別子の第１データ及び第２識別子の第２データと、特定した正当判定組合せに含まれる第１識別子の第１データ及び第２識別子の第２データとに基づいて、不正判定組合せに含まれる識別子の第１データ又は第２データのいずれのデータが不正であるかを判定する。従って、互いに関連性を有する複数の識別子を含むデータ夫々において、いずれかのデータに対し攻撃がされた場合であっても、当該攻撃によって不正となったデータの識別子を特定することができる。

　本実施形態によれば、組合せ夫々は、複数の第１データ夫々を示す複数の第１識別子と、単一の第２データを示す第２識別子とによるデータセットによって構成され、同一の識別子が、２つ以上の組合せにて重複して含まれる。いずれかの識別子に基づき、これら組合せを互いに数珠繋ぎに連関させることができ、正当判定組合せと判定された組合せに含まれる第１データの第１識別子又は第２データの第２識別子を用いて、他の組合せに含まれる識別子の第１識別子及び第２識別子の判定を効率的に行うことができる。

　本実施形態によれば、いずれかの不正判定組合せに含まれる第１識別子において、他の不正判定組合せにて不正と判定されたデータの識別子を除いた第１識別子の第１データに基づき、判定用データを再度、導出する。そして、判定装置２は、再度、導出した当該判定用データと、当該いずれかの不正判定組合せに含まれる第２識別子の第２データとの差異に基づき、不正と判定されたデータの識別子を除いた第１識別子及び第２識別子の正否を判定する処理を繰り返し実行する。従って、複数の組合せ夫々に含まれる全ての識別子に対する正否判定を効率的に行うことができ、互いに相関関係を有する複数の識別子において、いずれの識別子が不正であるかを特定することができる。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　Ｃ　車両
　Ｓ１　外部サーバ
　Ｓ１１　記憶部
　１　車外通信装置
　１１　車外通信部
　１２　入出力Ｉ／Ｆ
　１３　アンテナ
　２　判定装置（車載中継装置）
　２０　制御部
　２０１　取得部
　２０２　出力部
　２０３　中継処理部
　２０４　データ分類部
　２０５　判定用データ導出部
　２０６　比較部
　２０７　特定部
　２０８　判定部
　２１　記憶部
　２１１　組合せテーブル
　２２　記録媒体
　２３　車内通信部
　２４　入出力Ｉ／Ｆ
　３　車載ＥＣＵ
　３０　制御部
　３１　記憶部
　３２　車内通信部
　４　車内ＬＡＮ
　４１　通信線
　５　表示装置

Claims

　車両に搭載され、複数の車載ＥＣＵと通信可能に接続された判定装置であって、
　前記複数の車載ＥＣＵから送信されるデータの正否の判定に関する制御を行う制御部を備え、
　前記データは、第１データ及び第２データを含み、
　前記制御部は、
　前記複数の車載ＥＣＵから送信される複数の前記第１データ及び前記第２データを取得し、
　前記第１データに基づいて、判定用データを導出し、
　前記第１データを識別する識別子と前記第２データを識別する識別子の複数の組合せにおいて、
　前記第２データ及び前記判定用データに基づき、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、
　特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定する
　判定装置。
　前記複数の組合せ夫々は、複数の前記第１データ夫々を識別するための複数の識別子と、前記第２データの識別子とを含み、
　同一の識別子が、２つ以上の前記組合せに重複して含まれる
　請求項１に記載の判定装置。
　前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第１データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第２データとの差異が所定値以内である場合、前記いずれかの組合せは、正当判定組合せであると特定する
　請求項１又は請求項２に記載の判定装置。
　前記制御部は、前記複数の組合せにおける、いずれかの組合せに含まれる識別子の第１データに基づき導出した判定用データと、前記いずれかの組合せに含まれる識別子の第２データとの差異が所定値よりも大きい場合、前記いずれかの組合せは、不正判定組合せであると特定する
　請求項３に記載の判定装置。
　前記制御部は、前記不正判定組合せに含まれる識別子において、前記正当判定組合せに含まれる識別子とは異なる識別子の第１データ又は第２データを、不正なデータとして判定する
　請求項１から請求項４のいずれか１項に記載の判定装置。
　前記制御部は、前記不正判定組合せに含まれる複数の第１データの識別子において、
　他の不正判定組合せにて不正と判定されたデータの識別子を除いた識別子の第１データに基づき、判定用データを導出し、
　該判定用データ及び前記不正判定組合せに含まれる識別子の第２データに基づき、前記不正判定組合せに含まれる第１データ及び該第２データの正否を判定する
　請求項５に記載の判定装置。
　複数の組合せに関する情報は、自装置からアクセス可能な所定の記憶領域に記憶されており、
　制御部は、所定の記憶領域を参照することにより、複数の組合せに関する情報を取得する
　請求項１から請求項６のいずれか１項に記載の判定装置。
　前記組合せを構成する前記識別子に対応する前記第１データ及び前記第２データは、相関関係を有し、
　前記第１データ及び前記第２データの相関係数の絶対値は、０．７以上である
　請求項１から請求項７のいずれか１項に記載の判定装置。
　コンピュータに、
　複数の車載ＥＣＵから送信される複数の第１データ及び第２データを取得し、
　前記第１データに基づいて、判定用データを導出し、
　前記第１データ及び前記第２データ夫々を識別する識別子による複数の組合せに関する情報を取得し、
　取得した前記第２データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、
　特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定する
　処理を実行させる判定プログラム。
　複数の車載ＥＣＵから送信される複数の第１データ及び第２データを取得し、
　前記第１データに基づいて、判定用データを導出し、
　前記第１データ及び前記第２データ夫々を識別する識別子による複数の組合せに関する情報を取得し、
　取得した前記第２データ及び導出した前記判定用データに基づき、前記複数の組合せにおいて、正当な第１データ及び第２データの識別子を含む正当判定組合せと、不正な第１データ又は第２データの識別子を含む不正判定組合せとを特定し、
　特定した前記不正判定組合せに含まれる複数の識別子と、前記正当判定組合せに含まれる複数の識別子に基づいて、特定した前記不正判定組合せに含まれるいずれの識別子の第１データ又は第２データが不正であるかを判定する
　処理をコンピュータに実行させる判定方法。