WO2021117665A1 - 電子機器および電子機器の攻撃検知方法 - Google Patents

Abstract

処理能力が比較的劣る電子機器であっても、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知する。　電子機器であって、プロセッサから出力される実行コード列を受け付けて、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）のユーザープログラム領域の実行アドレスと、カーネル領域の実行アドレスと、を少なくとも識別する実行コード識別部と、所定のタイミングで実行コード識別部による識別結果から得られる所定の特徴値を所定の期待値と照合して所定以上の差がある場合に攻撃があると判定する判定部と、を備え、判定部は、攻撃があると判定すると、プロセッサに所定の異常通知信号を通知する。

Description

電子機器および電子機器の攻撃検知方法

　本発明は、電子機器および電子機器の攻撃検知方法に関する。本発明は2019年12月13日に出願された日本国特許の出願番号2019-225330の優先権を主張し、文献の参照による織り込みが認められる指定国については、その出願に記載された内容は参照により本出願に織り込まれる。

　特許文献１には、サーバーを対象に、手動で収集できるシステムパラメータ（ログインユーザ数、ｗｅｂヒット率、受信パケット数、ＣＰＵ稼働率、ログインエラー、パリティエラーなど）から求めたシグネチャ（特徴値）の時間変化を監視することで異常状態を検出する技術が記載されている。

特開２００４－３４８７４０号公報

　上述の特許文献１に記載の技術では、プロセッサ内部の実行状態までの監視はしておらず、カーネルレベルでの改ざんを含めたプロセッサ単位での攻撃検知は難しい。

　本発明の目的は、処理能力が比較的劣る電子機器であっても、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知することを目的とする。

　本願は、上記課題の少なくとも一部を解決する手段を複数含んでいるが、その例を挙げるならば、以下のとおりである。

　本発明の一態様は、電子機器であって、プロセッサから出力される実行コード列を受け付けて、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）のユーザープログラム領域の実行アドレスと、カーネル領域の実行アドレスと、を少なくとも識別する実行コード識別部と、所定のタイミングで前記実行コード識別部による識別結果から得られる所定の特徴値を所定の期待値と照合して所定以上の差がある場合に攻撃があると判定する判定部と、を備え、前記判定部は、攻撃があると判定すると、前記プロセッサに所定の異常通知信号を通知する、ことを特徴とする。

　本発明によれば、処理能力が比較的劣る電子機器であっても、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知する技術を提供することができる。

　上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

第一の実施形態における電子機器であるＩｏＴ機器の構成例を示す図である。 第一の実施形態における実行コード列のデータと特徴値の例を示す図である。 判定部および期待値メモリの構成例を示す図である。 第一の実施形態における監視及び復旧処理のフローの例を示す図である。 第二の実施形態における電子機器であるＩｏＴ機器の構成例を示す図である。 第二の実施形態における実行コード列のデータと特徴値の例を示す図である。 第二の実施形態における監視及び復旧処理のフローの例を示す図である。 第二の実施形態における攻撃検知部の別の構成例を示す図である。 第三の実施形態における電子機器であるＩｏＴ機器の構成例を示す図である。 第四の実施形態における電子機器であるＥＣＵの構成例を示す図である。

　以下の実施形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらはお互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。

　また、以下の実施形態において、要素の数等（個数、数値、量、範囲等を含む）に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でもよい。

　さらに、以下の実施形態において、その構成要素（要素ステップ等も含む）は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。

　同様に、以下の実施形態において、構成要素等の形状、位置関係等に言及するときは特に明示した場合および原理的に明らかにそうではないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。

　また、実施形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。ただし、同一の部材であっても環境変更等により変更前の部材と称呼を共有すると混乱を生ぜしめるおそれが高い場合、別の異なる符号や名称を付すことがある。以下、本発明の各実施形態について図面を用いて説明する。

　ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）を活用したシステムでは、ｗｅｂカメラやセンサー機器はもちろん、コネクテッドカーやＰＬＣ、産業ロボットなど、多数の組み込み機器がネットワークに接続されるが、ＩｏＴ機器自身を対象とした乗っ取りやマルウェア感染による情報窃取、ボットネット利用といったセキュリティ被害が顕在化している。

　従来のサーバーレベルの対策としては、ネットワークの境界にファイヤウォールを設置し、不審パケットの侵入や不正アクセスを防止したり、暗号通信やデジタル証明書を用いた認証などによって、通信情報の盗聴、改ざんを防ぐ手法が有効である。

　しかし、ＩｏＴ機器は製造・運用コストや性能リソースに限りがあるため、サーバーと同様のセキュリティ対策を実現することは一般的に困難である。一方で、近年ではＯＳが搭載されたＩｏＴ機器等のプロセッサのブートファイルを直接改ざんする攻撃も登場している。そこで、攻撃やウイルス感染を完全に阻止するのではなく、ＩｏＴ機器自身が動作状態を監視し、プロセッサに対する悪意のある攻撃の検知・復旧技術が重要になってきている。

　また、ネットワークに接続されるＩｏＴ機器では、プロセッサにＬｉｎｕｘなどのＯＳを実装する機器が増えており、カーネルによる定期割込みや、仮想アドレスにより動作する等の要因により、従来の物理アドレスベースの実行コードによる診断が難しくなっている。また、プロセッサの処理内容のトレースも制限されることが多くなっているため、全ての処理内容を監視することも難しい。

　本発明に係る技術を適用したＩｏＴ機器を含む電子機器は、プロセッサの処理性能を低下させることなく、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知できる。また、マルウェア感染によりボットネット化など不正な動作状態となったＩｏＴ機器を短時間で特定し、上位システム等に通知できるため、異常機器を早期にネットワークから切断する、などの対策を行うことが可能となり、セキュリティ被害の拡大を抑止できる。

　図１～４を用いて、プロセッサの実行コード情報をもとに、ユーザープログラム実行領域（以降、「ユーザー空間」ともいう）での動作と、カーネル領域（以降、「カーネル空間」ともいう）での動作とを区別して監視することで、プログラムの改ざんや外部からの不正操作などプロセッサへの攻撃事象を検出することができる攻撃検出機能付きＩｏＴ機器（電子機器）を例に用いて説明する。

　なお、ＩｏＴとは、日本語では「モノのインターネット」と呼ばれ、一般的には従来インターネットに接続されていなかったモノ（センサー機器、アクチュエーター、建物、車、電子機器など）が、ネットワークを通じてサーバーやクラウドに接続されることによって、これまで埋もれていたデータを処理、変換、分析、連携することが可能となることをいう。本願でも、同様の概念としてＩｏＴという言葉を用いる。

　図１は、第一の実施形態における電子機器であるＩｏＴ機器の構成例を示す図である。ＩｏＴ機器１００は、メインの処理（ＩｏＴ機器１００の担う主要な機能に関する処理）を行うプロセッサ１０１と、マルウェア感染や乗っ取りなどによるプロセッサの異常なふるまいを検知する攻撃検知部１を含んで構成される。

　ＩｏＴ機器１００自身の動作例としては、図示していないが、センサーモジュールでデジタル化されたＩｏＴ機器１００周辺の外界情報（物性の測定情報）をセンサー情報としてプロセッサ１０１で収集し、ネットワーク経由でクラウドサーバーなどに転送するというものである。

　ここで、プロセッサ１０１は、１個または複数のＣＰＵコア１０２と、実行プログラムやデータを格納するためのメモリ１０６、ＣＰＵコア１０２で実行された実行コードをプロセッサの外部に順次出力する実行コード出力インターフェース１０３、外部ネットワークに接続する他の機器との通信を行うための通信部となる通信インターフェース（ＩＦ）部１０４、外部からの割込み信号を受信するための割込みインターフェース（ＩＦ）部１０５、センサーやアクチュエーターなどの外部入出力信号を接続するための外部ＩＯ部１０７を含んで構成される。

　プロセッサ１０１は、メモリ１０６に格納されたプログラムに従い、センサー情報に対する演算処理や統計処理、ＡＩ（人工知能）処理などを行う。また、プロセッサ１０１にはＬｉｎｕｘなどのＯＳが実装され、これらの処理を細かいプロセスに分割し、プロセッサ内の複数のＣＰＵコア１０２にスケジューリングして実行する。実行コード出力インターフェース１０３は、ＣＰＵコア１０２で処理された実行アドレスや例外処理などが含まれた情報を順次、実行コード列１０１ａとしてプロセッサ１０１の外部の攻撃検知部１に出力する。

　攻撃検知部１は、実行コード識別部２と、カーネル空間特徴値生成部３と、ユーザー空間特徴値生成部４と、収集時間制御部５と、判定部６と、期待値メモリ７とを含む。攻撃検知部１は、プロセッサ１０１から出力される実行コード列１０１ａを用いて攻撃を検知する。

　実行コード識別部２は、実行コード列１０１ａの情報から、カーネル空間における実行アドレス２ａと、ユーザー空間における実行アドレス２ｂと、例外処理による割込みコード２ｃと、を識別して出力する。カーネル空間における実行アドレス２ａと、ユーザー空間における実行アドレス２ｂとは、ＯＳで管理される仮想アドレス空間における命令やデータを呼び出す際のアドレスや分岐先のアドレス情報を示す。

　カーネル空間特徴値生成部３は、入力されるカーネル空間における実行アドレス２ａを用いて所定の特徴値を生成する。例えば、カーネル空間特徴値生成部３は、カーネル空間における実行アドレス２ａのアクセス回数をカウントし、カーネル空間の特徴値３ａとして判定部６に出力する。

　ユーザー空間特徴値生成部４も同様に、入力されるユーザー空間における実行アドレス２ｂを用いて所定の特徴値を生成する。例えば、ユーザー空間特徴値生成部４は、ユーザー空間における実行アドレス２ｂのアクセス回数をカウントし、ユーザー空間の特徴値４ａとして判定部６に出力する。

　収集時間制御部５は、割込みコード２ｃが入力されると特徴値生成信号５ａを生成し、カーネル空間特徴値生成部３およびユーザー空間特徴値生成部４に入力することで、それぞれの特徴値の出力タイミングを制御する。

　図２は、第一の実施形態における実行コード列のデータと特徴値の例を示す図である。図中のグラフは、実行コード列１０１ａから識別したカーネル空間における実行アドレス２ａ、ユーザー空間における実行アドレス２ｂ、割込みコード２ｃを基にした特徴値の生成を説明するイメージである。図中のグラフは、縦軸を仮想アドレス、横軸を実行アドレスの検出サイクル、つまりはプロセッサの動作時間とし、実行コード列１０１ａから識別されたカーネル空間における実行アドレス２ａ、ユーザー空間における実行アドレス２ｂ、割込みコード２ｃを時間順にプロットしている。

　仮想アドレス空間は、ＯＳの設定により、ユーザー空間のアドレス領域と、カーネル空間のアドレス領域に分けられる。つまり、実行アドレスから、カーネル空間における処理が実行されたか、ユーザープログラム空間における処理が実行されたかを判別できる。さらに、割込みコード２ｃによれば、カーネルの定期割込みや、その他の例外処理が発生したことを判別できる。

　第一の実施形態においては、収集時間制御部５からの特徴値生成信号５ａを受信したカーネル空間特徴値生成部３およびユーザー空間特徴値生成部４は、それまでに収集した実行アドレスの回数情報を特徴値として出力する。つまり、割込みコードの発生間隔が、カーネル空間特徴値生成部３およびユーザー空間特徴値生成部４における実行アドレスの収集区間となる。カーネル空間特徴値生成部３と、ユーザー空間特徴値生成部４とは、特徴値生成信号５ａを受信するごとに、その収集区間において収集したカーネル空間における実行アドレス２ａ、ユーザー空間における実行アドレス２ｂのデータから生成された特徴値をそれぞれ出力する。

　図３は、判定部および期待値メモリの構成例を示す図である。判定部６は、入力されるカーネル空間の特徴値３ａの正常判定を行うカーネル空間特徴値比較部６０と、入力されるユーザー空間の特徴値４ａの正常判定を行うユーザー空間特徴値比較部６１と、異常レベル判定部６２と、を含んでいる。

　期待値メモリ７は、マルウェア感染や攻撃を受けていない正常動作時の複数の特徴値を、あらかじめ期待値としてそれぞれカーネル空間期待値データ群７１と、ユーザー空間期待値データ群７２として格納している。

　判定部６は、入力されるカーネル空間の特徴値３ａ、ユーザー空間の特徴値４ａのそれぞれについて、期待値メモリ７から読み出すカーネル空間期待値データ群７１およびユーザー空間期待値データ群７２と照合する。

　カーネル空間特徴値比較部６０は、入力されるカーネル空間の特徴値３ａと、カーネル空間期待値データ群７１のいずれの期待値データとも不一致の場合に不一致信号６０ａを出力し、異常レベル判定部６２に入力する。また、ユーザー空間特徴値比較部６１は、入力されるユーザー空間の特徴値４ａと、ユーザー空間期待値データ群７２のいずれの期待値データとも不一致の場合に不一致信号６１ａを出力し、異常レベル判定部６２に入力する。

　異常レベル判定部６２は、入力された不一致信号６０ａと不一致信号６１ａとの組み合わせに応じて異常レベルを判定し、プロセッサ１０１への異常通知信号（割込み信号）６ａを生成する。異常通知信号６ａは、異常レベルを表すために複数ビットの信号で構成されてもよい。

　図４は、第一の実施形態における監視及び復旧処理のフローの例を示す図である。図示していないが、プロセッサ１０１および実行コード出力インターフェース１０３は、ＯＳのブートおよびソフトウェアリセットを含む初期化処理完了直後から実行コード列１０１ａの出力を開始する。

　随時、攻撃検知部１は、監視対象のプロセッサ１０１から出力される実行コード列１０１ａを受信する。実行コード識別部２は、受信した実行コード列１０１ａから、カーネル空間における実行アドレス２ａと、ユーザー空間における実行アドレス２ｂと、割込みコード２ｃと、を識別する（ステップＳ１００）。

　次に、収集時間制御部５は、割込みコード２ｃが入力されたタイミングで特徴値生成信号５ａを生成し、カーネル空間特徴値生成部３およびユーザー空間特徴値生成部４に入力する（ステップＳ１０１）。

　そして、特徴値生成信号５ａによって、カーネル空間特徴値生成部３およびユーザー空間特徴値生成部４は、生成した特徴値を出力する（ステップＳ１０２）。具体的には、収集時間制御部５からの特徴値生成信号５ａを受信したカーネル空間特徴値生成部３およびユーザー空間特徴値生成部４は、前回受信した特徴値生成信号５ａがある場合にはその間に、無い場合にはそれまでに収集した実行アドレスをもとに、特徴値を生成し、生成した特徴値を判定部６に出力する。

　判定部６は、カーネル空間およびユーザー空間のそれぞれの特徴値について、あらかじめ期待値メモリ７に格納された期待値データ群とそれぞれを照合する（ステップＳ１０３）。

　そして、判定部６は、不一致信号６０ａ、６１ａのいずれかが出力されたか否か判定する（ステップＳ１０４）。いずれも出力されていない場合（ステップＳ１０４にて「ＮＯ」の場合）には、判定部６は、ステップＳ１００に制御を戻す。

　不一致信号６０ａ、６１ａのいずれかが出力された場合（ステップＳ１０４にて「ＹＥＳ」の場合）には、判定部６は、不一致となった空間の組み合わせによって異常通知信号６ａをプロセッサ１０１に通知する（ステップＳ１０５）。

　具体的には、ユーザー空間における実行アドレスに関する特徴値のみが期待値のいずれとも不一致だった場合には、ユーザープログラムの改ざんのおそれがあるため、異常レベル判定部６２は、ソフトウェアリセットをプロセッサ１０１にリクエストする異常通知信号を出力する。

　カーネル空間における実行アドレスに関する特徴値が期待値のいずれとも不一致だった場合は、ＯＳの改ざんのおそれがあるため、異常レベル判定部６２は、ＩｏＴ機器１００をネットワークから切り離し、ブートファイルやＲＯＭデータのチェックを行わせる異常通知信号をプロセッサ１０１に出力する。

　そして、プロセッサ１０１は、異常通知信号の種類によって、ＣＰＵコア１０２の復旧処理を実行する（ステップＳ１０６）。具体的には、上述のように、プロセッサ１０１は、ソフトウェアリセット、またはＩｏＴ機器１００をネットワークから切り離してブートファイルやＲＯＭデータのチェックを行う。

　以上が、第一の実施形態に係る監視および復旧処理の流れである。本実施形態におけるＩｏＴ機器１００では、プロセッサ１０１の実行コード情報をもとに、ユーザー領域での動作と、カーネル領域での動作とを区別して監視し、プログラムの改ざんや外部からの不正操作などプロセッサへの攻撃事象を軽い処理により検出することができる。つまり、処理能力が比較的劣る電子機器に対しても、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知する信頼性・セキュリティ耐性を向上させることができる。

　本実施形態においては、攻撃検知部１は、プロセッサと別のデバイス（コプロセッサ）で実現してもよいし、同様のプロセッサを用意し、相互監視してもよい。あるいは、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）またはＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）を用いて、プロセッサ１０１と攻撃検知部１とを１チップ内で実現してもよい。期待値メモリ７の期待値データは、プロセッサが起動した時点であらかじめ書き込まれている構成として説明しているが、プロセッサ１０１経由で新たな期待値を書き込むこともできる。また、カーネル空間およびユーザー空間のそれぞれの特徴値を期待値と直接比較しているが、これに限られず、判定部６は、所定の特徴値としてユーザープログラム領域の実行アドレス数と、カーネル領域の実行アドレス数と、の比の値を特徴値として用いるものであってもよい。また、カーネル空間特徴値比較部６０およびユーザー空間特徴値比較部６１は、入力される特徴値が、期待値データ群のいずれの期待値データとも不一致の場合に不一致信号を出力しているが、これに限られず、所定の差を越える場合に不一致信号を出力するようにしてもよい。

　以上が、第一の実施形態に係る電子機器である攻撃検知機能付きＩｏＴ機器である。第一の実施形態に係る電子機器によれば、処理能力が比較的劣る電子機器であっても、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知することができる。

　［第二の実施形態］本発明は、第一の実施形態に係る電子機器に限られるものではない。例えば、プロセッサの実行コード情報をもとに、ユーザー空間での動作と、カーネル空間での動作に加えて、割込みに関する動作も特徴値として監視することで、プログラムの改ざんや外部からの不正操作などプロセッサへの攻撃事象を検出するようにしてもよい。このような第二の実施形態について、図５～８を用いて説明する。

　第二の実施形態に係る電子機器は、第一の実施形態に係る電子機器と、基本的には同一であるが、一部に相違がある。以下は、その相違点を中心に説明する。

　図５は、第二の実施形態における電子機器であるＩｏＴ機器１００´の構成例を示す図である。ＩｏＴ機器１００´は、攻撃検知部１０を含んでいる。攻撃検知部１０は、実行コード識別部２と、カーネル空間特徴値生成部１１と、ユーザー空間特徴値生成部１２と、割込み特徴値生成部１３と、判定部１４と、期待値メモリ１５とを含む。

　カーネル空間特徴値生成部１１は、入力されるカーネル空間における実行アドレス２ａを用いて所定の特徴値を生成する。例えば、カーネル空間特徴値生成部１１は、カーネル空間における実行アドレス２ａのアクセス回数をカウントし、カーネル空間の特徴値１１ａとして判定部１４に出力する。

　ユーザー空間特徴値生成部１２も同様に、入力されるユーザー空間における実行アドレス２ｂを用いて所定の特徴値を生成する。例えば、ユーザー空間特徴値生成部１２は、ユーザー空間における実行アドレス２ｂのアクセス回数をカウントし、ユーザー空間の特徴値１２ａとして判定部１４に出力する。

　割込み特徴値生成部１３は、入力される割込みコード２ｃを用いて所定の特徴値を生成する。例えば、割込み特徴値生成部１３は割込み回数をカウントし、特徴値１３ａとして判定部１４に出力する。ここで、攻撃検知部１０には、図示しないが任意時間Ｔａを設定できる内部計時部を有しており、各特徴値の生成サイクルを任意時間Ｔａにて管理する。

　図６は、第二の実施形態における実行コード列のデータと特徴値の例を示す図である。図中のグラフは、実行コード列１０１ａから識別したカーネル空間における実行アドレス２ａ、ユーザー空間における実行アドレス２ｂ、割込みコード２ｃを基にした特徴値の生成を説明するイメージである。図中のグラフは、縦軸を仮想アドレス、横軸を実行アドレスの検出サイクル、つまりはプロセッサの動作時間とし、実行コード列１０１ａから識別されたカーネル空間における実行アドレス２ａ、ユーザー空間における実行アドレス２ｂ、割込みコード２ｃを時間順にプロットしている。

　ここで、カーネル空間特徴値生成部１１、ユーザー空間特徴値生成部１２および割込み特徴値生成部１３は、内部計時部に設定された任意時間Ｔａで示すタイマ時間内において、各実行アドレスおよび割込みの回数を特徴値としてそれぞれ出力する。

　判定部１４は、入力されるカーネル空間の特徴値１１ａ、ユーザー空間の特徴値１２ａ、割込みの特徴値１３ａのそれぞれについて、期待値メモリ１５から読み出すカーネル空間期待値データ群７１、ユーザー空間期待値データ群７２および割込み期待値データ群と比較する。

　判定部１４は、入力されるカーネル空間の特徴値１１ａと、カーネル空間期待値データ群７１のいずれの期待値データとも不一致の場合に不一致信号を出力する。また、判定部１４は、入力されるユーザー空間の特徴値１２ａと、ユーザー空間期待値データ群７２のいずれの期待値データとも不一致の場合に不一致信号を出力する。また、判定部１４は、入力される割込みの特徴値１３ａと、割込み期待値データ群のいずれの期待値データとも不一致の場合に不一致信号を出力する。

　判定部１４は、カーネル空間特徴値生成部１１、ユーザー空間特徴値生成部１２および割込み特徴値生成部１３のいずれかの生成部が生成した特徴値に不一致信号が出力されると、その組み合わせに応じて、プロセッサの異常動作を示す異常通知信号１４ａを出力する。

　期待値メモリ１５は、マルウェア感染や攻撃を受けていない正常動作時の複数の特徴値を、あらかじめ期待値としてそれぞれカーネル空間期待値データ群７１と、ユーザー空間期待値データ群７２と、割込み期待値データ群として格納している。

　図７は、第二の実施形態における監視及び復旧処理のフローの例を示す図である。図示していないが、プロセッサ１０１および実行コード出力インターフェース１０３は、ＯＳのブートおよびソフトウェアリセットを含む初期化処理完了直後から実行コード列１０１ａの出力を開始する。

　随時、攻撃検知部１０は、監視対象のプロセッサ１０１から出力される実行コード列１０１ａを受信する。実行コード識別部２は、受信した実行コード列１０１ａから、カーネル空間における実行アドレス２ａと、ユーザー空間における実行アドレス２ｂと、割込みコード２ｃと、を識別する（ステップＳ２００）。

　次に、実行コード識別部２は、識別した３種類の情報（カーネル空間の実行アドレス２ａと、ユーザー空間の実行アドレス２ｂと、割込みコード２ｃ）を内部計時部に設定された時間区間（任意時間Ｔａ）で収集する（ステップＳ２０１）。

　そして、各特徴値の生成部は、収集した情報（カーネル空間の実行アドレス２ａと、ユーザー空間の実行アドレス２ｂと、割込みコード２ｃ）の特徴値を、それぞれ生成する（ステップＳ２０２）。

　そして、判定部１４は、各特徴値について、期待値メモリ１５に格納されたそれぞれの期待値データ群と照合する（ステップＳ２０３）。

　そして、判定部１４は、いずれかの不一致信号が出力されたか否か判定する（ステップＳ２０４）。いずれも出力されていない場合（ステップＳ２０４にて「ＮＯ」の場合）には、判定部１４は、ステップＳ２００に制御を戻す。

　いずれかの不一致信号が出力された場合（ステップＳ２０４にて「ＹＥＳ」の場合）には、判定部１４は、不一致となった空間あるいは割込みコードの組み合わせによって異常通知信号１４ａをプロセッサ１０１に通知する（ステップＳ２０５）。

　具体的には、ユーザー空間における実行アドレスに関する特徴値のみが期待値のいずれとも不一致だった場合には、ユーザープログラムの改ざんのおそれがあるため、判定部１４は、ソフトウェアリセットをプロセッサ１０１にリクエストする異常通知信号１４ａを通知する。

　カーネル空間における実行アドレスに関する特徴値が期待値のいずれとも不一致だった場合は、ＯＳの改ざんのおそれがあるため、判定部１４は、ＩｏＴ機器１００´をネットワークから切り離し、ブートファイルやＲＯＭデータのチェックを行わせる異常通知信号１４ａをプロセッサ１０１に出力する。

　割込みのコードに関する特徴値が期待値のいずれとも不一致だった場合は、カーネル動作を含めて改ざんのおそれがあるため、判定部１４は、ＩｏＴ機器１００´をネットワークから切り離し、ブートファイルやＲＯＭデータのチェックを行わせ、ソフトウェアリセットをリクエストする異常通知信号１４ａをプロセッサ１０１に出力する。

　なお、これに限られず、不一致となった空間あるいは割込みコードの組み合わせによって異常通知信号１４ａを細かに設定し、これを通知して対処を細かに変更するようにしてもよい。

　そして、プロセッサ１０１は、異常通知信号の種類によって、ＣＰＵコア１０２の復旧処理を実行する（ステップＳ２０６）。具体的には、上述のように、プロセッサ１０１は、ソフトウェアリセット、またはＩｏＴ機器１００をネットワークから切り離してブートファイルやＲＯＭデータのチェックを行う。

　以上が、第二の実施形態に係る監視および復旧処理の流れである。第二の実施形態におけるＩｏＴ機器１００´では、プロセッサ１０１の実行コード情報をもとに、ユーザー領域での動作と、カーネル領域での動作と、割込みコードとを区別して監視し、プログラムの改ざんや外部からの不正操作などプロセッサへの攻撃事象を軽い処理により検出することができる。つまり、処理能力が比較的劣る電子機器に対しても、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知する信頼性・セキュリティ耐性を向上させることができる。

　なお、任意時間Ｔａは、固定に限られず、外部環境等により変動するものであってもよい。例えば、工場で使用されるＩｏＴ機器の場合、工場の操業環境（操業日時や曜日、季節、気温等）によって変動させるものであってもよい。あるいは、車載のＩｏＴ機器の場合、車両の走行時と停車時で変動させるものであってもよい。

　図８は、第二の実施形態における攻撃検知部の別の構成例を示す図である。攻撃検知部２０は、第一の実施形態に係る収集時間制御部５（割込みコード２ｃの発生に応じたタイミングで特徴値の発生タイミングを制御する）をさらに有する。攻撃検知部２０は、割込みコード２ｃを特徴値と時間制御の両方に用いることで、さらに細かい異常判定が可能となる。この場合、割込みの発生間隔に応じて特徴値が生成されることになるため、割込みの特徴値は割込みの回数ではなく、割込みの発生間隔（時間）を特徴値とすることが望ましい。

　本別例の期待値メモリ２３内の期待値データは、３種類の特徴値をそれぞれ個別に判定するように格納してもよいし、例えば、割込みの発生間隔が同じときのカーネル空間またはユーザー空間の特徴値を判定するように、カーネル空間特徴値およびユーザー空間特徴値を、割込み発生間隔に紐付けて不一致判定を行うようにしてもよい。

　また、カーネル空間、ユーザー空間、割込みのそれぞれの特徴値を期待値と直接比較しているが、これに限られず、判定部１４は、所定の特徴値としてユーザープログラム領域の実行アドレス数と、カーネル領域の実行アドレス数と、割込み回数または割込みの発生間隔の比の値を特徴値として用いるものであってもよい。

　また、判定部１４は、入力される特徴値が、期待値データ群のいずれの期待値データとも不一致の場合に不一致信号を出力しているが、これに限られず、所定の差を越える場合に不一致信号を出力するようにしてもよい。

　以上が、第二の実施形態の別の構成例である。この構成例では、攻撃検知部２０は、さらに細かい異常判定が可能となる。

　［第三の実施形態］本発明は、第一の実施形態、第二の実施形態およびその別例に係る電子機器に限られるものではない。例えば、正常動作時の特徴値情報を較正できるようにしてもよい。このような第三の実施形態に係るＩｏＴ機器１００´´の例を、図９を用いて説明する。

　第三の実施形態に係る電子機器は、第二の実施形態に係る電子機器と、基本的には同一であるが、一部に相違がある。以下は、その相違点を中心に説明する。

　図９は、第三の実施形態における電子機器であるＩｏＴ機器の構成例を示す図である。ＩｏＴ機器１００´´は、攻撃検知部３０を含んでいる。攻撃検知部３０は、実行コード識別部２と、カーネル空間特徴値生成部１１と、ユーザー空間特徴値生成部１２と、割込み特徴値生成部１３と、セレクタ３１と、判定部３２と、期待値メモリ３３とを含む。また、プロセッサ１０１に係る外部ＩＯ部１０７については、セレクタ３１、判定部３２、期待値メモリ３３に対してモード切替信号１０７ａを送る。

　攻撃検知部３０は、較正モードと通常判定モードの２種類の動作モードが設けられており、モード切替信号１０７ａを受け取ると、動作モードを切り替える。例えば、ＩｏＴ機器１００´´の出荷前試験時などには、正常な動作時に収集される特徴値を用いて較正する、すなわち期待値メモリ３３に対して学習させる較正モードで動作させ、出荷時にモード切替信号１０７ａをプロセッサ１０１から送らせることで動作モードを通常判定モードに切り替えて出荷することができる。

　動作モードの切り替え制御は、基本的にはプロセッサ１０１から行う。モード切替信号１０７ａは、攻撃検知部３０のセレクタ３１（選択部ともいう）、判定部３２および期待値メモリ３３に入力される。

　セレクタ３１は、動作モードが通常判定モードであれば判定部３２に生成した特徴値を送り、動作モードが較正モードであれば期待値メモリ３３に生成した特徴値を送る。すなわち、セレクタ３１は、動作モードに応じて判定部３２か期待値メモリ３３のいずれかに特徴値を選択的に送る。

　具体的には、セレクタ３１は、カーネル空間の特徴値１１ａ、ユーザー空間の特徴値１２ａ、割込みの特徴値１３ａを出力するポートの切り替えを行う。通常判定モードの場合、セレクタ３１は、判定部３２側のポート３１ａから各特徴値を出力し、較正モードの場合、期待値メモリ３３側のポート３１ｂから各特徴値を出力するよう切り替える。

　判定部３２は、較正モードの場合には、プロセッサ１０１へ誤った異常通知が出力されないように判定処理を停止し、異常通知信号３２ａを出力しない。

　期待値メモリ３３は、較正モードの場合は、生成された各特徴値をポート３１ｂから受け取ると、メモリ内を検索し、同じ値が既に格納されていない場合に、空いているメモリ領域に新しい特徴値を追加して格納していく。較正モードで動作する間、期待値メモリ３３は上記の動作を繰り返し、動作中に生成された特徴値を格納（学習）していく。モード切替信号１０７ａを受け付けると、期待値メモリ３３は較正モードを解除し、通常判定モードに切り替える。通常判定モードでは、期待値メモリ３３は格納された特徴値をすべて、判定部３２に受け渡す。

　以上が、第三の実施形態に係るＩｏＴ機器１００´´である。第三の実施形態におけるＩｏＴ機器１００´´では、プロセッサ１０１の動作中に生成される特徴値を期待値メモリ３３に自動的に重複を排除して蓄積する機能を有することによって、例えばプロセッサ１０１のプログラムが変更された場合でも、一旦較正モードで動作させることによって自動で新たな特徴値に調整することができる。

　ＩｏＴ機器１００´´では、接続されるセンサーの変更や取得データに対する演算処理の変更など、遠隔操作によるプログラムの一括アップデートがなされることが予想される。その際、自動で較正を行う機能を有することによって、特にＩｏＴ機器１００´´が大量に存在する環境においてアップデート工数を削減できる。

　また、較正の機能はこれに限られず、取得した実績値に対して簡単な統計処理を行って期待値を特定し較正するものであってもよい。例えば、中央値を採用することや、平均値を採用することもできる。あるいは、外部環境（例えば、日時あるいは曜日）に応じて個別のテーブルとして格納し、運用時の外部環境に応じてテーブルを切り替えることで期待値データ群を切り替えるようにしてもよい。このようにすることで、大幅な期待値の変動を除外することが可能となる。

　［第四の実施形態］本発明は、第一の実施形態、第二の実施形態、その別例、第三の実施形態に係る電子機器に限られるものではない。例えば、ＩｏＴ機器に限られず、車両に搭載されるＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）に適用するようにしてもよい。このような第四の実施形態に係るＥＣＵの例を、図１０を用いて説明する。

　第四の実施形態に係る電子機器は、第三の実施形態に係る電子機器と、基本的には同一であるが、一部に相違がある。以下は、その相違点を中心に説明する。

　第四の実施形態における車載のＥＣＵ２００では、プロセッサ２０１内に、攻撃検知部３０´が含まれる。また、ＣＰＵコアに代えて、複数のＣＰＵを含むコア群２０２が含まれる。また、モード切替信号１０７ａは、共用メモリ部２０７を介してセレクタ３１、判定部３２、期待値メモリ３３に受け渡される。

　攻撃検知部３０´は、コア管理部３４を備え、判定部３２は、異常通知信号３２ａを割込ＩＦ部１０５ではなくコア管理部３４へ送る。

　コア管理部３４は、コア群２０２の各コアの動作の制御信号３４ａを、割込ＩＦ２０５を介して送りコア群２０２から特定のコアを隔離し、あるいはコアをコア群２０２に参加させる。コア管理部３４は、判定部３２から出力される異常通知信号３２ａを受け付けると、異常となったコアをコア群２０２から隔離することで、プロセッサ２０１への異常の伝播を回避する。

　特に、車両のＥＣＵは、リアルタイムな制御を行うものであり、かつ安全の確保に重要な役割を持つため、異常発生時の最小限の範囲のダメージコントロールと、迅速な復旧が重要である。

　また、攻撃検知部３０´自体も、コア群２０２を構成する特定のコアが担うことも可能である。

　以上が、第四の実施形態に係る電子機器であるＥＣＵである。第四の実施形態に係る電子機器によれば、搭載される車両の異常検出を迅速に行い、影響を最小限に留め、復旧を迅速に行うことが可能となる。

　上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。

　また、実施形態の構成の一部について、構成の追加・削除・置換をすることが可能である。また、上記の各部、各構成、機能、処理部等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各部、各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　なお、上述した実施形態にかかる制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えても良い。

　以上、本発明について、実施形態を中心に説明した。

１：攻撃検知部、２：実行コード識別部、２ａ：カーネル空間における実行アドレス、２ｂ：ユーザー空間における実行アドレス、２ｃ：割込みコード、３：カーネル空間特徴値生成部、３ａ：カーネル空間の特徴値、４：ユーザー空間特徴値生成部、４ａ：ユーザー空間の特徴値、５：収集時間制御部、５ａ：特徴値生成信号、６：判定部、６ａ：異常通知信号、７：期待値メモリ、１００：ＩｏＴ機器、１０１：プロセッサ、１０１ａ：実行コード列、１０２：ＣＰＵコア、１０３：実行コード出力インターフェース、１０４：通信ＩＦ部、１０５：割込ＩＦ部、１０６：メモリ、１０７：外部ＩＯ部。

Claims (12)

1. 　プロセッサから出力される実行コード列を受け付けて、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）のユーザープログラム領域の実行アドレスと、カーネル領域の実行アドレスと、を少なくとも識別する実行コード識別部と、
   　所定のタイミングで前記実行コード識別部による識別結果から得られる所定の特徴値を所定の期待値と照合して所定以上の差がある場合に攻撃があると判定する判定部と、を備え、
   　前記判定部は、攻撃があると判定すると、前記プロセッサに所定の異常通知信号を通知する、
   　ことを特徴とする電子機器。
2. 　請求項１に記載の電子機器であって、
   　前記実行コード識別部は、前記実行コード列を用いて、前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、を少なくとも識別し、
   　前記判定部は、前記所定の特徴値として前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、を用いる、
   　ことを特徴とする電子機器。
3. 　請求項１に記載の電子機器であって、
   　前記実行コード識別部は、前記実行コード列を用いて、前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、前記ＯＳへの割込み発生回数と、を少なくとも識別し、
   　前記判定部は、前記所定の特徴値として前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、前記ＯＳへの割込み発生回数と、を用いる、
   　ことを特徴とする電子機器。
4. 　請求項１に記載の電子機器であって、
   　前記実行コード識別部は、前記実行コード列を用いて、前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、を少なくとも識別し、
   　前記判定部は、前記所定の特徴値として前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、の比の値を用いる、
   　ことを特徴とする電子機器。
5. 　請求項１に記載の電子機器であって、
   　前記実行コード識別部は、前記実行コード列を用いて、前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、前記ＯＳへの割込み発生回数と、を少なくとも識別し、
   　前記判定部は、前記所定の特徴値として前記ユーザープログラム領域の実行アドレス数と、前記カーネル領域の実行アドレス数と、前記ＯＳへの割込み発生回数と、の比の値を用いる、
   　ことを特徴とする電子機器。
6. 　請求項１に記載の電子機器であって、
   　前記プロセッサは、
   　前記異常通知信号を受信すると、該異常通知信号に応じて所定のリセット処理を行う、
   　ことを特徴とする電子機器。
7. 　請求項１に記載の電子機器であって、
   　前記判定部は、前記所定のタイミングとして、前記実行コード列上の前記ＯＳへの割込み発生タイミングを用いる、
   　ことを特徴とする電子機器。
8. 　請求項１に記載の電子機器であって、
   　前記判定部は、前記所定のタイミングとして、所定の時間の経過を用いる、
   　ことを特徴とする電子機器。
9. 　請求項１に記載の電子機器であって、
   　開始指示を受け付けると、前記識別結果を前記期待値の候補に取り込むことで前記期待値の較正を行う選択部、
   　を備えることを特徴とする電子機器。
10. 　請求項１に記載の電子機器であって、
    　前記プロセッサは、
    　所定のセンサーと、
    　接続された所定のネットワーク上の他の装置と、前記センサーにより得られた情報を含む情報を送受信する通信部と、
    　を備えることを特徴とする電子機器。
11. 　車載のＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）であって、
    　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）コア群から出力される実行コード列を受け付けて、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）のユーザープログラム領域の実行アドレスと、カーネル領域の実行アドレスと、を少なくとも識別する実行コード識別部と、
    　所定のタイミングで前記実行コード識別部による識別結果から得られる所定の特徴値を所定の期待値と照合して所定以上の差がある場合に攻撃があると判定する判定部と、
    　前記攻撃があると判定されたＣＰＵコアを前記ＣＰＵコア群から隔離する所定の信号を通知するコア管理部と、
    　を備えることを特徴とするＥＣＵ。
12. 　電子機器の攻撃検知方法であって、
    　前記電子機器は、
    　プロセッサから出力される実行コード列を受け付けて、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）のユーザープログラム領域の実行アドレスと、カーネル領域の実行アドレスと、を少なくとも識別する実行コード識別処理と、
    　所定のタイミングで前記実行コード識別処理による識別結果から得られる所定の特徴値を所定の期待値と照合して所定以上の差がある場合に攻撃があると判定する判定処理と、
    　攻撃があると判定すると、前記プロセッサに所定の異常通知信号を通知する通知処理と、
    　を実施することを特徴とする電子機器の攻撃検知方法。

Images