WO2022107378A1

WO2022107378A1 - 攻撃解析装置、攻撃解析方法、および、プログラム

Info

Publication number: WO2022107378A1
Application number: PCT/JP2021/025100
Authority: WO
Inventors: 元田崎; 崇光佐々木; 貴志牛尾
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2020-11-20
Filing date: 2021-07-02
Publication date: 2022-05-27
Also published as: US20230283617A1; EP4250151A1; JPWO2022107378A1; CN116438496A; EP4250151A4

Abstract

攻撃解析装置（１０）は、複数の外部通信インターフェース（２１）と複数の制御ＥＣＵ（２２）とを含む車載ネットワーク（２０）の構成を示す車載ネットワーク情報と、車載ネットワーク（２０）における１以上のノードにおいて検知された異常検知結果を示す異常検知情報と、を取得する取得部（１１）と、車載ネットワーク情報と異常検知情報とに基づいて、車載ネットワーク（２０）に対する攻撃における、当該攻撃の車載ネットワーク（２０）への侵入地点である外部通信インターフェース（２１）を示すエントリーポイントと当該攻撃の攻撃目標である制御ＥＣＵ（２２）を示す攻撃ターゲットとを含む当該攻撃の攻撃経路を推定する攻撃経路推定部（１２）と、攻撃経路を出力する出力部（１３）と、を備える。

Description

攻撃解析装置、攻撃解析方法、および、プログラム

　ネットワークに対するサイバー攻撃を解析する攻撃解析装置に関する。

　従来、車両に搭載する車載ネットワークに対するサイバー攻撃（以下、単に「攻撃」とも称する）を解析する技術が知られている（例えば、特許文献１参照）。

特開２０１５－０２６２５２号公報

　車載ネットワークに対する攻撃があった場合に、その攻撃の車載ネットワークへの侵入地点であるエントリーポイントと、その攻撃の攻撃目標である攻撃ターゲットとを含む、その攻撃の攻撃経路を推定することが望まれる。

　そこで、本開示は、車載ネットワークに対する攻撃における、エントリーポイントと攻撃ターゲットとを含む攻撃経路を推定することができる攻撃解析装置等を提供することを目的とする。

　本開示の一態様に係る攻撃解析装置は、複数の外部通信インターフェースと複数の制御ＥＣＵとを含む車載ネットワークの構成を示す車載ネットワーク情報と、前記車載ネットワークにおける１以上のノードにおいて検知された異常検知結果を示す異常検知情報と、を取得する取得部と、前記車載ネットワーク情報と前記異常検知情報とに基づいて、前記車載ネットワークに対する攻撃における、当該攻撃の前記車載ネットワークへの侵入地点である外部通信インターフェースを示すエントリーポイントと当該攻撃の攻撃目標である制御ＥＣＵを示す攻撃ターゲットとを含む当該攻撃の攻撃経路を推定する攻撃経路推定部と、前記攻撃経路を出力する出力部と、を備える。

　本開示の一態様に係る攻撃解析方法は、コンピュータにより実行される攻撃解析方法であって、複数の外部通信インターフェースと複数の制御ＥＣＵとを含む車載ネットワークの構成を示す車載ネットワーク情報と、前記車載ネットワークにおける１以上のノードにおいて検知された異常検知結果を示す異常検知情報と、を取得し、前記車載ネットワーク情報と前記異常検知情報とに基づいて、前記車載ネットワークに対する攻撃における、当該攻撃の前記車載ネットワークへの侵入地点である外部通信インターフェースを示すエントリーポイントと当該攻撃の攻撃目標である制御ＥＣＵを示す攻撃ターゲットとを含む当該攻撃の攻撃経路を推定し、前記攻撃経路を出力する。

　本開示の一態様に係るプログラムは、コンピュータに攻撃解析処理を実行させるためのプログラムであって、前記攻撃解析処理は、複数の外部通信インターフェースと複数の制御ＥＣＵとを含む車載ネットワークの構成を示す車載ネットワーク情報と、前記車載ネットワークにおける１以上のノードにおいて検知された異常検知結果を示す異常検知情報と、を取得し、前記車載ネットワーク情報と前記異常検知情報とに基づいて、前記車載ネットワークに対する攻撃における、当該攻撃の前記車載ネットワークへの侵入地点である外部通信インターフェースを示すエントリーポイントと当該攻撃の攻撃目標である制御ＥＣＵを示す攻撃ターゲットとを含む当該攻撃の攻撃経路を推定し、前記攻撃経路を出力する、処理を含む。

　本開示の一態様に係る攻撃解析装置等によれば、車載ネットワークに対する攻撃における、その攻撃のエントリーポイントと攻撃ターゲットとを含む攻撃経路を推定することができる攻撃解析装置等が提供される。

図１は、実施の形態に係る攻撃監視システムの構成の一例を示すブロック図である。図２は、実施の形態に係る車載ネットワークの構成の一例を示すブロック図である。図３は、実施の形態に係る統合ＥＣＵの構成の一例を示すブロック図である。図４は、実施の形態に係る異常検知リストの一例を示す模式図である。図５は、実施の形態に係る外部通信イベントリストの一例を示す模式図である。図６は、実施の形態に係る外部通信イベント履歴の一例を示す模式図である。図７は、実施の形態に係る車両制御イベントリストの一例を示す模式図である。図８は、実施の形態に係る車両制御イベント履歴の一例を示す模式図である。図９は、実施の形態に係る攻撃解析装置の構成の一例を示すブロック図である。図１０は、実施の形態に係る攻撃経路推定結果テーブルの構成の一例を示す模式図である。図１１は、実施の形態に係る攻撃経路履歴の一例を示す模式図である。図１２は、実施の形態に係る攻撃監視処理のシーケンス図である。図１３は、実施の形態に係る攻撃解析処理のフローチャートである。図１４は、実施の形態に係るエントリーポイント推定処理のフローチャートである。図１５は、実施の形態に係るエントリーポイント推定処理のフローチャートである。図１６は、実施の形態に係る攻撃ターゲット推定処理のフローチャートである。図１７は、実施の形態に係る攻撃ターゲット推定処理のフローチャートである。図１８は、実施の形態に係る攻撃経路推定結果テーブルの構成の一例を示す模式図である。図１９は、実施の形態に係る攻撃経路推定処理のフローチャートである。図２０は、実施の形態に係る攻撃経路信頼度算出処理のフローチャートである。図２１は、実施の形態に係る攻撃経路推定結果テーブルの構成の一例を示す模式図である。図２２は、実施の形態に係る攻撃経路推定結果テーブルの構成の一例を示す模式図である。図２３は、実施の形態に係る第１表示制御処理のフローチャートである。図２４は、実施の形態に係る表示装置が表示する画面の一例を示す模式図である。図２５は、実施の形態に係る第２表示制御処理のフローチャートである。図２６は、実施の形態に係る表示装置が表示する画面の一例を示す模式図である。図２７は、変形例に係る統合ＥＣＵの構成の一例を示すブロック図である。

　（本開示の一態様を得るに至った経緯）
　発明者らは、車両に搭載する車載ネットワークに対する攻撃があった場合に、その攻撃の分析、その攻撃と過去の事例との照合等といった、その攻撃の解析作業を行うためには、その攻撃の車載ネットワークへの侵入地点である外部通信インターフェースを示すエントリーポイントと、その攻撃の攻撃目標である制御ＥＣＵを示す攻撃ターゲットとを含む、その攻撃の攻撃経路を推定することが重要であると考えた。攻撃経路を推定することができれば、解析作業のコストを削減することができるためである。

　これに対して、車載ネットワークの各ノードにおいて検知される異常検知結果には、異常の未検知、異常の誤検知等が含まれていることがあるため、車載ネットワークの各ノードにおいて検知される異常検知結果を示す異常検知情報からだけでは、攻撃経路の推定が困難になるケースがある。

　そこで、発明者らは、比較的精度よく攻撃経路を推定する方法について、鋭意検討、実験を重ねた。

　その結果、発明者らは、車載ネットワークの構成と異常検知情報とを用いることで、比較的精度よく攻撃経路を推定することができる旨の知見を得た。

　そして、発明者らは、この知見を基に、更に検討、実験を重ね、下記本開示に係る攻撃解析装置、攻撃解析方法、および、プログラムに想到した。

　上記構成の攻撃解析装置によると、車載ネットワークに対する攻撃があった場合に、車載ネットワーク情報により示される車載ネットワークの構成と異常検知情報とを用いて、比較的精度よく攻撃経路を推定することができる。このように、上記構成の攻撃解析装置によると、車載ネットワークに対する攻撃における、エントリーポイントと攻撃ターゲットとを含む攻撃経路を推定することができる。

　また、前記取得部は、さらに、前記車載ネットワークが外部と行った通信イベントの履歴を示す外部通信イベント履歴と、前記車載ネットワークを搭載する車両が行った車両制御イベントの履歴を示す車両制御イベント履歴と、を取得し、前記攻撃解析装置は、さらに、前記車載ネットワーク情報と前記異常検知情報と前記外部通信イベント履歴とに基づいて、前記エントリーポイントを推定するエントリーポイント推定部と、前記車載ネットワーク情報と前記異常検知情報と前記車両制御イベント履歴とに基づいて前記攻撃ターゲットを推定する攻撃ターゲット推定部と、を備え、前記攻撃経路推定部は、前記エントリーポイント推定部により推定された前記エントリーポイントと、前記攻撃ターゲット推定部により推定された前記攻撃ターゲットとに基づいて、前記攻撃経路を推定するとしてもよい。

　上記構成の攻撃解析装置は、車載ネットワーク情報と異常検知情報と外部通信イベント履歴とに基づいて、より精度よくエントリーポイントを推定し、車載ネットワーク情報と異常検知情報と車両制御イベント履歴とに基づいて、より精度よく攻撃ターゲットを推定することができる。これにより、上記攻撃解析装置によると、より精度よく攻撃経路を推定することができる。

　また、前記エントリーポイント推定部は、前記複数の外部通信インターフェースのそれぞれについて、前記エントリーポイントとしての信頼度を示すエントリーポイントリスクを算出し、算出したエントリーポイントリスクのそれぞれに基づいて、前記エントリーポイントを推定し、前記攻撃ターゲット推定部は、前記複数の制御ＥＣＵのそれぞれについて、前記攻撃ターゲットとしての信頼度を示す攻撃ターゲットリスクを算出し、算出した攻撃ターゲットリスクのそれぞれに基づいて、前記攻撃ターゲットを推定するとしてもよい。

　これにより、エントリーポイントの推定に、複数の外部通信インターフェースのそれぞれについて算出される、エントリーポイントとしての信頼度を反映させることができ、また、攻撃ターゲットの推定に、複数の制御ＥＣＵのそれぞれについて算出される、攻撃ターゲットとしての信頼度を反映させることができる。

　また、さらに、前記エントリーポイント推定部により算出された、前記エントリーポイントの前記エントリーポイントリスクと、前記攻撃ターゲット推定部により算出された、前記攻撃ターゲットの前記攻撃ターゲットリスクとに基づいて、前記攻撃経路に対して、前記攻撃経路としての信頼度を示す攻撃経路信頼度を算出する攻撃経路信頼度算出部を備え、前記出力部は、さらに、前記攻撃経路信頼度を出力するとしてもよい。

　これにより、出力する攻撃経路に対する、攻撃経路としての信頼度を示す情報を出力することができる。

　また、前記出力部は、前記攻撃経路を含む表示制御信号であって、表示装置に対して、前記車載ネットワークの構成を示す構成図を表示するように、かつ、前記構成図において、前記攻撃経路を他の部分とは異なる表示方法で表示するように前記表示装置を制御する表示制御信号を出力する表示制御部を備えるとしてもよい。

　これにより、攻撃解析装置を利用するユーザに、攻撃経路を視覚的に認識させることができる。

　上記攻撃解析方法によると、車載ネットワークに対する攻撃があった場合に、車載ネットワーク情報により示される車載ネットワークの構成と異常検知情報とを用いて、比較的精度よく攻撃経路を推定することができる。このように、上記攻撃解析方法によると、車載ネットワークに対する攻撃における、エントリーポイントと攻撃ターゲットとを含む攻撃経路を推定することができる。

　上記プログラムによると、車載ネットワークに対する攻撃があった場合に、車載ネットワーク情報により示される車載ネットワークの構成と異常検知情報とを用いて、比較的精度よく攻撃経路を推定することができる。このように、上記プログラムによると、車載ネットワークに対する攻撃における、エントリーポイントと攻撃ターゲットとを含む攻撃経路を推定することができる。

　以下、本開示の一態様に係る攻撃解析装置の具体例について、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、構成要素、構成要素の配置および接続形態、ならびに、ステップ（工程）およびステップの順序等は、一例であって本開示を限定する趣旨ではない。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。各図において、実質的に同一の構成に対しては同一の符号を付しており、重複する説明は省略または簡略化する。

　（実施の形態）
　以下、実施の形態に係る攻撃解析装置について説明する。この攻撃解析装置は、車両に搭載される車載ネットワークに対する攻撃における攻撃経路を推定する装置である。

　＜構成＞
　図１は、実施の形態に係る攻撃解析装置１０を利用して、車両３０に搭載される車載ネットワーク２０に対する攻撃を監視する攻撃監視システム１の構成の一例を示すブロック図である。

　図１に示すように、攻撃監視システム１は、監視サーバ４０と、車両３０と、車載ネットワーク２０と、外部ネットワーク５０とを含んで構成される。

　監視サーバ４０は、いわゆるコンピュータ装置であって、プロセッサ（図示されず）と、メモリ（図示されず）と、通信インターフェース（図示されず）と、記憶装置（図示されず）と、ディスプレイ（図示されず）とを備える。

　監視サーバ４０は、メモリに記憶されたプログラムをプロセッサが実行することで、攻撃解析装置１０と表示装置４１とを実現する。

　車両３０は、通信機能を有し、車載ネットワーク２０を搭載する。車両３０は、例えば自動車である。

　外部ネットワーク５０は、インターネット等の広域ネットワークであって、その接続先に、攻撃解析装置１０と、車載ネットワーク２０とを含む。

　図２は、車載ネットワーク２０の構成の一例を示すブロック図である。

　図２に示すように、車載ネットワーク２０は、複数の外部通信インターフェースと、複数の制御ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と、統合ＥＣＵ２４とを含んで構成される。

　ここで、図２において、複数の外部通信インターフェースは、外部通信ＩＦ＿Ａ２１Ａ、外部通信ＩＦ＿Ｂ２１Ｂ、外部通信ＩＦ＿Ｃ２１Ｃ、および、外部通信ＩＦ＿Ｄ２１Ｄが該当する。以下では、複数の外部通信インターフェースのそれぞれのことを、外部通信ＩＦ２１と称することもある。また、図２において、複数の制御ＥＣＵは、ＥＣＵ＿Ａ２２Ａ、ＥＣＵ＿Ｂ２２Ｂ、ＥＣＵ＿Ｃ２２Ｃ、および、ＥＣＵ＿Ｄ２２Ｄが該当する。以下では、複数の制御ＥＣＵのそれぞれのことを、ＥＣＵ２２と称することもある。

　複数の外部通信ＩＦ２１には、例えば、テレマティクス通信ユニット（ＴＣＵ：Ｔｅｌｅｍａｔｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、車内インフォティメントシステム、外部アプリ実行装置、または、充電スタンドとの通信を行う通信装置、ＯＢＤ（Ｏｎ－Ｂｏａｒｄ　Ｄｉａｇｎｏｓｔｉｃｓ）ポート等が含まれてもよい。

　複数の外部通信ＩＦ２１のそれぞれは、外部通信ＩＦ２１の異常を検知するＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）を備える。ここでは、外部通信ＩＦ＿Ａ２１ＡがＩＤＳ＿Ａ２３Ａを備え、外部通信ＩＦ＿Ｂ２１ＢがＩＤＳ＿Ｂ２３Ｂを備え、外部通信ＩＦ＿Ｃ２１ＣがＩＤＳ＿Ｃ２３Ｃを備え、外部通信ＩＦ＿Ｄ２１ＤがＩＤＳ＿Ｄ２３Ｄを備える。

　複数の外部通信ＩＦ２１は、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）２５、または、イーサネット（登録商標）２６を介して統合ＥＣＵ２４に接続される。

　複数のＥＣＵ２２には、例えば、車両３０の走行を制御する制御ＥＣＵ、ＡＤＡＳ（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ－Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍ）を制御するＡＤＡＳ制御ＥＣＵ、エアコンを制御するエアコン制御ＥＣＵ等が含まれてもよい。

　ＥＣＵ２２のそれぞれは、ＥＣＵ２２の異常を検知するＩＤＳを備える。ここでは、ＥＣＵ＿Ａ２２ＡがＩＤＳ＿Ｅ２３Ｅを備え、ＥＣＵ＿Ｂ２２ＢがＩＤＳ＿Ｆ２３Ｆを備え、ＥＣＵ＿Ｃ２２ＣがＩＤＳ＿Ｇ２３Ｇを備え、ＥＣＵ＿Ｄ２２ＤがＩＤＳ＿Ｈ２３Ｈを備える。

　複数のＥＣＵ２２は、ＣＡＮ２５、または、イーサネット（登録商標）２６を介して統合ＥＣＵ２４に接続される。

　図３は、統合ＥＣＵ２４の構成の一例を示すブロック図である。

　図３に示すように、ゲートウェイ２９と、セキュリティマスタ２７と、車両制御イベント管理部２８と、ＩＤＳ＿Ｉ２３Ｉと、ＩＤＳ＿Ｊ２３Ｊと、統合ＥＣＵ２４とを備える。

　統合ＥＣＵ２４は、いわゆるコンピュータ装置であって、プロセッサ（図示されず）と、メモリ（図示されず）と、通信インターフェース（図示されず）とを備える。

　統合ＥＣＵ２４は、メモリに記憶されたプログラムをプロセッサが実行することで、ゲートウェイ２９と、セキュリティマスタ２７と、車両制御イベント管理部２８と、統合ＥＣＵ２４の異常を検知するＩＤＳ＿Ｉ２３ＩおよびＩＤＳ＿Ｊ２３Ｊとを実現する。

　ゲートウェイ２９は、ゲートウェイ２９の異常を検知するＩＤＳ＿Ｋ２３ＫおよびＩＤＳ＿Ｌ２３Ｌとを備える。

　以下では、車載ネットワーク２０に含まれる複数のＩＤＳのそれぞれのことを、ＩＤＳ２３と称することもある。

　セキュリティマスタ２７は、車載ネットワーク２０に含まれるＩＤＳ２３が異常を検知した場合に、車載ネットワーク２０における１以上のノードにおいて検知された異常検知結果を示す異常検知情報を生成する。そして、セキュリティマスタ２７は、異常検知情報を生成すると、生成した異常検知情報を、車載ネットワーク２０の構成を示す車載ネットワーク情報と、後述の車両制御イベント履歴と、後述の外部通信イベント履歴と共に、攻撃解析装置１０に送信する。

　ここで、ノードとは、複数の外部通信ＩＦ２１と、ゲートウェイ２９と、複数のＥＣＵ２２とのことを言う。

　図４は、セキュリティマスタ２７が生成する異常検知情報の一例である異常検知リストの一例を示す模式図である。

　図４に示すように、異常検知リストは、車載ネットワーク２０に含まれるノードのそれぞれについて、そのノードの分類と、そのノードの異常を検知するＩＤＳによって異常が検知された日時を示すタイムスタンプと、そのノードの異常を検知するＩＤＳによる異常検知の有無と、そのノードの異常を検知するＩＤＳから出力される異常検知スコアとを対応づけたテーブルである。ここで、異常検知スコアとは、ＩＤＳが検知した異常の異常度合を示すスコアであって、異常度合が大きい程その値が大きくなるスコアである。また、実施の形態１において、外部通信ＩＦ２１はエントリーノードに分類され、ＥＣＵ２２はターゲットノードに分類されるとして説明する。

　セキュリティマスタ２７は、１のＩＤＳ２３が異常を検知すると、その検知を起点とする所定の期間Ｔ１（例えば、２分）内に、車載ネットワーク２０に含まれるＩＤＳ２３によって検知された異常を対象として、異常検知リストを生成する。

　セキュリティマスタ２７は、所定の期間Ｔ１内に同一のＩＤＳ２３が複数回異常を検知する場合には、例えば、それら複数回の異常のうち最初に検知した異常のみを対象として異常検知リストを生成するとしてもよい。これは、一連の連続攻撃を１つの攻撃として取り扱いたいためである。

　図４に示す異常検知リストからは、例えば、エントリーノードに分類される外部通信ＩＦ＿ＢのＩＤＳが、２０２０年８月３０日１０時３２分１０秒に異常を検知し、検知した異常の異常スコアが６０であることが読み取れる。

　再び図３に戻って、統合ＥＣＵ２４の説明を続ける。

　車両制御イベント管理部２８は、予め定められた外部通信イベントリストと、予め定められた車両制御イベントリストとを記憶し、記憶する外部通信イベントリストと、車両制御イベントリストとに基づいて、車載ネットワーク２０が外部と行った通信イベントの履歴を示す外部通信イベント履歴と、車両３０が行った車両制御イベントの履歴を示す車両制御イベント履歴とを生成し、更新し、管理する。

　図５は、車両制御イベント管理部２８が記憶する外部通信イベントリストの一例を示す模式図である。

　図５に示すように、外部通信イベントリストは、車載ネットワーク２０が外部と行う通信イベントを示す外部通信イベントのそれぞれについて、その外部通信イベントの分類と、その外部通信イベントに起因してサイバー攻撃を受ける危険度を示すリスクおよびサブリスクと、その外部通信イベントに係るコメントである優先する経路とを対応付けたテーブルである。ここで、リスクおよびサブリスクは、それぞれ、サイバー攻撃を受ける危険度が高い程その値が大きくなるスコアである。

　図５に示す外部通信イベントリストからは、例えば、「外部通信の確立」に分類される「新規ＩＰアドレスと接続した」という外部通信イベントは、リスクおよびサブリスクが、それぞれ、３および３であることが読み取れる。

　図６は、車両制御イベント管理部２８が生成し、更新し、管理する外部通信イベント履歴の一例を示す模式図である。

　図６に示すように、外部通信イベント履歴は、発生した外部通信イベントのそれぞれについて、その外部通信イベントが発生した日時と、その外部通信イベントを識別する外部通信イベントＩＤと、その外部通信イベントにおいて外部と通信した外部通信ＩＦ２１を識別する外部通信ＩＦＩＤと、その外部通信イベントのリスクを示す外部通信イベントリスクとを対応付けたテーブルである。ここで、外部通信イベントリスクは、外部通信イベントリストのリスクとサブリスクとを組み合わせて表現される。

　図６に示す外部通信イベント履歴からは、例えば、「ＯＢＤポートに外部デバイスを接続した」という外部通信イベントは、２０２０年８月３０日１０時３２分００秒に発生した、外部通信ＩＦＩＤ「ＩＦ０１」で識別される外部通信ＩＦ２１において外部と通信された、外部通信イベントリスクが３－２であるイベントであることが読み取れる。

　図７は、車両制御イベント管理部２８が記憶する車両制御イベントリストの一例を示す模式図である。

　図７に示すように、車両制御イベントリストは、車両３０が行う車両制御イベントを示す車両制御イベントのそれぞれについて、その車両制御イベントの分類と、その車両制御イベントがサイバー攻撃を受けた結果生じたものである場合における、車両３０の安全性を脅かす深刻度を示すリスクおよびサブリスクと、その車両制御イベントに係るコメントである「優先する経路」とを対応付けたテーブルである。ここで、リスクおよびサブリスクは、それぞれ、安全性を脅かす深刻度が高い程その値が大きくなるスコアである。

　図７に示す車両制御イベントリストからは、例えば、「制御指示」に分類される「加速、操舵、減速指示が発行された」という車両制御イベントは、リスクおよびサブリスクが、それぞれ、３および１であることが読み取れる。

　図８は、車両制御イベント管理部２８が生成し、更新し、管理する車両制御イベント履歴の一例を示す模式図である。

　図８に示すように、車両制御イベント履歴は、発生した車両制御イベントのそれぞれについて、その車両制御イベントが発生した日時と、その車両制御イベントを識別する車両制御イベントＩＤと、その車両制御イベントを発生させたＥＣＵ２２を識別するＥＣＵＩＤと、その車両制御イベントのリスクを示す車両制御イベントリスクとを対応付けたテーブルである。ここで、車両制御イベントリスクは、車両制御イベントリストのリスクとサブリスクとを組み合わせて表現される。

　図８に示す車両制御イベント履歴からは、例えば、「エアコンの動作が変化した」という車両制御イベントは、２０２０年８月３０日１０時３０分１５秒に発生した、ＥＣＵＩＤ「ＥＣＵ０２」で識別されるＥＣＵ２２が発生した、車両制御イベントリスクが１－２あるイベントであることが読み取れる。

　再び図３に戻って、統合ＥＣＵ２４の説明を続ける。

　前述したように、セキュリティマスタ２７は、車載ネットワーク２０に含まれるＩＤＳ２３が異常を検知した場合に、異常検知情報を生成し、生成した異常検知情報を、車載ネットワーク情報と、車両制御イベント履歴と、外部通信イベント履歴と共に、攻撃解析装置１０に送信する。

　この際、セキュリティマスタ２７は、必ずしも、車両制御イベント管理部２８が管理する外部通信イベント履歴の全てを攻撃解析装置１０に送信する必要はない。ここでは、セキュリティマスタ２７は、異常を検知した前後の所定の期間Ｔ２（例えば、検知前５分と検知後５分との計１０分）に車載ネットワーク２０が外部と行った通信イベントの外部通信イベント履歴を攻撃解析装置１０に送信するとして説明する。また、この際、セキュリティマスタ２７は、必ずしも、車両制御イベント管理部２８が管理する車両制御イベント履歴の全てを攻撃解析装置１０に送信する必要はない。ここでは、セキュリティマスタ２７は、異常を検知した前後の所定の期間Ｔ２に車両３０が行った車両制御イベントの車両制御イベント履歴を攻撃解析装置１０に送信するとして説明する。

　図９は、攻撃解析装置１０の構成の一例を示すブロック図である。

　図９に示すように、攻撃解析装置１０は、取得部１１と、エントリーポイント推定部１４と、攻撃ターゲット推定部１５と、攻撃経路推定部１２と、攻撃経路推定結果テーブル管理部１７と、攻撃経路信頼度算出部１６と、出力部１３とを備える。

　取得部１１は、セキュリティマスタ２７から送信される、車載ネットワーク情報と、異常検知情報と、外部通信イベント履歴と、車両制御イベント履歴とを取得する。

　エントリーポイント推定部１４は、取得部１１により取得された、車載ネットワーク情報と、異常検知情報と、外部通信イベント履歴とに基づいて、車載ネットワーク２０に対する攻撃における、車載ネットワーク２０への侵入地点である外部通信ＩＦ２１を示すエントリーポイントを推定する。この際、エントリーポイント推定部１４は、複数の外部通信ＩＦ２１のそれぞれについて、エントリーリストとしての信頼度を示すエントリーポイントリスクを算出し、算出したエントリーポイントリスクのそれぞれに基づいて、エントリーポイントを推定する。

　エントリーポイント推定部１４が行う、エントリーポイントの推定の詳細については、後程、フローチャート等を用いて説明する。

　攻撃ターゲット推定部１５は、取得部１１により取得された、車載ネットワーク情報と、異常検知情報と、車両制御イベント履歴とに基づいて、車載ネットワーク２０に対する攻撃における、攻撃目標であるＥＣＵ２２を示す攻撃ターゲットを推定する。この際、攻撃ターゲット推定部１５は、複数のＥＣＵ２２のそれぞれについて、攻撃ターゲットとしての信頼度を示す攻撃ターゲットリスクを算出し、算出した攻撃ターゲットリスクのそれぞれに基づいて、攻撃ターゲットを推定する。

　攻撃ターゲット推定部１５が行う、攻撃ターゲットの推定の詳細については、後程、フローチャート等を用いて説明する。

　攻撃経路推定部１２は、取得部１１により取得された、車載ネットワーク情報と、異常検知情報とに基づいて、車載ネットワーク２０に対する攻撃における、エントリーポイントと攻撃ターゲットとを含む攻撃経路を推定する。実施の形態１においては、攻撃経路推定部１２は、エントリーポイント推定部１４により推定されたエントリーポイントと、攻撃ターゲット推定部１５により推定された攻撃ターゲットと、取得部１１により取得された車載ネットワーク情報と、取得部１１により取得された異常検知情報とに基づいて、攻撃経路を推定するとして説明する。

　攻撃経路推定部１２が行う、攻撃経路の推定の詳細については、後程、フローチャート等を用いて説明する。

　攻撃経路信頼度算出部１６は、エントリーポイント推定部１４により算出された、エントリーポイントのエントリーポイントリスクと、攻撃ターゲット推定部１５により算出された、攻撃ターゲットの攻撃ターゲットリスクとに基づいて、攻撃経路推定部１２により推定された攻撃経路に対して、攻撃経路としての信頼度を示す攻撃経路信頼度を算出する。

　攻撃経路信頼度算出部１６が行う、攻撃経路信頼度の算出の詳細については、後程、フローチャート等を用いて説明する。

　攻撃経路推定結果テーブル管理部１７は、取得部１１が異常検知情報を取得すると、取得部１１により取得された異常検知情報に基づいて、攻撃経路推定結果テーブルを生成する。そして、攻撃経路推定結果テーブル管理部１７は、エントリーポイント推定部１４、攻撃ターゲット推定部１５、攻撃経路推定部１２、または、攻撃経路信頼度算出部１６から出力される各種信号に基づいて、生成した攻撃経路推定結果テーブルを逐次更新し、管理する。

　図１０は、攻撃経路推定結果テーブル管理部１７が生成する攻撃経路推定結果テーブルの一例を示す模式図である。ここで、図１０に示す攻撃経路推定結果テーブルは、取得部１１が異常検知情報を取得することにより、攻撃経路推定結果テーブル管理部１７が生成する、初期状態の攻撃経路推定結果テーブルであって、未だ更新されていない攻撃経路推定結果テーブルの一例を示す模式図である。

　図１０に示すように、攻撃経路推定結果テーブルは、車載ネットワーク２０に含まれるノードのそれぞれについて、そのノードの分類と、そのノードの異常を検知するＩＤＳによって異常が検知された日時を示すタイムスタンプと、そのノードの異常を検知するＩＤＳによる異常検知の有無と、そのノードの異常を検知するＩＤＳから出力される異常検知スコアと、そのノードが外部通信ＩＦ２１である場合においてエントリーポイント推定部１４により推定される、そのノードの異常状態を示す推定結果、または、そのノードがＥＣＵ２２である場合において攻撃ターゲット推定部１５により推定される、そのノードの異常状態を示す推定結果と、そのノードが通信ＩＦ２１である場合においてエントリーポイント推定部１４により算出される、そのノードのエントリーポイントリスク、または、そのノードがＥＣＵ２２である場合において攻撃ターゲット推定部１５により算出される、そのノードの攻撃ターゲットリスクを示すリスクと、そのノードが、攻撃経路推定部１２により推定される攻撃経路に該当するか否かを示す攻撃経路と、攻撃経路信頼度算出部１６により算出されるその攻撃経路の攻撃経路信頼度とを対応付けたテーブルである。ここで、攻撃ターゲット推定部１５またはエントリーポイント推定部１４により推定される推定結果およびリスク値と、攻撃経路推定部１２により推定される攻撃経路との推定方法については後述する。

　図１０に示すように、初期状態の攻撃経路推定結果テーブルは、推定結果と、リスクと、攻撃経路と、攻撃経路信頼度とには、情報が記録されていない。

　攻撃経路推定結果テーブル管理部１７により、逐次更新される攻撃経路推定結果テーブルについては、後述する。

　再び図９に戻って、攻撃解析装置１０の説明を続ける。

　攻撃経路推定結果テーブル管理部１７は、さらに、攻撃経路推定部１２により推定された攻撃経路の履歴を示す攻撃経路履歴を生成し、管理する。

　図１１は、攻撃経路推定結果テーブル管理部１７が管理する攻撃経路履歴の一例を示す模式図である。

　図１１に示すように、攻撃経路履歴は、攻撃経路推定部１２により推定された攻撃経路のそれぞれについて、その攻撃経路に対応する異常通知を識別する異常通知ＩＤと、その攻撃経路について攻撃経路信頼度算出部１６により算出された攻撃経路信頼度と、その攻撃経路のエントリーポイントと、そのエントリーポイントについてエントリーポイント推定部１４により算出されたエントリーポイントリスクと、その攻撃経路の攻撃ターゲットと、その攻撃ターゲットについて攻撃ターゲット推定部１５により算出された攻撃ターゲットリスクとを対応付けたテーブルである。

　再び図９に戻って、攻撃解析装置１０の説明を続ける。

　出力部１３は、攻撃経路推定部１２により推定された攻撃経路を出力する。実施の形態において、出力部１３は、表示装置４１に対して、攻撃経路を含む表示制御信号を出力する表示制御部１８を備えるとして説明する。

　表示制御部１８は、攻撃経路推定部１２が攻撃経路を推定した場合に、攻撃経路を含む表示制御信号であって、表示装置４１に対して、車載ネットワークの構成を示す構成図を示すように、かつ、その構成図において、攻撃経路を他の部分とは異なる表示方法で表示するように表示装置４１を制御する表示制御信号を出力する。この際、表示制御部１８は、出力する表示制御信号を、さらに、攻撃経路推定部１２による推定結果、エントリーポイント推定部１４による推定結果、攻撃ターゲット推定部１５による推定結果、および／または、攻撃経路信頼度算出部１６による算出結果に係る情報を、例えば、テーブル形式で表示するように表示装置４１を制御する表示制御信号としてもよい。ここでは、表示制御部１８は、表示制御信号を、さらに、攻撃経路推定結果テーブル管理部１７が管理する攻撃経路履歴をテーブル形式で表示するように表示装置４１を制御する表示制御信号とするとして説明する。

　表示制御部１８が出力する表示制御信号により制御された表示装置４１が表示する画面の具体例については、後述する。

　＜動作＞
　以下、上記構成の攻撃監視システム１が行う動作について図面を参照しながら説明する。

　図１２は、攻撃監視システム１が行う攻撃監視処理のシーケンス図である。図１３は、攻撃監視システム１が行う攻撃監視処理において、攻撃解析装置１０が行う攻撃解析処理のフローチャートである。

　図１２に示すように、攻撃監視処理において、車載ネットワーク２０に含まれるＩＤＳ２３が異常を検知すると、そのＩＤＳ２３は、異常の検知をセキュリティマスタ２７に通知する。

　ＩＤＳ２３から異常の検知が通知されると、セキュリティマスタ２７は、異常検知情報（ここでは、異常検知リスト）を生成し、車両制御イベント管理部２８に対して、ＩＤＳ２３が異常を検知した前後の所定の期間Ｔ２内の、車両制御イベント履歴と、外部通信イベント履歴とを要求する。

　すると、車両制御イベント管理部２８は、要求された車両制御イベント履歴と、外部通信イベント履歴とを、セキュリティマスタ２７に送信する。

　すると、セキュリティマスタ２７は、車両制御イベント履歴と、外部通信イベント履歴とを取得する。そして、セキュリティマスタ２７は、生成した異常検知情報を、車載ネットワーク情報と、取得した車両制御イベント履歴と、取得した外部通信イベント履歴と共に、攻撃解析装置１０に送信する。

　セキュリティマスタ２７から異常検知情報が送信されると、攻撃解析装置１０は、攻撃開始処理を開始する。

　図１２および図１３に示すように、攻撃開始処理において、取得部１１は、セキュリティマスタ２７から送信された、異常検知情報と、車載ネットワーク情報と、車両制御イベント履歴と、外部通信イベント履歴とを取得する（ステップＳ１０）。

　次に、エントリーポイント推定部１４は、取得部１１により取得された、車載ネットワーク情報と、異常検知情報と、外部通信イベント履歴とに基づいて、エントリーポイントを推定する（ステップＳ２０）。この際、エントリーポイント推定部１４は、エントリーポイントの推定過程において、複数の外部通信ＩＦ２１のそれぞれについてのエントリーポイントリスクを算出する。このエントリーポイントの推定は、エントリーポイント推定部１４が、後述するエントリーポイント推定処理を行うことでなされる。

　次に、攻撃ターゲット推定部１５は、取得部１１により取得された、車載ネットワーク情報と、異常検知情報と、車両制御イベント履歴とに基づいて、攻撃ターゲットを推定する（ステップＳ３０）。この際、攻撃ターゲット推定部１５は、攻撃ターゲットの推定過程において、複数のＥＣＵ２２のそれぞれについての攻撃ターゲットリスクを算出する。この攻撃ターゲットの推定は、攻撃ターゲット推定部１５が、後述する攻撃ターゲット推定処理を行うことでなされる。

　次に、攻撃経路推定部１２は、エントリーポイント推定部１４により推定されたエントリーポイントと、攻撃ターゲット推定部１５により推定された攻撃ターゲットと、取得部１１により取得された車載ネットワーク情報と、取得部１１により取得された異常検知情報とに基づいて、攻撃経路を推定する（ステップＳ４０）。この攻撃経路の推定は、攻撃経路推定部１２が、後述する攻撃経路推定処理を行うことでなされる。

　次に、攻撃経路信頼度算出部１６は、エントリーポイント推定部１４により算出された、エントリーポイントのエントリーポイントリスクと、攻撃ターゲット推定部１５により算出された、攻撃ターゲットの攻撃ターゲットリスクとに基づいて、攻撃経路推定部１２により推定された攻撃経路に対して、攻撃経路信頼度を算出する（ステップＳ５０）。この攻撃経路信頼度の算出は、攻撃経路信頼度算出部１６が、後述する攻撃経路信頼度算出処理を行うことでなされる。

　次に、出力部１３は、攻撃経路推定部１２により推定された攻撃経路を含む表示制御信号を、表示装置４１に出力する（ステップＳ６０）。

　出力部１３が表示制御信号を出力すると、攻撃解析装置１０は、その攻撃開始処理を終了する。

　出力部１３から表示制御信号が出力されると、表示装置４１は、その表示制御信号に基づく画像を表示する。

　表示装置４１が表示制御信号に基づく画像を表示すると、攻撃監視システム１は、その攻撃監視処理を終了する。

　図１４および図１５は、エントリーポイント推定部１４が行うエントリーポイント推定処理のフローチャートである。

　図１４および図１５に示すように、エントリーポイント推定処理が開始されると、エントリーポイント推定部１４は、取得部１１により取得された、車載ネットワーク情報と、異常検知情報と、外部通信イベント履歴とを取得し、車載ネットワーク情報を参照して、車載ネットワーク２０に含まれる複数の外部通信ＩＦ２１のうちの１つの外部通信ＩＦ２１を選択する（ステップＳ８０）。

　そして、エントリーポイント推定部１４は、異常通知情報を参照して、選択中の外部通信ＩＦ２１が備えるＩＤＳ２３が、異常を検知したか否かを調べる（ステップＳ１００）。

　ステップＳ１００の処理において、選択中の外部通信ＩＦ２１が備えるＩＤＳ２３が異常を検知した場合に（ステップＳ１００：Ｙｅｓ）、エントリーポイント推定部１４は、外部通信イベント履歴を参照して、選択中の外部通信ＩＦ２１が外部と通信した外部通信イベントが発生したか否かを調べる（ステップＳ１０１）。

　ステップＳ１０１の処理において、選択中の外部通信ＩＦ２１が外部と通信した外部通信イベントが発生した場合に（ステップＳ１０１：Ｙｅｓ）、エントリーポイント推定部１４は、選択中の外部通信ＩＦ２１に対して、その外部通信ＩＦ２１の異常状態を「異常検知（攻撃リスク高）」と推定し、その外部通信ＩＦ２１のエントリーポイントリスクを５と算出する（ステップＳ１０２）。

　ステップＳ１０１の処理において、選択中の外部通信ＩＦ２１が外部と通信した外部通信イベントが発生しなかった場合に（ステップＳ１０１：Ｎｏ）、エントリーポイント推定部１４は、異常通知情報と外部通信イベント履歴とを参照して、選択中の外部通信ＩＦ２１の直後のＩＤＳ２３が、異常を検知したか否かを調べる（ステップＳ１０３）。

　ステップＳ１０３の処理において、選択中の外部通信ＩＦ２１の直後のＩＤＳ２３が、異常を検知した場合に（ステップＳ１０３：Ｙｅｓ）、エントリーポイント推定部１４は、選択中の外部通信ＩＦ２１に対して、その外部通信ＩＦ２１の異常状態を「異常検知」と推定し、その外部通信ＩＦ２１のエントリーポイントリスクを４と算出する（ステップＳ１０４）。

　ステップＳ１０３の処理において、選択中の外部通信ＩＦ２１の直後のＩＤＳ２３が、異常を検知しなかった場合に（ステップＳ１０３：Ｎｏ）、エントリーポイント推定部１４は、選択中の外部通信ＩＦ２１に対して、その外部通信ＩＦ２１の異常状態を「誤検知」と推定し、その外部通信ＩＦ２１のエントリーポイントリスクを２と算出する（ステップＳ１０５）。

　ステップＳ１００の処理において、選択中の外部通信ＩＦ２１が備えるＩＤＳ２３が異常を検知しなかった場合に（ステップＳ１００：Ｎｏ）、エントリーポイント推定部１４は、外部通信イベント履歴を参照して、選択中の外部通信ＩＦ２１が外部と通信した外部通信イベントが発生したか否かを調べる（ステップＳ１０６）。

　ステップＳ１０６の処理において、選択中の外部通信ＩＦ２１が外部と通信した外部通信イベントが発生した場合に（ステップＳ１０６：Ｙｅｓ）、エントリーポイント推定部１４は、異常通知情報と外部通信イベント履歴とを参照して、選択中の外部通信ＩＦ２１の直後のＩＤＳ２３が、異常を検知したか否かを調べる（ステップＳ１０７）。

　ステップＳ１０７の処理において、選択中の外部通信ＩＦ２１の直後のＩＤＳ２３が、異常を検知した場合に（ステップＳ１０７：Ｙｅｓ）、エントリーポイント推定部１４は、選択中の外部通信ＩＦ２１に対して、その外部通信ＩＦ２１の異常状態を「未検知」と推定し、その外部通信ＩＦ２１のエントリーポイントリスクを３と算出する（ステップＳ１０８）。

　ステップＳ１０７の処理において、選択中の外部通信ＩＦ２１の直後のＩＤＳ２３が、異常を検知しなかった場合に（ステップＳ１０７：Ｎｏ）、エントリーポイント推定部１４は、選択中の外部通信ＩＦ２１に対して、その外部通信ＩＦ２１の異常状態を「攻撃なし（イベントあり）」と推定し、その外部通信ＩＦ２１のエントリーポイントリスクを１と算出する（ステップＳ１０９）。

　ステップＳ１０６の処理において、選択中の外部通信ＩＦ２１が外部と通信した外部通信イベントが発生しなかった場合に（ステップＳ１０６：Ｎｏ）、エントリーポイント推定部１４は、選択中の外部通信ＩＦ２１に対して、その外部通信ＩＦ２１の異常状態を「攻撃なし」と推定し、その外部通信ＩＦ２１のエントリーポイントリスクを０と算出する（ステップＳ１１０）。

　ステップＳ１０２の処理、ステップＳ１０４の処理、ステップＳ１０５の処理、ステップＳ１０８の処理、ステップＳ１０９の処理、または、ステップＳ１１０の処理が終了した場合に、エントリーポイント推定部１４は、車載ネットワーク情報を参照して、車載ネットワーク２０に含まれる複数の外部通信ＩＦ２１のうち、エントリーポイント推定処理において未だ選択したことがない未選択の外部通信ＩＦ２１が存在するか否かを調べる（ステップＳ１１１）。

　ステップＳ１１１の処理において、未選択の外部通信ＩＦ２１が存在する場合に（ステップＳ１１１：Ｙｅｓ）、エントリーポイント推定部１４は、未選択の外部通信ＩＦ２１のうちの１つの外部通信ＩＦ２１を選択し（ステップＳ８１）、ステップＳ１００の処理に進む。

　ステップＳ１１１の処理において、未選択の外部通信ＩＦ２１が存在しない場合に（ステップＳ１１１：Ｎｏ）、エントリーポイント推定部１４は、算出したエントリーポイントリスクが最も大きい外部通信ＩＦ２１を選択する（ステップＳ１１２）。

　ステップＳ１１２の処理において選択した外部通信ＩＦ２１が複数存在する場合に（ステップＳ１１３：Ｙｅｓ）、エントリーポイント推定部１４は、それら外部通信ＩＦ２１のエントリーポイントリスクが１と３と５とのうちのいずれかであるか否かを調べる（ステップＳ１１４）。

　ステップＳ１１４の処理において、エントリーポイントリスクが１と３と５とのうちのいずれかである場合に（ステップＳ１１４：Ｙｅｓ）、エントリーポイント推定部１４は、外部通信イベント履歴を参照して、それら外部通信ＩＦ２１のうち、対応付けられた外部通信イベントリスクのスコアが最も小さい、すなわち、対応づけられた外部通信イベントに起因してサイバー攻撃を受ける危険度が最も高い外部通信ＩＦ２１を、エントリーポイントと推定する（ステップＳ１１５）。

　ステップＳ１１４の処理において、エントリーポイントリスクが１と３と５とのうちのいずれかでない場合に（ステップＳ１１４：Ｎｏ）、エントリーポイント推定部１４は、それら外部通信ＩＦ２１のエントリーポイントリスクが２または４であるか否かを調べる（ステップＳ１１６）。

　ステップＳ１１６の処理において、エントリーポイントリスクが２または４である場合に（ステップＳ１１６：Ｙｅｓ）、エントリーポイント推定部１４は、異常検知情報を参照して、それら外部通信ＩＦ２１のうち、対応付けられた異常検知スコアが最も大きい外部通信ＩＦ２１を、エントリーポイントと推定する（ステップＳ１１７）。

　ステップＳ１１６の処理において、エントリーポイントリスクが２または４でない場合に（ステップＳ１１６：Ｎｏ）、エントリーポイント推定部１４は、異常検知情報と車載ネットワーク情報とを参照して、異常を検知した中間ノードまで最短で結ぶことができる外部通信ＩＦ２１を、エントリーポイントと推定する（ステップＳ１１８）。

　ステップＳ１１２の処理において選択した外部通信ＩＦ２１が複数存在しない場合に（ステップＳ１１３：Ｎｏ）、すなわち選択した外部通信ＩＦ２１が１つである場合に、エントリーポイント推定部１４は、その外部通信ＩＦ２１を、エントリーポイントと推定する（ステップＳ１１９）。

　ステップＳ１１５の処理、ステップＳ１１７の処理、ステップＳ１１８の処理、または、ステップＳ１１９の処理が終了した場合に、エントリーポイント推定部１４は、推定したエントリーポイントを、そのエントリーポイント推定処理の推定結果として出力する（ステップＳ１２０）。

　ステップＳ１２０の処理が終了すると、エントリーポイント推定部１４は、そのエントリーポイント推定処理を終了する。

　図１６および図１７は、攻撃ターゲット推定部１５が行う攻撃ターゲット推定処理のフローチャートである。

　図１６および図１７に示すように、攻撃ターゲット推定処理が開始されると、攻撃ターゲット推定部１５は、取得部１１により取得された、車載ネットワーク情報と、異常検知情報と、車両制御イベント履歴とを取得し、車載ネットワーク情報を参照して、車載ネットワーク２０に含まれる複数のＥＣＵ２２のうちの１つのＥＣＵ２２を選択する（ステップＳ９０）。

　そして、攻撃ターゲット推定部１５は、異常通知情報を参照して、選択中のＥＣＵ２２が備えるＩＤＳ２３が、異常を検知したか否かを調べる（ステップＳ２００）。

　ステップＳ２００の処理において、選択中のＥＣＵ２２が備えるＩＤＳ２３が異常を検知した場合に（ステップＳ２００：Ｙｅｓ）、攻撃ターゲット推定部１５、車両制御イベント履歴を参照して、選択中のＥＣＵ２２による車両制御イベントが発生したか否かを調べる（ステップＳ２０１）。

　ステップＳ２０１の処理において、選択中のＥＣＵ２２による車両制御イベントが発生した場合に（ステップＳ２０１：Ｙｅｓ）、攻撃ターゲット推定部１５は、選択中のＥＣＵ２２に対して、そのＥＣＵ２２の異常状態を「異常検知（攻撃リスク高）」と推定し、そのＥＣＵ２２の攻撃ターゲットリスクを５と算出する（ステップＳ２０２）。

　ステップＳ２０１の処理において、選択中のＥＣＵ２２による車両制御イベントが発生しなかった場合に（ステップＳ２０１：Ｎｏ）、攻撃ターゲット推定部１５は、異常通知情報と車両制御イベント履歴とを参照して、選択中のＥＣＵ２２の直前のＩＤＳ２３が、異常を検知したか否かを調べる（ステップＳ２０３）。

　ステップＳ２０３の処理において、選択中のＥＣＵ２２の直前のＩＤＳ２３が、異常を検知した場合に（ステップＳ２０３：Ｙｅｓ）、攻撃ターゲット推定部１５は、選択中のＥＣＵ２２に対して、そのＥＣＵ２２の異常状態を「異常検知」と推定し、そのＥＣＵ２２の攻撃ターゲットリスクを４と算出する（ステップＳ２０４）。

　ステップＳ２０３の処理において、選択中のＥＣＵ２２の直前のＩＤＳ２３が、異常を検知しなかった場合に（ステップＳ２０３：Ｎｏ）、攻撃ターゲット推定部１５は、選択中のＥＣＵ２２に対して、そのＥＣＵ２２の異常状態を「誤検知」と推定し、そのＥＣＵ２２の攻撃ターゲットリスクを２と算出する（ステップＳ２０５）。

　ステップＳ２００の処理において、選択中のＥＣＵ２２が備えるＩＤＳ２３が異常を検知しなかった場合に（ステップＳ２００：Ｎｏ）、攻撃ターゲット推定部１５は、車両制御イベント履歴を参照して、選択中のＥＣＵ２２による車両制御イベントが発生したか否かを調べる（ステップＳ２０６）。

　ステップＳ２０６の処理において、選択中のＥＣＵ２２による車両制御イベントが発生した場合に（ステップＳ２０６：Ｙｅｓ）、攻撃ターゲット推定部１５は、異常通知情報と車両制御イベント履歴とを参照して、選択中のＥＣＵ２２の直前のＩＤＳ２３が、異常を検知したか否かを調べる（ステップＳ２０７）。

　ステップＳ２０７の処理において、選択中のＥＣＵ２２の直前のＩＤＳ２３が、異常を検知した場合に（ステップＳ２０７：Ｙｅｓ）、攻撃ターゲット推定部１５は、選択中のＥＣＵ２２に対して、そのＥＣＵ２２の異常状態を「未検知」と推定し、そのＥＣＵ２２の攻撃ターゲットリスクを３と算出する（ステップＳ２０８）。

　ステップＳ２０７の処理において、選択中のＥＣＵ２２の直前のＩＤＳ２３が、異常を検知しなかった場合に（ステップＳ２０７：Ｎｏ）、攻撃ターゲット推定部１５は、選択中のＥＣＵ２２に対して、そのＥＣＵ２２の異常状態を「攻撃なし（イベントあり）」と推定し、そのＥＣＵ２２の攻撃ターゲットリスクを１と算出する（ステップＳ２０９）。

　ステップＳ２０６の処理において、選択中のＥＣＵ２２による車両制御イベントが発生しなかった場合に（ステップＳ２０６：Ｎｏ）、攻撃ターゲット推定部１５は、選択中のＥＣＵ２２に対して、そのＥＣＵ２２の異常状態を「攻撃なし」と推定し、そのＥＣＵ２２の攻撃ターゲットリスクを０と算出する（ステップＳ２１０）。

　ステップＳ２０２の処理、ステップＳ２０４の処理、ステップＳ２０５の処理、ステップＳ２０８の処理、ステップＳ２０９の処理、または、ステップＳ２１０の処理が終了した場合に、攻撃ターゲット推定部１５は、車載ネットワーク情報を参照して、車載ネットワーク２０に含まれる複数のＥＣＵ２２のうち、攻撃ターゲット推定処理において未だ選択したことがない未選択のＥＣＵ２２が存在するか否かを調べる（ステップＳ２１１）。

　ステップＳ２１１の処理において、未選択のＥＣＵ２２が存在する場合に（ステップＳ２１１：Ｙｅｓ）、攻撃ターゲット推定部１５は、未選択のＥＣＵ２２のうちの１つのＥＣＵ２２を選択し（ステップＳ９１）、ステップＳ２００の処理に進む。

　ステップＳ２１１の処理において、未選択のＥＣＵ２２が存在しない場合に（ステップＳ２１１：Ｎｏ）、攻撃ターゲット推定部１５は、算出した攻撃ターゲットリスクが最も大きいＥＣＵ２２を選択する（ステップＳ２１２）。

　ステップＳ２１２の処理において選択したＥＣＵ２２が複数存在する場合に（ステップＳ２１３：Ｙｅｓ）、攻撃ターゲット推定部１５は、それらＥＣＵ２２の攻撃ターゲットリスクが１と３と５とのうちのいずれかであるか否かを調べる（ステップＳ２１４）。

　ステップＳ２１４の処理において、攻撃ターゲットリスクが１と３と５とのうちのいずれかである場合に（ステップＳ２１４：Ｙｅｓ）、攻撃ターゲット推定部１５は、車両制御イベント履歴を参照して、それらＥＣＵ２２のうち、対応付けられた車両制御イベントリスクのスコアが最も小さい、すなわち、対応づけられた車両制御イベントが車両３０の安全性を脅かす深刻度が最も高いＥＣＵ２２を、攻撃ターゲットと推定する（ステップＳ２１５）。

　ステップＳ２１４の処理において、攻撃ターゲットリスクが１と３と５とのうちのいずれかでない場合に（ステップＳ２１４：Ｎｏ）、攻撃ターゲット推定部１５は、それらＥＣＵ２２の攻撃ターゲットリスクが２または４であるか否かを調べる（ステップＳ２１６）。

　ステップＳ２１６の処理において、攻撃ターゲットリスクが２または４である場合に（ステップＳ２１６：Ｙｅｓ）、攻撃ターゲット推定部１５は、異常検知情報を参照して、それらＥＣＵ２２のうち、対応付けられた異常検知スコアが最も大きいＥＣＵ２２を、攻撃ターゲットと推定する（ステップＳ２１７）。

　ステップＳ２１６の処理において、攻撃ターゲットリスクが２または４でない場合に（ステップＳ２１６：Ｎｏ）、攻撃ターゲット推定部１５は、異常検知情報と車載ネットワーク情報とを参照して、異常を検知した中間ノードまで最短で結ぶことができるＥＣＵ２２を、攻撃ターゲットと推定する（ステップＳ２１８）。

　ステップＳ２１２の処理において選択したＥＣＵ２２が複数存在しない場合に（ステップＳ２１３：Ｎｏ）、すなわち選択したＥＣＵ２２が１つである場合に、攻撃ターゲット推定部１５は、そのＥＣＵ２２を、攻撃ターゲットと推定する（ステップＳ２１９）。

　ステップＳ２１５の処理、ステップＳ２１７の処理、ステップＳ２１８の処理、または、ステップＳ２１９の処理が終了した場合に、攻撃ターゲット推定部１５は、推定した攻撃ターゲットを、その攻撃ターゲット推定処理の推定結果として出力する（ステップＳ２２０）。

　ステップＳ２２０の処理が終了すると、攻撃ターゲット推定部１５は、その攻撃ターゲット推定処理を終了する。

　図１８は、エントリーポイント推定部１４によりエントリーポイント推定処理が実行され、攻撃ターゲット推定部１５により攻撃ターゲット推定処理が実行された後において、攻撃経路推定結果テーブル管理部１７が更新した攻撃経路推定結果テーブルの一例を示す模式図である。

　図１８に示すように、攻撃経路推定結果テーブル管理部１７は、エントリーポイント推定部１４によりエントリーポイント推定処理が実行され、攻撃ターゲット推定部１５により攻撃ターゲット推定処理が実行されると、攻撃経路推定結果テーブルに対して、エントリーポイント推定部１４により推定された各外部通信ＩＦ２１の異常状態、または、攻撃ターゲット推定部１５により推定された各ＥＣＵ２２の異常状態を、推定結果として記録し、エントリーポイント推定部１４により算出された各外部通信ＩＦ２１のエントリーポイントリスク、または、攻撃ターゲット推定部１５により算出された各ＥＣＵ２２の攻撃ターゲットリスクを、リスクとして記録することで、攻撃経路推定結果テーブルを更新する。

　図１９は、攻撃経路推定部１２が行う攻撃経路推定処理のフローチャートである。

　図１９に示すように、攻撃経路推定処理が開始されると、攻撃経路推定部１２は、取得部１１により取得された、車載ネットワーク情報および異常検知情報と、エントリーポイント推定部１４により推定されたエントリーポイントと、攻撃ターゲット推定部１５により推定された攻撃ターゲットとを取得する（ステップＳ３００）。

　そして、攻撃経路推定部１２は、車載ネットワーク情報により示される車載ネットワーク２０の構成を参照して、エントリーポイントと攻撃ターゲットとを結ぶ１以上の経路のそれぞれを、攻撃経路候補と算出する（ステップＳ３１０）。

　１以上の攻撃経路候補を算出すると、攻撃経路推定部１２は、異常検知情報を参照して、１以上の攻撃経路候補のうち、異常を検知したＩＤＳ２３が最も多い攻撃経路候補を攻撃経路と推定する（ステップＳ３２０）。ここで、攻撃経路推定部１２は、異常を検知したＩＤＳ２３が最も多い攻撃経路候補が複数存在する場合には、それら複数の攻撃経路候補のそれぞれを、攻撃経路と推定する。

　ステップＳ３２０の処理が終了すると、攻撃経路推定部１２は、その攻撃経路推定処理を終了する。

　図２０は、攻撃経路信頼度算出部１６が行う攻撃経路信頼度算出処理のフローチャートである。

　図２０に示すように、攻撃経路信頼度算出処理が開始されると、攻撃経路信頼度算出部１６は、エントリーポイント推定部１４により算出された、エントリーポイントのエントリーポイントリスクと、攻撃ターゲット推定部１５により算出された、攻撃ターゲットの攻撃ターゲットリスクとを取得する（ステップＳ４００）。

　そして、攻撃経路信頼度算出部１６は、取得した、エントリーポイントのエントリーポイントリスクと攻撃ターゲットの攻撃ターゲットリスクとの平均を、攻撃経路信頼度と算出する（ステップＳ４１０）。

　攻撃経路信頼度を算出すると、攻撃経路信頼度算出部１６は、攻撃経路推定部１２により推定された攻撃経路が複数であるか否かを調べる（ステップＳ４２０）。

　ステップＳ４２０の処理において、攻撃経路推定部１２により推定された攻撃経路が複数である場合に（ステップＳ４２０：Ｙｅｓ）、攻撃経路信頼度算出部１６は、攻撃経路信頼度を、攻撃経路の数で補正する（ステップＳ４３０）。ここでは、攻撃経路信頼度算出部１６は、攻撃経路信頼度を、攻撃経路の数で除算することで、攻撃経路信頼度を補正するとして説明する。しかしながら、攻撃経路信頼度算出部１６は、攻撃経路信頼度を、攻撃経路の数で補正することができれば、必ずしも、攻撃経路信頼度を、攻撃経路の数で除算することで、攻撃経路信頼度を補正する構成に限定される必要はない。

　ステップＳ４３０の処理が終了すると、攻撃経路信頼度算出部１６は、その攻撃経路信頼度算出処理を終了する。

　なお、ステップＳ４１０の処理において、攻撃経路信頼度算出部１６は、エントリーポイントのエントリーポイントリスクと攻撃ターゲットの攻撃ターゲットリスクとの平均を、攻撃経路信頼度と算出するとして説明した。これに対して、攻撃経路信頼度算出部１６は、他の方法で攻撃経路信頼度を算出するとしてもよい。例えば、攻撃経路信頼度算出部１６は、取得部１１により取得された車載ネットワーク情報により示される車載ネットワーク２０の構成と、取得部１１により取得された異常検知情報とを参照して、「攻撃経路上における異常を検知したＩＤＳ２３の数」を「攻撃経路上のＩＤＳ２３の総数」で除算して得られる、０．０より大きく１．０以下の数値を、攻撃経路信頼度と算出してもよい。

　図２１、図２２は、攻撃経路推定部１２により攻撃経路推定処理が実行され、攻撃経路信頼度算出処理が実行された後において、攻撃経路推定結果テーブル管理部１７が更新した攻撃経路推定結果テーブルの一例を示す模式図である。ここで、図２１は、攻撃経路推定部１２が１つの攻撃経路を推定した場合における攻撃経路推定結果テーブルの一例を示す模式図であり、図２２は攻撃経路推定部１２が複数（ここでは、２つ）の攻撃経路を推定した場合における攻撃経路推定結果テーブルの一例を示す模式図である。

　図２１、図２２に示すように、攻撃経路推定結果テーブル管理部１７は、攻撃経路推定部１２により攻撃経路推定処理が実行され、攻撃経路信頼度算出処理が実行されると、攻撃経路推定結果テーブルに対して、攻撃経路推定部１２により推定された攻撃経路のそれぞれについて、攻撃経路に該当するノードにマークを記録し、攻撃経路信頼度算出部１６により算出された攻撃経路信頼度を記録することで、攻撃経路推定結果テーブルを更新する。

　図２３は、表示制御部１８が行う第１表示制御処理のフローチャートである。

　図２３に示すように、第１表示制御処理が開始されると、表示制御部１８は、取得部１１により取得された車載ネットワーク情報と、攻撃経路推定部１２により推定された攻撃経路と、攻撃経路推定結果テーブル管理部１７により管理される攻撃経路履歴とを取得する（ステップＳ５００）。

　そして、表示制御部１８は、車載ネットワーク情報により示される車載ネットワーク２０の構成を参照して、車載ネットワークの構成を示す車載ネットワーク構成図を表示装置４１に表示するように表示制御信号を算出する（ステップＳ５１０）。

　さらに、表示制御部１８は、攻撃経路を参照して、攻撃経路を他の部分とは異なる表示方法で表示装置４１に表示するように表示制御信号を算出する（ステップＳ５２０）。

　さらに、表示制御部１８は、攻撃経路履歴をテーブル形式で表示装置４１に表示するように表示制御信号を算出する（ステップＳ５３０）。

　そして、表示制御部１８は、算出した表示制御信号を、表示装置４１に出力する（ステップＳ５４０）。

　ステップＳ５４０の処理が終了すると、表示制御部１８は、その第１表示制御処理を終了する。

　図２４は、表示制御部１８が第１表示処理を実行することで出力する表示制御信号により制御された表示装置４１が表示する画面の一例を示す模式図である。

　図２４に示すように、表示装置４１は、表示制御部１８から出力される表示制御信号により制御されることで、（１）攻撃経路推定部１２により推定された攻撃経路が他の経路と異なる表示方法で表示される車載ネットワーク構成図と、（２）攻撃経路推定部１２により過去において推定された１以上の攻撃経路のそれぞれについて、その攻撃経路に対応する異常通知を識別する異常通知ＩＤと、その攻撃経路の攻撃経路信頼度と、その攻撃経路のエントリーポイントと、そのエントリーポイントのエントリーポイントリスクと、その攻撃経路の攻撃ターゲットと、その攻撃ターゲットの攻撃ターゲットリスクとを、互いに対応付けたテーブル形式のリストとを表示する。

　なお、表示制御部１８は、第１表示制御処理を行う代わりに、第２表示制御処理を行うとしてもよい。

　図２５は、表示制御部１８が行う第２表示制御処理のフローチャートである。

　図２５に示すように、第２表示制御処理は、第１表示制御処理から、ステップＳ５００の処理に替えてステップＳ５０５の処理が実行され、ステップＳ５３０の処理とステップＳ５４０の処理との間に、ステップＳ５３１の処理とステップＳ５３２の処理とが実行される処理である。

　このため、ここでは、ステップＳ５０５の処理と、ステップＳ５３１の処理と、ステップＳ５３２の処理とを中心に説明する。

　図２５に示すように、第２表示制御処理が開始されると、表示制御部１８は、取得部１１により取得された車載ネットワーク情報および異常検知情報と、攻撃経路推定部１２により推定された攻撃経路と、攻撃経路推定結果テーブル管理部１７により管理される攻撃経路履歴とを取得し（ステップＳ５０５）、ステップＳ５１０の処理に進む。

　ステップＳ５３０の処理が終了すると、表示制御部１８は、異常検知情報を参照して、攻撃経路に含まれない、異常を検知したＩＤＳ２３が存在するか否かを調べる（ステップＳ５３１）。

　ステップＳ５３０の処理において、攻撃経路に含まれない、異常を検知したＩＤＳ２３が存在する場合に（ステップＳ５３１：Ｙｅｓ）、表示制御部１８は、該当するＩＤＳを含むノードを、攻撃経路とも他の部分とも異なる表示方法で表示装置４１に表示するように表示制御信号を算出する（ステップＳ５３２）。

　ステップＳ５３０の処理において、攻撃経路に含まれない、異常を検知したＩＤＳ２３が存在しない場合（ステップＳ５３１：Ｎｏ）、または、ステップＳ５３２の処理が終了した場合に、ステップＳ５４０の処理に進む。

　ステップＳ５４０の処理が終了すると、表示制御部１８は、その第２表示制御処理を終了する。

　図２６は、表示制御部１８が第２表示処理を実行することで出力する表示制御信号により制御された表示装置４１が表示する画面の一例を示す模式図である。

　図２６に示すように、表示装置４１は、表示制御部１８から出力される表示制御信号により制御されることで、（１）攻撃経路推定部１２により推定された攻撃経路が他の経路と異なる表示方法で表示され、さらに、攻撃経路に含まれない、異常を検知したＩＤＳ２３を含むノードが、攻撃経路とも他の部分とも異なる表示方法で表示される車載ネットワーク構成図と、（２）攻撃経路推定部１２により過去において推定された１以上の攻撃経路のそれぞれについて、その攻撃経路に対応する異常通知を識別する異常通知ＩＤと、その攻撃経路の攻撃経路信頼度と、その攻撃経路のエントリーポイントと、そのエントリーポイントのエントリーポイントリスクと、その攻撃経路の攻撃ターゲットと、その攻撃ターゲットの攻撃ターゲットリスクとを、互いに対応付けたテーブル形式のリストとを表示する。

　＜考察＞
　上述したように、攻撃解析装置１０によると、車載ネットワーク２０に対する攻撃があった場合に、その攻撃における、エントリーポイントと攻撃ターゲットとを含む攻撃経路を推定することができる。これにより、攻撃解析装置１０を利用するユーザは、車載ネットワーク２０に対する攻撃があった場合に、その攻撃の分析、その攻撃と過去の事例との照合等といった、その攻撃の解析作業のコストを削減することができる。

　また、上述したように、攻撃解析装置１０によると、表示装置４１に、推定される攻撃経路が他の経路と異なる表示方法で表示される車載ネットワーク構成図を表示させることができる。これにより、攻撃解析装置１０を利用するユーザは、推定される攻撃経路を、視覚的に認識することができる。

　（補足）
　以上のように、本出願において開示する技術の例示として、実施の形態に基づいて説明した。しかしながら、本開示は、この実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の１つまたは複数の態様の範囲内に含まれてもよい。

　（１）実施の形態において、攻撃解析装置１０は、車載ネットワーク２０の外部に存在する監視サーバ４０により実現されるとして説明した。しかしながら、攻撃解析装置１０は、必ずしも監視サーバ４０により実現される例に限定される必要はなく、さらには、車載ネットワーク２０の外部の装置において実現される例に限定される必要もない。一例として、攻撃解析装置１０が、車載ネットワーク２０に含まれる統合ＥＣＵにより実現される例が考えられる。

　図２７は、変形例に係る統合ＥＣＵ２４Ａの構成の一例を示すブロック図である。統合ＥＣＵ２４Ａは、例えば、いわゆるコンピュータ装置であって、プロセッサ（図示されず）と、メモリ（図示されず）とを備え、メモリに記憶されたプログラムをプロセッサが実行することで、攻撃解析装置１０を実現する。

　（２）攻撃解析装置１０に含まれる構成要素の一部または全部は、専用または汎用の回路として実現されてもよい。

　攻撃解析装置１０に含まれる構成要素の一部または全部は、例えば、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などを含んで構成されるコンピュータシステムである。ＲＯＭには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。

　なお、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、あるいはＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（３）本開示の一態様は、このような攻撃解析装置１０だけではなく、攻撃解析装置１０に含まれる特徴的な構成部をステップとする異常検知方法であってもよい。また、本開示の一態様は、攻撃解析方法に含まれる特徴的な各ステップをコンピュータに実行させるコンピュータプログラムであってもよい。また、本開示の一態様は、そのようなコンピュータプログラムが記録された、コンピュータ読み取り可能な非一時的な記録媒体であってもよい。

　本開示は、ネットワークに対するサイバー攻撃を解析する攻撃解析装置に広く利用可能である。

　１　攻撃監視システム
　１０　攻撃解析装置
　１１　取得部
　１２　攻撃経路推定部
　１３　出力部
　１４　エントリーポイント推定部
　１５　攻撃ターゲット推定部
　１６　攻撃経路信頼度算出部
　１７　攻撃経路推定結果テーブル管理部
　１８　表示制御部
　２０　車載ネットワーク
　２１　外部通信インターフェース（外部通信ＩＦ）
　２１Ａ　外部通信ＩＦ＿Ａ
　２１Ｂ　外部通信ＩＦ＿Ｂ
　２１Ｃ　外部通信ＩＦ＿Ｃ
　２１Ｄ　外部通信ＩＦ＿Ｄ
　２２　制御ＥＣＵ（ＥＣＵ）
　２２Ａ　ＥＣＵ＿Ａ
　２２Ｂ　ＥＣＵ＿Ｂ
　２２Ｃ　ＥＣＵ＿Ｃ
　２２Ｄ　ＥＣＵ＿Ｄ
　２３　ＩＤＳ
　２３Ａ　ＩＤＳ＿Ａ
　２３Ｂ　ＩＤＳ＿Ｂ
　２３Ｃ　ＩＤＳ＿Ｃ
　２３Ｄ　ＩＤＳ＿Ｄ
　２３Ｅ　ＩＤＳ＿Ｅ
　２３Ｆ　ＩＤＳ＿Ｆ
　２３Ｇ　ＩＤＳ＿Ｇ
　２３Ｈ　ＩＤＳ＿Ｈ
　２３Ｉ　ＩＤＳ＿Ｉ
　２３Ｊ　ＩＤＳ＿Ｊ
　２３Ｋ　ＩＤＳ＿Ｋ
　２３Ｌ　ＩＤＳ＿Ｌ
　２４、２４Ａ　統合ＥＣＵ
　２５　ＣＡＮ
　２６　イーサネット
　２７　セキュリティマスタ
　２８　車両制御イベント管理部
　２９　ゲートウェイ
　３０　車両
　４０　監視サーバ
　４１　表示装置
　５０　外部ネットワーク

Claims

　複数の外部通信インターフェースと複数の制御ＥＣＵとを含む車載ネットワークの構成を示す車載ネットワーク情報と、前記車載ネットワークにおける１以上のノードにおいて検知された異常検知結果を示す異常検知情報と、を取得する取得部と、
　前記車載ネットワーク情報と前記異常検知情報とに基づいて、前記車載ネットワークに対する攻撃における、当該攻撃の前記車載ネットワークへの侵入地点である外部通信インターフェースを示すエントリーポイントと当該攻撃の攻撃目標である制御ＥＣＵを示す攻撃ターゲットとを含む当該攻撃の攻撃経路を推定する攻撃経路推定部と、
　前記攻撃経路を出力する出力部と、を備える
　攻撃解析装置。
　前記取得部は、さらに、前記車載ネットワークが外部と行った通信イベントの履歴を示す外部通信イベント履歴と、前記車載ネットワークを搭載する車両が行った車両制御イベントの履歴を示す車両制御イベント履歴と、を取得し、
　前記攻撃解析装置は、さらに、
　前記車載ネットワーク情報と前記異常検知情報と前記外部通信イベント履歴とに基づいて、前記エントリーポイントを推定するエントリーポイント推定部と、
　前記車載ネットワーク情報と前記異常検知情報と前記車両制御イベント履歴とに基づいて前記攻撃ターゲットを推定する攻撃ターゲット推定部と、を備え、
　前記攻撃経路推定部は、前記エントリーポイント推定部により推定された前記エントリーポイントと、前記攻撃ターゲット推定部により推定された前記攻撃ターゲットとに基づいて、前記攻撃経路を推定する
　請求項１に記載の攻撃解析装置。
　前記エントリーポイント推定部は、前記複数の外部通信インターフェースのそれぞれについて、前記エントリーポイントとしての信頼度を示すエントリーポイントリスクを算出し、算出したエントリーポイントリスクのそれぞれに基づいて、前記エントリーポイントを推定し、
　前記攻撃ターゲット推定部は、前記複数の制御ＥＣＵのそれぞれについて、前記攻撃ターゲットとしての信頼度を示す攻撃ターゲットリスクを算出し、算出した攻撃ターゲットリスクのそれぞれに基づいて、前記攻撃ターゲットを推定する
　請求項２に記載の攻撃解析装置。
　さらに、前記エントリーポイント推定部により算出された、前記エントリーポイントの前記エントリーポイントリスクと、前記攻撃ターゲット推定部により算出された、前記攻撃ターゲットの前記攻撃ターゲットリスクとに基づいて、前記攻撃経路に対して、前記攻撃経路としての信頼度を示す攻撃経路信頼度を算出する攻撃経路信頼度算出部を備え、
　前記出力部は、さらに、前記攻撃経路信頼度を出力する
　請求項３に記載の攻撃解析装置。
　前記出力部は、前記攻撃経路を含む表示制御信号であって、表示装置に対して、前記車載ネットワークの構成を示す構成図を表示するように、かつ、前記構成図において、前記攻撃経路を他の部分とは異なる表示方法で表示するように前記表示装置を制御する表示制御信号を出力する表示制御部を備える
　請求項１から請求項４のいずれか１項に記載の攻撃解析装置。
　コンピュータにより実行される攻撃解析方法であって、
　複数の外部通信インターフェースと複数の制御ＥＣＵとを含む車載ネットワークの構成を示す車載ネットワーク情報と、前記車載ネットワークにおける１以上のノードにおいて検知された異常検知結果を示す異常検知情報と、を取得し、
　前記車載ネットワーク情報と前記異常検知情報とに基づいて、前記車載ネットワークに対する攻撃における、当該攻撃の前記車載ネットワークへの侵入地点である外部通信インターフェースを示すエントリーポイントと当該攻撃の攻撃目標である制御ＥＣＵを示す攻撃ターゲットとを含む当該攻撃の攻撃経路を推定し、
　前記攻撃経路を出力する
　攻撃解析方法。
　コンピュータに攻撃解析処理を実行させるためのプログラムであって、
　前記攻撃解析処理は、
　複数の外部通信インターフェースと複数の制御ＥＣＵとを含む車載ネットワークの構成を示す車載ネットワーク情報と、前記車載ネットワークにおける１以上のノードにおいて検知された異常検知結果を示す異常検知情報と、を取得し、
　前記車載ネットワーク情報と前記異常検知情報とに基づいて、前記車載ネットワークに対する攻撃における、当該攻撃の前記車載ネットワークへの侵入地点である外部通信インターフェースを示すエントリーポイントと当該攻撃の攻撃目標である制御ＥＣＵを示す攻撃ターゲットとを含む当該攻撃の攻撃経路を推定し、
　前記攻撃経路を出力する、処理を含む
　プログラム。