WO2022181495A1

WO2022181495A1 - 情報処理システム、情報処理方法、及びプログラム

Info

Publication number: WO2022181495A1
Application number: PCT/JP2022/006735
Authority: WO
Inventors: 靖伸千葉
Original assignee: Ｎｔｔセキュリティ・ジャパン株式会社
Priority date: 2021-02-26
Filing date: 2022-02-18
Publication date: 2022-09-01
Also published as: JP2022131504A; CN116917893A; EP4300332A1; US20230379344A1

Abstract

ネットワーク、及びネットワークを介して通信を行う複数の構成要素を含むシステムにおいて、攻撃を検知したときに、攻撃に加担又は関与した構成要素を推定することを容易にするために、情報処理システムは、ネットワーク、及び前記ネットワークを介して通信を行う複数の構成要素を含むシステムのログデータを取得する取得部と、前記システムで攻撃が検知された場合、前記ログデータと前記システムのネットワーク構成情報とに基づいて、前記攻撃の経路に関連する前記構成要素の情報を含む１つ以上の攻撃経路の情報を出力する出力部と、を有する。

Description

情報処理システム、情報処理方法、及びプログラム

　本発明は、情報処理システム、情報処理方法、及びプログラムに関する。

　自動車等の車両に搭載されたセキュリティセンサからの出力データを解析することで、サイバー攻撃等の攻撃を検知し、その影響範囲等を特定する車両用のＳＯＣ（Security Operation Center）を実現する技術がある。

　例えば、ＳＯＣサーバにおいて、車載ネットワークから送信されるログデータに基づいて、異常動作を検知して、影響の範囲、危険の度合い、脅威の種別又は原因等を推定し、車両に対応指示を送信するシステムが知られている（例えば、特許文献１参照）。

特開２０２０－１１９０９０号公報

　サイバー攻撃等の攻撃に対して対策を行うためには、複数の段階から構成される攻撃において、当該攻撃に加担又は関与したシステムの構成要素を特定した上で、（当該構成要素の特徴から導き出せる）攻撃により発生し得る事象を明確化することが望ましい。特に、多数の構成要素から構成される車両のようなシステムでは、攻撃に加担又は関与したシステムの構成要素を特定せずに、攻撃が成功した要因や攻撃により発生しうる事象を明確化することは困難である。

　特許文献１には、例えば、異常動作を示すログデータを発生した装置と同一のバス上に接続されている装置を、異常動作が及ぼす影響の範囲として推定すること等が開示されているが、これだけでは、攻撃に加担又は関与した装置を推定することは困難である。

　本発明の一実施形態は、上記の問題点に鑑みてなされたものであって、ネットワーク、及びネットワークを介して通信を行う複数の構成要素を含むシステムにおいて、攻撃を検知したときに、攻撃に加担又は関与した構成要素を推定することを容易にする。

　上記の課題を解決するため、本発明の一実施形態に係る情報処理システムは、ネットワーク、及び前記ネットワークを介して通信を行う複数の構成要素を含むシステムのログデータを取得する取得部と、前記システムで攻撃が検知された場合、前記ログデータと前記システムのネットワーク構成情報とに基づいて、前記攻撃の経路に関連する前記構成要素の情報を含む１つ以上の攻撃経路の情報を出力する出力部と、を有する。

　本発明の一実施形態によれば、ネットワーク、及びネットワークを介して通信を行う複数の構成要素を含むシステムにおいて、攻撃を検知したときに、攻撃に加担又は関与した構成要素を推定することが容易になる。

一実施形態に係る情報処理システムの全体構成の例を示す図である。一実施形態に係る車載ネットワークの構成の一例を示す図である。一実施形態に係るコンピュータのハードウェア構成の例を示す図である。一実施形態に係るＳＯＣサーバの機能構成の例を示す図である。一実施形態に係る推定部の機能構成の例を示す図である。一実施形態に係るネットワーク構成情報の例を示す図（１）である。一実施形態に係るネットワーク構成情報の例を示す図（２）である。一実施形態に係るネットワーク構成情報の例を示す図（３）である。一実施形態に係るネットワーク構成情報の例を示す図（４）である。一実施形態に係るネットワーク構成情報の例を示す図（５）である。一実施形態に係るネットワーク構成情報の例を示す図（６）である。一実施形態に係るネットワーク構成情報の例を示す図（７）である。一実施形態に係るネットワーク構成情報の例を示す図（８）である。一実施形態に係るネットワーク構成情報の例を示す図（９）である。一実施形態に係るネットワーク構成情報の例を示す図（１０）である。一実施形態に係るログデータの例を示す図である。一実施形態に係るＳＯＣサーバの処理の例を示すフローチャートである。一実施形態に係る関連ログ抽出処理の例を示すフローチャートである。一実施形態に係る関連ログ抽出処理について説明するための図（１）である。一実施形態に係る関連ログ抽出処理について説明するための図（２）である。一実施形態に係るログデータの関連付け処理の例を示すフローチャートである。一実施形態に係る間接比較による抽出処理について説明するための図である。一実施形態に係る構成要素の特定処理の例を示すフローチャートである。一実施形態に係る構成要素の特定処理について説明するための図である。一実施形態に係る接続関係の特定処理の例を示すフローチャートである。一実施形態に係る接続関係の特定処理について説明するための図である。一実施形態に係る攻撃経路の特定処理の例を示すフローチャートである。一実施形態に係る攻撃経路の特定処理について説明するための図である。

　以下、図面を参照して本発明の実施形態を説明する。なお、以下で説明する実施形態は一例であり、本発明が適用される実施の形態は、以下の実施の形態に限られない。

　＜全体構成＞
　図１は、一実施形態に係る情報処理システムの全体構成の例を示す図である。情報処理システム１は、例えば、通信ネットワークを介して、互いに通信可能なＳＯＣ（Security Operation Center）サーバ１０、及びＳＩＲＴ（Security Incident Response Team）サーバ４０等を有する。

　ＳＯＣサーバ１０は、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。ＳＯＣサーバ１０は、例えば、自動車等の車両２０が送信する車載ネットワーク１００のログデータを取得し、取得したログデータを用いて、車両２０に対するサイバー攻撃の検知、及び攻撃経路の特定等を行う車両用のセキュリティ監視を行う。例えば、ＳＯＣサーバ１０は、車両２０に対するサイバー攻撃（以下、単に「攻撃」と呼ぶ）を検知した場合、攻撃を検知したことを示す情報、及び１つ以上の攻撃経路の情報を含むレポートをＳＩＲＴサーバ４０等に送信する。

　ここで、攻撃経路とは、検知した攻撃の経路に関連する、車載ネットワーク１００の構成要素、当該構成要素間の接続関係、又は攻撃の進行方向等を表す。好ましくは、攻撃経路は、攻撃の進行を、車載ネットワーク１００に接続する構成要素をノード、通信経路をリンクとした有向グラフで表現したものである。ただし、これに限られず、攻撃経路は、方向を含まない無向グラフで表現したものであっても良いし、攻撃に加担、又は関与した構成要素を列挙したもの等であっても良い。

　ＳＯＣサーバ１０は、１つ以上の車両２０が送信するログデータ３１を、１つ以上の車両２０から収集するログサーバ３０等から取得する。ただし、これに限られず、ＳＯＣサーバ１０は、１つ以上の車両２０が送信するログデータ３１を、移動通信ネットワークを介して、１つ以上の車両２０から取得しても良い。例えば、ログサーバ３０の機能は、ＳＯＣサーバ１０が有していても良い。

　また、ＳＯＣサーバ１０は、例えば、Ａｕｔｏ－ＩＳＡＣ（Automotive Information Sharing and Analysis Center）等が運用する外部サーバ５０から、インターネット等の通信ネットワークを介して、セキュリティ情報５１を取得することができる。このセキュリティ情報５１には、例えば、コネクテッドカー関連のサイバー脅威、及び潜在的な脆弱性等の様々なサイバーセキュリティ情報が含まれる。

　ＳＯＣサーバ１０は、取得したログデータ３１、及びセキュリティ情報５１に基づいて、車両２０に対する攻撃を検知しても良いし、車両２０、又はログサーバ３０等から通知される攻撃検知通知等によって車両２０に対する攻撃を検知しても良い。

　また、ＳＯＣサーバ１０は、車両２０に対する攻撃を検知したときに、取得したセキュリティ情報５１、又はＳＩＲＴサーバ４０からの指示等に基づいて、車両２０に対する暫定処置を実施する機能を有していても良い。

　ＳＩＲＴサーバ４０は、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。ＳＩＲＴサーバ４０は、例えば、車両メーカ、又は車載装置メーカ等が、自社が製造、販売した製品の安全を確保するために、製品の安全性を脅かす外的脅威に対するセキュリティ対応を行う組織（ＳＩＲＴ）が運用するサーバである。なお、ＳＩＲＴは、ＰＳＩＲＴ（Product Security Incident Response Team）とも呼ばれる。

　ＳＩＲＴサーバ４０は、例えば、ＳＯＣサーバ１０が送信するセキュリティに関するレポートに基づいてメーカごとに決定された対応方針等が入力された場合、当該対応方針を含む恒久処置を、車両２０に実施する機能を有する。また、ＳＩＲＴサーバ４０は、外部サーバ５０とセキュリティ情報５１を共有し、セキュリティ情報５１に基づいて、車両２０に対する暫定処置を、ＳＯＣサーバ１０、又は車両２０に指示する機能を有していても良い。

　（車載ネットワークの例）
　図２は、一実施形態に係る車載ネットワークの一例を示している。なお、車両２０に搭載される車載ネットワーク１００の構成は、車両メーカによって異なるため、図２に示す車載ネットワーク１００の構成は、あくまで一例である。

　図２の例では、車載ネットワーク１００は、情報系ＮＷ（ネットワーク）２１０、駆動系ＮＷ２２０、シャーシ系ＮＷ２３０、ボディ系ＮＷ２４０、・・・等の複数のネットワーク、外部通信装置２６０、ＯＤＢ－２コネクタ２７０、及びゲートウェイ２００等を含む。

　情報系ＮＷ２１０は、例えば、イーサネット（登録商標）、又はＣＡＮ（Control Area Network）（登録商標）、ＭＯＳＴ（Media Oriented Systems Transport）（登録商標）等のバス（通信路）２１１に接続する１つ以上のＥＣＵ（Electronic Control Unit）を含む。ＥＣＵは、所定のプログラムを実行することにより、所定の制御機能を実現する電子制御装置である。情報系ＮＷ２１０に接続されるＥＣＵ２０１ａ、２０１ｂには、例えば、車両２０内において、情報の提供と、娯楽の提供を実現するＩＶＩ（In-Vehicle Infotainment）等の車載装置が含まれる。ＩＶＩは、例えば、カーナビゲーション、オーディオ、ビデオプレーヤ、及び車両の設定等の機能に加え、例えば、ＵＳＢ（Universal Serial Bus）、Ｂｌｕｅｔｏｏｔｈ（登録商標）、無線ＬＡＮ（Local Area Network）等による通信機能を有している。

　駆動系ＮＷ２２０は、例えば、ＣＡＮ、又はＦｌｅｘＲａｙ（登録商標）等のバス（通信路）２２１に接続する１つ以上のＥＣＵ２５０ｃ、２５０ｄ等を含む。駆動系ＮＷ２２０に接続されるＥＣＵ２５０ｃ、２５０ｄには、例えば、センサ、及びアクチュエータ等が接続され、所定のプログラムの実行することにより、エンジン、ブレーキ、又はモータ等を制御する。

　シャーシ系ＮＷ２３０は、例えば、ＣＡＮ、又はＦｌｅｘＲａｙ等のバス（通信路）２３１に接続する１つ以上のＥＣＵ２５０ｅ、２５０ｆ等を含む。シャーシ系ＮＷ２３０に接続されるＥＣＵ２５０ｅ、２５０ｆには、例えば、センサ、及びアクチュエータ等が接続され、所定のプログラムを実行することにより、ステアリング、又はサスペンション等を制御する。

　ボディ系ＮＷ２４０は、例えば、ＣＡＮ、又はＬＩＮ（Local Interconnect Network）等のバス（通信路）２４１に接続する１つ以上のＥＣＵ２５０ｇ、２５０ｈ等を含む。ボディ系ＮＷ２４０に接続されるＥＣＵ２５０ｇ、２５０ｈには、例えば、センサ、及びアクチュエータ等が接続され、所定のプログラムを実行することにより、主にエアコン、ドア、ランプ等の内装品を制御する。なお、以下の説明において、ＥＣＵ２５０ａ～２５０ｈのうち、任意のＥＣＵを示す場合、「ＥＣＵ２５０」を用いる。

　外部通信装置２６０は、例えば、イーサネット等のネットワーク（通信路）２６５で、ゲートウェイ２００に接続される移動通信装置２６１、及びＶ２Ｘ（Vehicle-to-Everything）通信装置２６２等を含む。移動通信装置２６１は、例えば、ＬＴＥ（Long Term Evolution）、又は５Ｇ（5th Generation）等の移動通信ネットワーク２０１を介して、通信ネットワーク２０２に接続し、ログサーバ３０、ＳＯＣサーバ１０、又はＳＩＲＴサーバ４０等と通信を行う。Ｖ２Ｘ通信装置２６２は、例えば、ＤＳＲＣ（Dedicated Short Range Communications）通信、又はセルラーＶ２Ｘ通信等により、車車間通信、路車間通信、又は歩車間通信等を行う。

　ＯＢＤ－２コネクタ２７０は、車載ネットワーク１００に、故障診断を行う診断装置等を接続するためのコネクタである。

　ゲートウェイ２００は、情報系ＮＷ２１０、駆動系ＮＷ２２０、シャーシ系ＮＷ２３０、ボディ系ＮＷ２４０、外部通信装置２６０、及びＯＢＤ－２コネクタ２７０に接続され、ネットワーク間のデータ転送、及びプロトコル変換等を行う中継装置である。

　なお、ゲートウェイ２００、移動通信装置２６１、及びＶ２Ｘ通信装置２６２等は、例えば、ＥＣＵ２５０によって実現されるものであっても良い。また、以下の説明において、複数のＥＣＵ２５０、ゲートウェイ２００、移動通信装置２６１、Ｖ２Ｘ通信装置２６２、及びＯＢＤ－２コネクタ２７０等、車載ネットワーク１００を介して通信する構成要素を、単に「構成要素」と呼ぶ場合がある。

　（ログデータについて）
　車載ネットワーク１００に含まれるゲートウェイ２００、外部通信装置２６０、及びＥＣＵ２５０等の構成要素は、自己の動作履歴等を示すログデータを継続的に取得し、取得したログデータを、ログサーバ３０等に送信する機能を有している。

　例えば、ゲートウェイ２００には、ファイアウォール、ＩＤＳ（Intrusion Detection System）、アンチウィルス、メッセージフィルタ、又はエラーセンサ等のセキュリティセンサが実装されている。ゲートウェイ２００は、これらのセキュリティセンサで所定イベント（例えば、エラー等）が発生すると、発生したイベントの情報を含むログデータを生成し、生成したログデータを所定のタイミングでログサーバ３０等に送信する。

　同様に、外部通信装置２６０、及びＥＣＵ２５０にも、例えば、ファイアウォール、ＩＤＳ、アンチウィルス、メッセージフィルタ、又はエラーセンサ等のセキュリティセンサが実装されている。外部通信装置２６０、及びＥＣＵ２５０は、これらのセキュリティセンサで所定イベント（例えば、エラー等）が発生すると、発生したイベントの情報を含むログデータを生成し、生成したログデータを所定のタイミングでログサーバ３０等に送信する。

　なお、車載ネットワーク１００の移動通信装置２６１は、生成されたログデータを記憶部等に記憶しておき、所定のタイミングで、記憶部等に記憶したログデータを、ログサーバ３０等にまとめて送信しても良い。

　（処理の概要）
　例えば、車載ネットワーク１００に対する攻撃に対して対策を行うためには、複数の段階から構成される攻撃において、当該攻撃に加担又は関与したシステムの構成要素を特定した上で、攻撃により発生し得る事象を明確化することが望ましい。特に、図２に示すように複数のネットワーク、及び通信プロトコルを含む車載ネットワーク１００等では、攻撃に加担又は関与したシステムの構成要素を特定せずに、攻撃が成功した要因や攻撃により発生しうる事象を明確化することは困難である。

　特許文献１には、例えば、異常動作を示すログデータを発生した装置と同一のバス上に接続されている装置を、異常動作が及ぼす影響の範囲として推定すること等が開示されている。しかし、この方法では、例えば、図２の情報系ＮＷ２１０で、エラーが検知された場合、情報系ＮＷ２１０のバス２１１に接続されているＥＣＵ２５０ａ、２５０ｂ、・・・等が列挙されるだけであり、攻撃に加担又は関与したシステムの構成要素を特定することはできない。

　そこで、本実施形態に係るＳＯＣサーバ１０は、例えば、図２に示すような車載ネットワーク１００において、攻撃が検知されたときに、当該攻撃が可能な攻撃経路を列挙する機能を有している。

　例えば、ＳＯＣサーバ１０は、例えば、図２に示すような車載ネットワーク１００のネットワーク構成に関するネットワーク構成情報を、記憶部等に予め記憶しておく。或いは、ＳＯＣサーバ１０は、車載ネットワーク１００のネットワーク構成情報を、車両２０、又は外部サーバ５０等から取得するものであっても良い。

　また、ＳＯＣサーバ１０は、車載ネットワーク１００で攻撃が検知された場合、車載ネットワーク１００のログデータとネットワーク構成情報とに基づいて、攻撃の経路に関連する構成要素の情報を含む１つ以上の攻撃経路の情報を出力する。好ましくは、ＳＯＣサーバ１０は、攻撃に関連する構成要素をノードとし、攻撃に関連するノード間の通信経路をリンクとした有向グラフで、攻撃経路の情報を出力する。なお、攻撃経路の情報を出力する方法については、具体的な実施形態を例示して後述する。

　これにより、本実施形態に係る情報処理システム１によれば、ネットワーク、及びネットワークを介して通信を行う複数の構成要素を含む車載ネットワーク１００において、攻撃を検知したときに、攻撃に加担又は関与した構成要素を推定することが容易になる。

　なお、本実施形態は、車載ネットワーク１００と同様に、ネットワーク構成情報を特定可能な他の情報処理システムにも適用することができる。

　＜ハードウェア構成＞
　図２のＥＣＵ２５０、ゲートウェイ２００、移動通信装置２６１、及びＶ２Ｘ通信装置２６２等は、例えば、図３に示すようなコンピュータ３００のハードウェア構成を有している。また、図１のＳＯＣサーバ１０、ＳＩＲＴサーバ４０、ログサーバ３０、及び外部サーバ５０等は、例えば、１つ以上のコンピュータ３００によって構成される。

　図３は、一実施形態に係るコンピュータのハードウェア構成の例を示す図である。コンピュータ３００は、例えば、ＣＰＵ（Central Processing Unit）３０１、メモリ３０２、ストレージデバイス３０３、ネットワークＩ／Ｆ（Interface）３０４、及び内部バス３０５等を有している。また、コンピュータ３００は、外部接続Ｉ／Ｆ３０６、出力装置３０７、入力装置３０８、又は通信装置３０９等を、さらに有していても良い。

　ＣＰＵ３０１は、例えば、メモリ３０２、又はストレージデバイス３０３等の記憶媒体に記憶したプログラムを実行することにより、様々な機能を実現するプロセッサである。メモリ３０２には、ＣＰＵ３０１が一時的な記憶領域として利用する揮発性のメモリであるＲＡＭ（Random Access Memory）、及びＣＰＵ３０１の起動用のプログラム等を記憶する不揮発性のメモリであるＲＯＭ（Read Only Memory）等が含まれる。ストレージデバイス３０３は、例えば、ＳＳＤ（Solid State Drive）、又はＨＤＤ（Hard Disk Drive）等の大容量の記憶デバイスである。ネットワークＩ／Ｆ３０４は、コンピュータ３００を通信ネットワーク２０２、又は車載ネットワーク１００等のネットワークに接続する１つ以上のインタフェースを含む。

　外部接続Ｉ／Ｆ３０６は、コンピュータ３００に外部装置を接続するためのインタフェースである。外部接続Ｉ／Ｆ３０６には、例えば、センサ、アクチュエータ、情報端末、又は外部メモリ等の様々なデバイスが接続され得る。出力装置３０７は、外部への出力を行う出力デバイス（例えば、ディスプレイ、スピーカ、又はランプ等）である。入力装置３０８は、外部からの入力を受け付ける入力デバイス（例えば、キーボード、マウス、マイクロフォン、スイッチ、ボタン、又はセンサ等）等である。なお、入力装置３０８と出力装置３０７は、一体となった入出力装置（例えば、タッチパネルディスプレイ等）であっても良い。通信装置３０９は、例えば、ＬＴＥ、５Ｇ等の移動通信、無線ＬＡＮ通信、又はＢｌｕｅｔｏｏｔｈ等の近距離無線通信等の様々な通信を行う通信デバイスである。内部バス３０５は、上記の各構成要素に共通に接続され、例えば、アドレス信号、データ信号、及び各種の制御信号等を伝送する。

　＜機能構成＞
　（ＳＯＣサーバの機能構成）
　図４は、一実施形態に係るＳＯＣサーバの機能構成の例を示す図である。ＳＯＣサーバ１０は、ＳＯＣサーバ１０が備える１つ以上のコンピュータ３００で所定のプログラムを実行することにより、取得部４０１、推定部４０２、及び出力部４０３等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。

　また、ＳＯＣサーバ１０は、一例として、図３のストレージデバイス３０３等の記憶部に、ネットワーク構成情報４１０を記憶している。また、別の一例として、ネットワーク構成情報４１０は、ＳＯＣサーバ１０の外部のストレージサーバ等に記憶しているものであっても良い。

　取得部４０１は、１つ以上の車両２０の車載ネットワーク１００が送信するログデータ３１を、例えば、ログサーバ３０等から取得する取得処理を実行する。なお、車載ネットワーク１００は、ネットワーク、及び前記ネットワークを介して通信を行う複数の構成要素を含むシステムの一例である。

　出力部４０３は、車載ネットワーク１００で攻撃が検知された場合、取得部４０１が取得したログデータと、ネットワーク構成情報４１０とに基づいて、攻撃の経路に関連する構成要素の情報を含む１つ以上の攻撃経路の情報を出力する出力処理を実行する。

　推定部４０２は、取得部４０１が取得したログデータ３１のうち、所定の期間のログデータを関連付けることにより、攻撃の経路に関連する構成要素の情報を含む１つ以上の攻撃経路を推定する推定処理を実行する。

　上記の構成により、出力部４０３は、例えば、推定部４０２が、ログデータ３１とネットワーク構成情報４１０とに基づいて推定した、１つ以上の攻撃経路の情報を含むレポートを、ＳＩＲＴサーバ４０等に出力する。

　なお、図４に示すＳＯＣサーバ１０の機能構成は一例である。例えば、推定部４０２の機能は、出力部４０３に含まれていても良い。また、ＳＯＣサーバ１０は、ログデータ３１に基づいて、攻撃を検知する機能を有し、外部からの攻撃検知通知によらずに、車載ネットワーク１００に対する攻撃を検知しても良い。さらに、推定部４０２は、ＳＯＣサーバの外部（例えば、外部サーバ５０、又は車両２０等）から、攻撃が検知された車両２０に対応するネットワーク構成情報のみを取得するものであっても良い。

　変形例として、出力部４０３は、攻撃を受けた車両２０のネットワーク構成情報、及びログデータを学習データとし、攻撃経路の情報を教師データとして予め機械学習した推定モデル等を用いて、１つ以上の攻撃経路の情報を推定し、出力しても良い。この場合、ＳＯＣサーバ１０は、攻撃が検知された車両２０のネットワーク構成情報、及びログデータを、学習済の推定モデルに入力することにより、１つ以上の攻撃経路の情報を取得することができるので、推定部４０２を有していなくても良い。

　（推定部の機能構成）
　図５は、一実施形態に係る推定部の機能構成の例を示す図である。推定部４０２は、例えば、構成情報取得部５０１、関連ログ抽出部５０２、構成要素特定部５０３、接続関係特定部５０４、及び攻撃経路特定部５０５等を有する。

　構成情報取得部５０１は、例えば、ＳＯＣサーバ１０が備えるストレージデバイス３０３等に予め記憶したネットワーク構成情報４１０から、攻撃が検知された車両２０に対応するネットワーク構成情報を取得する。なお、構成情報取得部５０１は、例えば、外部サーバ５０、又は車両２０等から、攻撃が検知された車両２０に対応するネットワーク構成情報を取得するものであっても良い。

　ネットワーク構成情報４１０には、例えば、図４に示すように、トポロジ情報ＤＢ（Database）４１１、ネットワーク情報ＤＢ４１２、アプリケーション情報ＤＢ４１３、ＥＣＵ情報ＤＢ４１４、及び通信パターンＤＢ４１５等が含まれる。

　図６Ａ～図１０Ｂは、一実施形態に係るネットワーク構成情報の例を示す図である。図６Ａは、一実施形態に係るトポロジ情報ＤＢ４１１の一例のイメージを示している。トポロジ情報ＤＢ４１１には、複数の車両２０の車載ネットワーク１００のトポロジ情報が記憶されている。

　図６Ａの例では、トポロジ情報ＤＢ４１１には、項目として、車両識別番号、ノードＸ、ノードＹの情報が含まれる。車両識別番号は、車両２０を識別する識別情報であり、例えば、ＶＩＮ（Vehicle Identification Number）等を適用することができる。ノードＸは、接続元の構成要素（ＥＣＵ等）、ノードＹは、接続先の構成要素を示す。

　図６Ａに示すトポロジ情報ＤＢ４１１において、車両識別番号「JP000000000000001」の車両２０の車載ネットワーク１００は、図６Ｂに示すように、ノードＸ「ＴＣＵ６０１」がノードＹ「ＣＧＷ６０２」に接続されていることが示されている。同様に、ノードＸ「ＣＧＷ６０２」が、２つのノードＹ「ＩＶＩ６０３」、及び「ＥＮＧＩＮＥ６０４」に接続されていることが示されている。

　なお、トポロジ情報ＤＢ４１１は、図６Ｂのように、ＴＣＵ６０１、ＣＧＷ６０２、ＩＶＩ６０３、ＥＮＧＩＮＥ６０４等の構成要素をノードとし、構成要素間の接続関係をリンク６１１、６１２、６１３で表すグラフ形式で記憶されていても良い。

　図７Ａ、図７Ｂは、一実施形態に係るネットワーク情報ＤＢ４１２の一例のイメージを示している。ネットワーク情報ＤＢ４１２には、複数の車両２０の車載ネットワーク１００に含まれる各ＥＣＵ（構成要素の一例）に接続する通信路の情報が記憶されている。

　図７Ａの例では、ネットワーク情報ＤＢ４１２－１には、項目として、車両識別番号、ＥＣＵ、Ｅｔｈｅｒｎｅｔ（登録商標）インタフェース、及びＥｔｈｅｒｎｅｔセグメント等の情報が含まれる。車両識別番号は、前述したように車両２０を識別する識別情報である。ＥＣＵは、車載ネットワーク１００に接続する構成要素の名称、又は識別情報である。Ｅｔｈｅｒｎｅｔインタフェースは、各構成要素が持つイーサネットインタフェースの名称、又は識別情報である。Ｅｔｈｅｒｎｅｔセグメントは、各構成要素がイーサネットインタフェースを介して接続するイーサネットセグメント（イーサネットインタフェースにおいて通信が行われる物理ネットワークの最小単位）の名称、又は識別情報である。

　図７Ａに示すネットワーク情報ＤＢ４１２－１には、例えば、車両識別番号「JP000000000000001」の車両２０のＥＣＵ「ＴＣＵ」のＥｔｈｅｒｎｅｔインタフェース「eth0」がＥｔｈｅｒｎｅｔセグメント「Ethernet-0」に接続されていることが示されている。同様に、ＥＣＵ「ＣＧＷ」のＥｔｈｅｒｎｅｔインタフェース「eth0」がＥｔｈｅｒｎｅｔセグメント「Ethernet-0」に接続されていること等が示されている。

　図７Ｂの例では、ネットワーク情報ＤＢ４１２－２には、項目として、車両識別番号、ＥＣＵ、ＣＡＮインタフェース、及びＣＡＮバス等の情報が含まれる。車両識別番号は、前述したように車両２０を識別する識別情報である。ＥＣＵは、車載ネットワーク１００に接続する構成要素の名称、又は識別情報である。ＣＡＮインタフェースは、各構成要素が持つＣＡＮインタフェースの名称、又は識別情報である。ＣＡＮバスは、各構成要素がＣＡＮインタフェースを介して接続するＣＡＮバスの名称、又は識別情報である。

　図７Ｂに示すネットワーク情報ＤＢ４１２－２には、例えば、車両識別番号「JP000000000000001」の車両２０のＥＣＵ「ＣＧＷ」、及び「ＩＶＩ」のＣＡＮインタフェース「can0」がＣＡＮバス「CAN-0」に接続されていること等が示されている。また、ＥＣＵ「ＣＧＷ」のＣＡＮインタフェース「can1」がＣＡＮバス「CAN-1」も接続され、ＥＣＵ「ＥＮＧＩＮＥ」のＣＡＮインタフェース「can0」がＣＡＮバス「CAN-1」に接続されていること等が示されている。このように、ネットワーク情報ＤＢ４１２は、複数のネットワーク情報ＤＢ４１２－１、４１２－２によって構成されていても良い。

　図８Ａ、図８Ｂは、一実施形態に係るアプリケーション情報ＤＢ４１３の一例のイメージを示している。アプリケーション情報ＤＢ４１３には、複数の車両２０の車載ネットワーク１００に含まれる各アプリケーション（構成要素の別の一例）に対応する通信路の情報、及び識別情報等が記憶されている。

　図８Ａの例では、アプリケーション情報ＤＢ４１３－１には、項目として、車両識別番号、Ｅｔｈｅｒｎｅｔセグメント、アプリケーション識別子、及びアプリケーション等の情報が含まれる。車両識別番号は、前述したように車両２０を識別する識別情報である。Ｅｔｈｅｒｎｅｔセグメントは、アプリケーションを実行するＥＣＵが接続されているイーサネットセグメントの名称、又は識別情報等を示す情報である。アプリケーション識別情報は、アプリケーションを識別する識別情報である。アプリケーションは、アプリケーションの名称、又は機能等を示す情報である。

　図８Ａに示すアプリケーション情報ＤＢ４１３－１には、例えば、車両識別番号「JP000000000000001」の車両２０でアプリケーション「渋滞情報通知」を実行するＥＣＵが、Ｅｔｈｅｒｎｅｔセグメント「Ethernet-0」に接続されていること等が示されている。

　図８Ｂの例では、アプリケーション情報ＤＢ４１３－２には、項目として、車両識別番号、ＣＡＮバス、ＣＡＮＩＤ、アプリケーション等の情報が含まれる。車両識別番号は、前述したように車両２０を識別する識別情報である。ＣＡＮバスは、アプリケーションを実行するＥＣＵが接続されているＣＡＮバスの名称、又は識別情報等を示す情報である。ＣＡＮＩＤは、アプリケーションが利用するＣＡＮＩＤを示す情報である。なお、ＣＡＮＩＤは、ＣＡＮバスで送信されるデータに含まれる、データ内容、及び送信先のノード等を示す識別子である。アプリケーションは、アプリケーションの名称、又は機能等を示す情報である。

　図８Ｂに示すアプリケーション情報ＤＢ４１３－２には、車両識別番号「JP000000000000001」の車両２０でアプリケーション「回転数通知」を実行するＥＣＵが、ＣＡＮバス「CAN-0」に接続され、ＣＡＮＩＤ「0x192」を用いること等が示されている。このように、アプリケーション情報ＤＢ４１３は、複数のアプリケーション情報ＤＢ４１３－１、４１３－２によって構成されていても良い。

　図９Ａ、図９Ｂは、一実施形態に係るＥＣＵ情報ＤＢ４１４の一例のイメージを示している。ＥＣＵ情報ＤＢ４１４には、複数の車両２０の車載ネットワークに含まれる各構成要素に対応する通信アドレス、又は識別情報等が記憶されている。

　図９Ａの例では、ＥＣＵ情報ＤＢ４１４－１には、項目として、車両識別番号、ＭＡＣアドレス、及びＥＣＵ等の情報が含まれる。車両識別番号は、前述したように車両２０を識別する識別情報である。ＭＡＣ（Media Access Control address）アドレスは、ＥＣＵに割り当てられたＭＡＣアドレスを示す情報である。ＥＣＵは、車載ネットワーク１００に接続するＥＣＵ（構成要素の一例）の名称、又は識別情報等を示す情報である。

　図９Ａに示すＥＣＵ情報ＤＢ４１４－１には、例えば、車両識別番号「JP000000000000001」の車両２０におけるＥＣＵ「ＴＣＵ」のＭＡＣアドレスが「02:00:00:00:01:01」であること等が示されている。

　図９Ｂの例では、ＥＣＵ情報ＤＢ４１４－２には、項目として、車両識別番号、ＩＰアドレス、及びＥＣＵ等の情報が含まれる。車両識別番号は、前述したように車両２０を識別する識別情報である。ＩＰ（Internet Protocol）アドレスは、ＥＣＵ割り当てられたＩＰアドレスを示す情報である。ＥＣＵは、車載ネットワーク１００に接続するＥＣＵ（構成要素の一例）の名称、又は識別情報等を示す情報である。

　図９Ｂに示すＥＣＵ情報ＤＢ４１４－２には、例えば、車両識別番号「JP000000000000001」の車両２０におけるＥＣＵ「ＣＧＷ」のＩＰアドレスが「192.168.0.2」であること等が示されている。このように、ＥＣＵ情報ＤＢ４１４は、複数のＥＣＵ情報ＤＢ４１４－１、４１４－２によって構成されていても良い。

　図１０Ａ、図１０Ｂは、一実施形態に係る通信パターン情報ＤＢ４１５の一例のイメージを示している。通信パターン情報ＤＢ４１５には、複数の車両２０の車載ネットワークに含まれる構成要素間の通信パターンの情報が記憶されている。

　図１０Ａの例では、通信パターン情報ＤＢ４１５－１には、項目として、車両識別番号、ＣＡＮバス、ＣＡＮＩＤ、及び受信ＥＣＵ等の情報が含まれる。車両識別番号は、前述したように、車両２０を識別する識別情報である。ＣＡＮバスは、受信ＥＣＵが接続するＣＡＮバスの名称、又は識別情報等を示す情報である。ＣＡＮＩＤは、受信ＥＣＵが受信するＣＡＮデータのＣＡＮＩＤを示す情報である。受信ＥＣＵは、ＣＡＮデータを受信するＥＣＵの名称、又は識別情報等を示す情報である。

　図１０Ａに示す通信パターン情報ＤＢ４１５－１には、例えば、車両識別番号「JP000000000000001」の車両２０において、ＣＡＮバス「CAN-0」のＣＡＮＩＤ「0x192」のデータを受信する受信ＥＣＵが「ＩＶＩ」であること等が示されている。

　図１０Ｂの例では、通信パターン情報ＤＢ４１５－２には、項目として、車両識別番号、送信元ＩＰアドレス、宛先ＩＰアドレス、ＩＰプロトコル、送信元ポート番号、及び宛先ポート番号等の情報が含まれている。車両識別番号は、前述したように、車両２０を識別する識別情報である。送信元ＩＰアドレスは、送信元の構成要素のＩＰアドレスである。宛先ＩＰアドレスは、宛先の構成要素のＩＰアドレスである。ＩＰプロトコルは、例えば、ＵＤＰ（User Datagram Protocol）、又はＴＣＰ（Transmission Control Protocol）等の通信プロトコルを示す情報である。送信元ポート番号は、送信元のポート番号を示す情報である。宛先ポート番号は、宛先のポート番号を示す情報である。

　図１０Ｂに示す通信パターン情報ＤＢ４１５－２には、例えば、車両識別番号「JP000000000000001」の車両２０において、送信元ＩＰアドレス「192.168.0.1」、宛先ＩＰアドレス「192.168.0.2」で送信される通信パターンがあることが示されている。また、当該通信パターンでは、ＩＰプロトコル「ＵＤＰ」、及び宛先ポート番号「３１０００」で通信が行われること等が示されている。このように、通信パターン情報ＤＢ４１５は、複数の通信パターン情報ＤＢ４１５－１、４１５－２によって構成されていても良い。

　ここで、図５に戻り、推定部４０２の機能構成の説明を続ける。

　構成情報取得部５０１は、例えば、図６～１０で説明したネットワーク構成情報４１０のうち、攻撃が検知された車両２０の車両識別番号に対応するネットワーク構成情報を取得する。

　関連ログ抽出部５０２は、取得部４０１が取得したログデータ３１から、検知された攻撃に関連するログデータを抽出する。例えば、関連ログ抽出部５０２は、取得部４０１が取得したログデータ３１から、攻撃が検知された車両２０の車両識別番号に対応するログデータを取得する。また、関連ログ抽出部５０２は、攻撃が検知された車両２０の車両識別番号に対応するログデータから、予め設定された所定の期間のログデータを取得する。

　好ましくは、関連ログ抽出部５０２は、構成情報取得部５０１が取得したネットワーク構成情報を用いて、抽出した複数のログデータを関連付ける。例えば、関連ログ抽出部５０２は、抽出した複数のログデータを、比較可能と予め定義した項目を直接、又は間接的に比較することにより、検知された攻撃に関連するログデータを抽出する。

　構成要素特定部５０３は、関連ログ抽出部５０２が抽出したログデータから、検知された攻撃に関連する構成要素（ＥＣＵ等）を特定する構成要素特定処理を実行する。

　接続関係特定部５０４は、構成情報取得部５０１が取得したネットワーク構成情報に含まれるトポロジ情報を用いて、構成要素特定部５０３が特定した構成要素間の接続関係を特定する接続特定処理を実行する。

　攻撃経路特定部５０５は、構成情報取得部５０１が取得したネットワーク構成情報に含まれる通信パターン情報、及びログデータの検知日時等を用いて、接続関係特定部５０４が特定した接続関係における攻撃の進行方向を特定する攻撃経路の特定処理を実行する。なお、構成要素特定部５０３が実行する構成要素の特定処理、接続関係特定部５０４が実行する接続関係の特定処理、及び攻撃経路特定部５０５が実行する攻撃経路の特定処理については、具体的な実施形態を例示して後述する。

　（ログデータの例）
　図１１は、一実施形態に係るログデータの例を示す図である。図１１の例では、ログデータ３１には、項目として、検知日時、車両識別情報、センサ名、ＥＣＵ名、入力インタフェース名、出力インタフェース名、送信元ＭＡＣアドレス、送信先ＭＡＣアドレス、アプリケーション識別子、ＣＡＮＩＤ、及び検知イベント等の情報が含まれる。

　検知日時は、予め定められた検知イベントが検知された日時を示す情報である。車両識別番号は、当該検知イベントが検知された車両２０の車両識別番号を示す情報である。センサ名は、当該検知イベントを検知したセキュリティセンサの名称、又は機能等を示す情報である。ＥＣＵ名は、当該検知イベントを検知したＥＣＵの名称、又は識別情報等を示す情報である。

　入力インタフェース名は、検知イベントの検知がＥＣＵにおけるデータの入力に起因する場合に、データが入力されたインタフェースの名称、又は識別情報等を示す情報である。出力インタフェース名は、検知イベントの検知がＥＣＵにおけるデータの出力に起因する場合に、データを出力したインタフェースの名称、又は識別情報等を示す情報である。送信元ＭＡＣアドレスは、検知イベントを検知したデータに含まれる送信元ＭＡＣアドレスを示す情報である。送信先ＭＡＣアドレスは、検知イベントを検知したデータに含まれる送信先ＭＡＣアドレスを示す情報である。

　アプリケーション識別子は、検知イベントを検知したデータに含まれるアプリケーション識別子を示す情報である。ＣＡＮＩＤは、検知イベントを検知したデータに含まれるＣＡＮＩＤを示す情報である。検知イベントは、検知した検知イベントの名称、又は識別情報等を示す情報である。

　なお、ログデータ３１の各レコードには、例えば、車両２０の車載ネットワーク１００で予め定められた検知イベントが検知されたとき等に、検知イベントを検知したＥＣＵがログサーバに送信したログデータが記憶される。

　＜処理の流れ＞
　続いて、本実施形態に係る情報処理方法の処理の流れについて説明する。

　（ＳＯＣサーバの処理）
　図１２は、一実施形態に係るＳＯＣサーバの処理の例を示すフローチャートである。ここでは、図４、５で説明したＳＯＣサーバ１０、及び推定部４０２が実行する処理の概要について説明する。なお、詳細な処理内容については、図１３～２１を用いて後述する。

　ステップＳ１２０１において、ＳＯＣサーバ１０は、例えば、ログサーバ３０、又は車両２０等から、攻撃を検知したことを示す攻撃検知通知を受け付けると、ステップＳ１２０２以降の処理を実行する。なお、攻撃検知通知には、例えば、攻撃を受けた車両２０の車両識別番号（ＶＩＮ）、及び攻撃を検知した検知時刻等の情報が含まれる。

　ステップＳ１２０２において、取得部４０１は、例えば、ログサーバ３０等から、図１１に示すようなログデータ３１を取得する。

　ステップＳ１２０３において、推定部４０２の構成情報取得部５０１は、攻撃検知通知に含まれる、攻撃を受けた車両２０の車両識別番号に対応するネットワーク構成情報を、ネットワーク構成情報４１０に含まれる各ＤＢ４１１～４１５から取得する。

　ステップＳ１２０４において、推定部４０２の関連ログ抽出部５０２は、取得部４０１が取得したログデータ３１から、攻撃に関連するログデータを抽出する関連ログ抽出処理を実行する。

　ステップＳ１２０５において、推定部４０２の構成要素特定部５０３は、関連ログ抽出部５０２が抽出したログデータと、構成情報取得部５０１が取得したネットワーク構成情報とを用いて、攻撃に関連する構成要素を特定する構成要素の特定処理を実行する。

　ステップＳ１２０６において、推定部４０２の接続関係特定部５０４は、構成情報取得部５０１が取得したネットワーク構成情報に含まれるトポロジ情報を用いて、構成要素特定部５０３が特定した構成要素間の接続関係を特定する接続関係特定処理を実行する。

　ステップＳ１２０７において、推定部４０２の攻撃経路特定部５０５は、構成情報取得部５０１が取得したネットワーク構成情報に含まれる通信パターン情報、又はログデータの検知日時等に基づいて、攻撃の進行方向を特定する攻撃経路の特定処理を実行する。

　ステップＳ１２０８において、ＳＯＣサーバ１０の出力部４０３は、推定部４０２が推定した１つ以上の攻撃経路の情報を出力する。例えば、出力部４０３は、検知された攻撃に関連する構成要素をノード、攻撃の進行に利用された通信路をリンクとして、攻撃の進行を有向グラフで表現した１つ以上の攻撃経路を列挙したレポートを、ＳＩＲＴサーバ４０等に出力する。

　（関連ログの抽出処理）
　図１３は、一実施形態に係る関連ログ抽出処理の例を示すフローチャートである。この処理は、図１２のステップＳ１２０４で、関連ログ抽出部５０２が実行する関連ログの抽出処理の一例を示している。

　ステップＳ１３０１において、関連ログ抽出部５０２は、取得部４０１が取得したログデータ３１から、攻撃が検知された車両２０のログデータを取得する。取得部４０１が取得したログデータ３１には、例えば、図１４Ａに示すように、車両識別番号が異なる複数のログデータ１４０１～１４０６が含まれる。関連ログ抽出部５０２は、例えば、攻撃通知に含まれる車両識別番号が「JP000000000000001」である場合、複数のログデータ１４０１～１４０６のうち、車両識別番号「JP000000000000001」を含むログデータ１４０１、１４０２、１４０４～１４０６を選択的に取得する。

　ステップＳ１３０２において、関連ログ抽出部５０２は、ステップＳ１３０１で、攻撃が検知された車両２０のログデータを取得できたか否かを判断し、ログデータを取得できた場合、処理をステップＳ１３０３に移行させる。一方、関連ログ抽出部５０２は、ステップＳ１３０１で、攻撃が検知された車両２０のログデータを取得できない場合、図１３の処理を終了させる。

　ステップＳ１３０３に移行すると、関連ログ抽出部５０２は、ステップＳ１３０１で取得したログデータのうち、所定の期間内のログデータを抽出する。例えば、図１４Bに示すように、ステップＳ１３０１で取得したログデータ１４０１、１４０２、１４０４～１４０６には、検知日時の情報が含まれる。関連ログ抽出部５０２は、ログデータ１４０１、１４０２、１４０４～１４０６のうち、所定の期間を経過したログデータ（例えば、ログデータ１４０６）を除外して、所定の期間内のログデータ１４０１、１４０２、１４０４、１４０５を選択的に取得する。これにより、関連ログ抽出部５０２は、検知された攻撃との関連性が低い、古いデータを除外することができる。

　ステップＳ１３０４において、関連ログ抽出部５０２は、ステップＳ１３０３で、所定の期間内のログデータを取得できたか否かを判断し、ログデータを取得できた場合、処理をステップＳ１３０５に移行させる。一方、関連ログ抽出部５０２は、ステップＳ１３０３で、所定の期間内のログデータを取得できない場合、図１３の処理を終了させる。

　ステップＳ１３０５において、関連ログ抽出部５０２は、構成情報取得部５０１が取得したネットワーク構成情報を用いて、ステップＳ１３０３で抽出したログデータを関連付ける。例えば、関連ログ抽出部５０２は、図１５に示すようなログデータの関連付け処理を実行する。

　図１５は、一実施形態に係るログデータの関連付け処理の例を示すフローチャートである。この処理は、図１３のステップＳ１３０５において、関連ログ抽出部５０２が、図１３のステップＳ１３０３で取得した抽出したログデータに対して実行する処理の一例を示している。

　ステップＳ１５０１において、関連ログ抽出部５０２は、ステップＳ１３０３で抽出したログデータのうち、未取得のログデータの中から、一のログデータを取得する。

　ステップＳ１５０２において、関連ログ抽出部５０２は、ログデータを取得できたか否かを判断し、ログデータを取得できた場合、処理をステップＳ１５０３に移行させる。一方、関連ログ抽出部５０２は、ログデータを取得できない場合、処理をステップＳ１５０５に移行させる。

　ステップＳ１５０３において、関連ログ抽出部５０２は、取得した一のログデータと、図１３のステップＳ１３０３で抽出した他のログデータとを直接比較して、取得した一のログデータと関連する他のログデータを抽出する。

　例えば、関連ログ抽出部５０２は、取得した一のログデータにおいて、「直接比較可能」と事前定義された項目の値と、他のログデータの各々において、当該事前定義された項目と同じ意味を持つ項目の値とを比較し、値が一致するかを判断する。値が一致した場合、関連ログ抽出部５０２は、一致する値を含む他のログデータを抽出する。なお、ここでは、例えば、図１１に示すようなログデータ３１に含まれる項目のうち、例えば、送信元ＭＡＣアドレス、送信先ＭＡＣアドレス、アプリケーション識別子、又はＣＡＮＩＤ等が、「直接比較可能」と予め定義されているものとする。

　ステップＳ１５０４において、関連ログ抽出部５０２は、取得した一のログデータと、ステップＳ１５０３で抽出されなかった他のログデータとを間接比較して、取得した一のログデータと関連する他のログデータを抽出する。

　例えば、関連ログ抽出部５０２は、取得した一のログデータにおいて、「間接比較可能」と事前定義された項目の値をキーとし、事前定義したネットワーク構成情報（例えば、ネットワーク情報、アプリケーション情報等）を検索する。また、関連ログ抽出部５０２は、検索して得られた値と、ステップＳ１５０３で抽出されなかった他のログデータに含まれる項目の値とを比較し、値が一致する場合、一致する値を含む他のログデータを抽出する。

　図１６は、一実施形態に係る間接比較による抽出処理について説明するための図である。ここでは、図１４Ｂで抽出されたログデータ１４０１とログデータ１４０２とに、直接比較可能な項目がなく、間接比較する場合の例について説明する。なお、ここでは、構成情報取得部５０１は、図６～１０に示すような各ＤＢから、車両識別番号「JP000000000000001」に対応するレコードを、ネットワーク構成情報として取得済であるものとする。

　関連ログ抽出部５０２は、ログデータ１４０１における、例えば、ＥＣＵ名称「ＣＧＷ」、及び入力インタフェース名「eth0」をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、例えば、図１６に示すようなネットワーク情報１６０１が検索される。このネットワーク情報１６０１により、ログデータ１４０１は、Ｅｔｈｅｒｎｅｔセグメント「Ethernet-0」に関連するログデータであることが判る。

　続いて、関連ログ抽出部５０２は、Ｅｔｈｅｒｎｅｔセグメント「Ethernet-0」と、ログデータ１４０１における、例えば、アプリケーション識別子「0x123」とをキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、例えば、図１６に示すようなアプリケーション情報１６０２が検索される。関連ログ抽出部５０２は、このアプリケーション情報１６０２により、ログデータ１４０１が、アプリケーション「渋滞情報通知」に関するログデータであることを、間接的に特定することができる。

　同様にして、関連ログ抽出部５０２は、ログデータ１４０２における、例えば、ＥＣＵ名称「ＣＧＷ」、及び出力インタフェース名「can0」をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、例えば、図１６に示すようなネットワーク情報１６１１が検索される。このネットワーク情報１６１１により、ログデータ１４０２は、ＣＡＮバス「CAN-0」に関連するログデータであることが判る。

　続いて、関連ログ抽出部５０２は、ＣＡＮバス「CAN-0」と、ログデータ１４０２における、例えば、ＣＡＮＩＤ「0x2e8」とをキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、例えば、図１６に示すようなアプリケーション情報１６１２が検索される。関連ログ抽出部５０２は、このアプリケーション情報１６１２により、ログデータ１４０２も、アプリケーション「渋滞情報通知」に関するログデータであることを、間接的に特定することができる。この場合、関連ログ抽出部５０２は、ログデータ１４０２を、ログデータ１４０１に関連するログデータとして抽出する。

　ここで、図１５に戻り、フローチャートの説明を続ける。

　ステップＳ１５０４の処理が終わると、関連ログ抽出部５０２は、再びステップＳ１５０１、Ｓ１５０２の処理を実行し、未取得のログデータがなくなると、処理をステップＳ１５０５に移行させる。

　ステップＳ１５０５に移行すると、関連ログ抽出部５０２は、ステップＳ１５０３、Ｓ１５０４で抽出したログデータを、検知した攻撃に関連するログデータ（以下、関連ログデータと呼ぶ）として、構成要素特定部５０３等に出力する。

　（構成要素の特定処理）
　図１７は、一実施形態に係る構成要素の特定処理の例を示すフローチャートである。この処理は、図１２のステップＳ１２０５において、構成要素特定部５０３が実行する構成要素の特定処理の一例を示している。

　ステップＳ１７０１において、構成要素特定部５０３は、関連ログ抽出部５０２が抽出した関連ログデータのうち、未取得のログデータの中から、一のログデータを取得する。

　ステップＳ１７０２において、構成要素特定部５０３は、ステップＳ１７０１で、ログデータを取得できたか否かを判断し、ログデータを取得できた場合、処理をステップＳ１７０３に移行させる。一方、構成要素特定部５０３は、ステップＳ１７０１で、ログデータを取得できない場合、処理をステップＳ１７０６に移行させる。

　ステップＳ１７０３に移行すると、構成要素特定部５０３は、取得したログデータに記載されたＥＣＵ名を取得する。

　ステップＳ１７０４において、構成要素特定部５０３は、取得したログデータが、通信関係のログデータであるか否かを判断する。例えば、構成要素特定部５０３は、図１１に示したログデータ３１の項目のうち、送信元アドレス、送信先アドレス、又はＣＡＮＩＤ等の項目を含むログデータを、通信関係のログデータであると判断する。取得したログデータが通信関係のログデータである場合、構成要素特定部５０３は、処理をステップＳ１７０５に移行させる。一方、取得したログデータが通信関係のログデータでない場合、構成要素特定部５０３は、処理をステップＳ１７０１に戻す。

　ステップＳ１７０５に移行すると、構成要素特定部５０３は、通信関係のログデータから、通信元、及び通信先のＥＣＵ名を取得する。例えば、構成要素特定部５０３は、図１１に示したログデータ３１の項目のうち、送信元アドレス、送信先アドレス、又はＣＡＮＩＤ等をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索して、当該通信に関連するＥＣＵ名を取得する。

　図１８は、一実施形態に係る構成要素の特定処理について説明するための図である。ここでは、構成要素特定部５０３が、図１８に示すような通信関係のログデータ１４０１、１４０２から、通信元、又は通信先のＥＣＵ名を取得する場合の例について説明する。なお、ここでは、構成情報取得部５０１は、図６～１０に示すような各ＤＢから、車両識別番号「JP000000000000001」に対応するレコードを、ネットワーク構成情報として取得済であるものとする。

　構成要素特定部５０３は、ログデータ１４０１における、例えば、送信元ＭＡＣアドレス「02:00:00:00:01:01」、及び送信先ＭＡＣアドレス「02:00:00:00:01:02」をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、例えば、図１８に示すようなＥＣＵ情報１８０１が検索される。この場合、構成要素特定部５０３は、ＥＣＵ情報１８０１に含まれるＥＣＵ「ＴＣＵ」、「ＣＧＷ」を、攻撃の経路に関連するＥＣＵとして取得する。

　同様にして、構成要素特定部５０３は、ログデータ１４０２における、例えば、ＥＣＵ名称「ＣＧＷ」、出力インタフェース名「can0」、及びＣＡＮＩＤ「0x28」をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、例えば、図１８に示すようなネットワーク情報１８０２、及び通信パターン情報１８０３が検索される。この場合、ネットワーク情報１８０２と、通信パターン情報１８０３は、共通の項目であるＣＡＮバス「CAN-0」を有しているので、構成要素特定部５０３は、この２つの情報を関連付けて、受信ＥＣＵ「ＩＶＩ」を、攻撃の経路に関連するＥＣＵとして取得する。

　ここで、図１７に戻り、フローチャートの説明を続ける。

　ステップＳ１７０５の処理が終わると、構成要素特定部５０３は、再びステップＳ１７０１、Ｓ１７０２の処理を実行し、未取得のログデータがなくなると、処理をステップＳ１７０６に移行させる。

　ステップＳ１７０８に移行すると、構成要素特定部５０３は、ステップＳ１７０３、Ｓ１７０５で取得したＥＣＵ名を、攻撃に関連するＥＣＵとして、接続関係特定部５０４等に出力する。

　（接続関係の特定処理）
　図１９は、一実施形態に係る接続関係の特定処理の例を示すフローチャートである。この処理は、例えば、図１２のステップＳ１２０６において、接続関係特定部５０４が実行する接続関係の特定処理の一例を示している。

　ステップＳ１９０１において、接続関係特定部５０４は、構成情報取得部５０１が取得したネットワーク構成情報から、車載ネットワーク１００のトポロジ情報を取得する。例えば、接続関係特定部５０４は、図６Ｂに示すようなグラフ形式のトポロジ情報６００を取得する。或いは、接続関係特定部５０４は、図６Ａに示すようなリスト形式のトポロジ情報を取得して、図６Ｂに示すようなグラフ形式のトポロジ情報６００を生成しても良い。

　ステップＳ１９０２において、接続関係特定部５０４は、取得したトポロジ情報６００に含まれるノードの中から、例えば、図１８で構成要素特定部５０３が特定した、経路に関連するＥＣＵ１８００の各々に対応するノードを特定する。

　図２０は、一実施形態に係る接続関係の特定処理について説明するための図である。図２０の例では、接続関係特定部５０４は、ＥＣＵ名「ＴＣＵ」に基づいて、経路に関連するＥＣＵ１８００に含まれるＥＣＵ「ＴＣＵ」が、トポロジ情報６００のノード「ＴＣＵ６０１」に対応していることを特定する。同様にして、接続関係特定部５０４は、経路に関連するＥＣＵ１８００に含まれるＥＣＵ「ＣＧＷ」、「ＩＶＩ」が、それぞれ、トポロジ情報６００のノード「ＣＧＷ６０２」、「ＩＶＩ６０３」に対応していることを特定する。

　図１９のステップＳ１９０３において、接続関係特定部５０４は、ステップＳ１９０２で特定したノード間を接続するリンクを特定する。図２０の例では、接続関係特定部５０４は、ノード「ＴＣＵ６０１」と「ＣＧＷ６０２」とを接続するリンク６１１、及びノード「ＣＧＷ６０２」と「ＩＶＩ６０３」とを接続するリンク６１２とを特定する。これにおり、トポロジ情報６００から、攻撃の経路に関連しないノード「ＥＮＧＩＮＥ６０４」、及びリンク６１３が除外され、図２０に示すように、攻撃の経路に関連するノードとリンクとを示す接続関係情報２０１０が得られる。

　ステップＳ１９０４において、接続関係特定部５０４は、ステップＳ１９０１～Ｓ１９０３の処理で得た、接続関係情報２０１０を、攻撃経路特定部５０５等に出力する。

　（攻撃経路の特定処理）
　図２１は、一実施形態に係る攻撃経路の特定処理の例を示すフローチャートである。この処理は、例えば、図１２のステップＳ１２０７において、攻撃経路特定部５０５が実行する攻撃経路の特定処理の一例を示している。

　ステップＳ２１０１において、攻撃経路特定部５０５は、接続関係特定部５０４が出力する１つ以上の接続関係情報のうち、未取得の接続関係情報の中から、一の接続関係情報を取得する。例えば、攻撃経路特定部５０５は、図２０に示すような接続関係情報２０１０を取得する。

　ステップＳ２１０２において、攻撃経路特定部５０５は、ステップＳ２１０１で、接続関係情報を取得できたか否かを判断し、接続関係情報を取得できた場合、処理をステップＳ２１０３に移行させる。一方、攻撃経路特定部５０５は、ステップＳ２１０１で、接続関係情報を取得できない場合、処理をステップＳ２１０８に移行させる。

　ステップＳ２１０３に移行すると、攻撃経路特定部５０５は、例えば、図１２のステップＳ１２０４で関連ログ抽出部５０２が抽出した関連ログデータのうち、通信関連のログデータを取得する。例えば、攻撃経路特定部５０５は、関連ログデータのうち、送信元アドレス、送信先アドレス、又はＣＡＮＩＤ等の項目を含むログデータを、通信関係のログデータとして取得する。

　ステップＳ２１０４において、攻撃経路特定部５０５は、通信関連のログデータに含まれる、例えば、送信元アドレス、送信先アドレス、又はＣＡＮＩＤ等の項目の値をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、攻撃経路特定部５０５は、ステップＳ２１０１で取得した接続関係情報２０１０において、通信元、又は通信先となる構成要素を特定する。

　図２２は、一実施形態に係る攻撃経路の特定処理について説明するための図である。図２２において、攻撃経路特定部５０５は、例えば、ログデータ１４０１の送信元ＭＡＣアドレス「02:00:00:00:01:01」、及び送信先ＭＡＣアドレス「02:00:00:00:01:02」をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、攻撃経路特定部５０５は、例えば、図２２に示すようなＥＣＵ情報２２０１を検索結果として得ることができる。この場合、攻撃経路特定部５０５は、検索結果から、送信元ＭＡＣアドレスに対応するノード「ＴＣＵ６０１」を送信元、送信先ＭＡＣアドレスに対応するノード「ＣＧＷ６０２」を送信先と特定することができる。

　また、攻撃経路特定部５０５は、例えば、ログデータ１４０２のＥＣＵ名称「ＣＧＷ」、出力インタフェース名「can0」、及びＣＡＮＩＤ「0x2e8」をキーとして、構成情報取得部５０１が取得したネットワーク構成情報を検索する。これにより、攻撃経路特定部５０５は、例えば、図２２に示すような、ネットワーク情報２２０２、及び通信パターン情報２２０３を、検索結果として得ることができる。この場合、攻撃経路特定部５０５は、検索結果から、ＣＡＮＩＤ「0x2e8」に対応するノード「ＩＶＩ６０３」を送信先と特定することができる。

　図２１のステップＳ２１０５において、攻撃経路特定部５０５は、ステップＳ２１０４で特定した通信元、及び通信先から、ノード間のリンクの方向を特定する。例えば、図２２において、攻撃経路特定部５０５は、ノード「ＴＣＵ６０１」と「ＣＧＷ６０２」との間のリンク６１１を、送信元から送信先に向かう有向リンクに更新する。同様に、攻撃経路特定部５０５は、ノード「ＣＧＷ６０２」と「ＩＶＩ６０３」との間のリンク６１２を、送信先に向かう有向リンクに更新する。これにより、攻撃経路特定部５０５は、例えば、図２２に示すような攻撃経路情報２２１０を作成することができる。

　ステップＳ２１０６において、攻撃経路特定部５０５は、攻撃経路情報２２１０の全てのリンクが有向リンクになっているか否かを判断し、全リンクが有向リンクになっていない場合、処理をステップＳ２１０７に移行させる。一方、攻撃経路特定部５０５は、攻撃経路情報２２１０の全てのリンクが有向リンクになっている場合、処理をステップＳ２１０１に戻す。

　ステップ２１０２において、攻撃経路特定部５０５は、攻撃経路情報２２１０に含まれるリンクのうち、方向が特定されていないリンクの方向を、ログデータの日時情報に基づいて特定する。例えば、攻撃経路特定部５０５は、関連ログ抽出部５０２が抽出した関連ログデータのうち、構成要素を特定可能な情報（例えば、ＥＣＵ名、ＣＡＮＩＤ等）を含むログデータを、検知日時等によって昇順（又は降順）に整列（ソート）する。また、攻撃経路特定部５０５は、攻撃経路情報２２１０に含まれるリンクのうち、方向が特定されていないリンクの方向を、整列した順番に従って決定する。例えば、攻撃経路特定部５０５は、より早い検知日時を有するログデータを始点、より遅い検知日時を有するログデータを終点として、方向が特定されていないリンクの方向を決定する。

　ステップＳ２１０７の処理が終わると、攻撃経路特定部５０５は、再びステップＳ２１０１、Ｓ２１０２の処理を実行し、未取得の接続関係情報がなくなると、処理をステップＳ２１０８に移行させる。

　ステップＳ２１０８に移行すると、攻撃経路特定部５０５は、ステップＳ２１０３～Ｓ２１０７の処理で作成した１つ以上の攻撃経路情報を、出力部４０３に出力する。

　ＳＯＣサーバ１０の出力部４０３は、攻撃経路特定部５０５が出力した１つ以上の攻撃経路情報の情報を含むレポートを、例えば、ＳＩＲＴサーバ４０等に出力する。

　上記の各処理により、ＳＯＣサーバ１０は、車載ネットワーク１００で攻撃が検知された場合、車載ネットワーク１００のログデータとネットワーク構成情報とに基づいて、攻撃の経路に関連する構成要素の情報を含む１つ以上の攻撃経路の情報を出力する。また、ＳＯＣサーバ１０は、攻撃に関連する構成要素をノードとし、攻撃に関連するノード間の通信経路をリンクとした有向グラフで、攻撃経路の情報を出力することができる。

　なお、図１で説明した情報処理システム１のシステム構成、及び図４、５で説明したＳＯＣサーバ１０の機能構成は一例であり、様々な変形、及び応用が可能である。例えば、ＳＯＣサーバ１０が有する各機能構成のうち、少なくとも一部は、ＳＩＲＴサーバ４０、車両２０、ログサーバ３０、又は外部サーバ５０等が備えていても良い。また、ＳＯＣサーバ１０は、１つ以上の攻撃経路の情報を含むレポートを、ＳＩＲＴサーバ４０に限られず、例えば、車両２０、又は外部サーバ５０等に出力しても良い。

　また、本実施形態に係る情報処理システム、及び情報処理方法は、車両２０に搭載される車載ネットワーク１００に限られず、ネットワーク構成情報を特定可能な他の通信ネットワークにも適用することができる。

　さらに、ＳＯＣサーバ１０が出力する、検知された攻撃の経路に関連する構成要素の情報を含む１つ以上の攻撃経路の情報は、図２２に示すような攻撃経路情報２２１０に限られず、例えば、図２０に示すような接続関係情報２０１０であっても良い。ＳＯＣサーバ１０が出力する、検知された攻撃の経路に関連する構成要素の情報を含む１つ以上の攻撃経路の情報は、攻撃に関連する構成要素の情報を時系列に並べたリスト形式の情報等であっても良い。

　以上、本発明の実施形態によれば、ネットワーク、及びネットワークを介して通信を行う複数の構成要素を含むシステムにおいて、攻撃を検知したときに、攻撃に加担又は関与した構成要素を推定することが容易になる。

　以上、本発明の実施一実施形態について詳述したが、本発明は、特許請求の範囲に記載された要旨の範囲内において、種々の変形、及び応用が可能である。

　本願は、日本特許庁に２０２１年２月２６日に出願された基礎出願２０２１－０３０４７８号の優先権を主張するものであり、その全内容を参照によりここに援用する。

　１　　　　　情報処理システム
　３１　　　　ログデータ
　１００　　　車載ネットワーク（ネットワーク）
　２００　　　ゲートウェイ
　２５０　　　ＥＣＵ（電子制御装置）
　２６１　　　移動通信装置
　２６２　　　Ｖ２Ｘ通信装置
　４０１　　　取得部
　４０２　　　推定部
　４０３　　　出力部
　４１０　　　ネットワーク構成情報
　６００　　　トポロジ情報
　２０１０　　接続関係情報（接続関係を示す情報）
　２２１０　　攻撃経路情報（攻撃経路の情報）

Claims

　ネットワーク、及び前記ネットワークを介して通信を行う複数の構成要素を含むシステムのログデータを取得する取得部と、
　前記システムで攻撃が検知された場合、前記ログデータと前記システムのネットワーク構成情報とに基づいて、前記攻撃の経路に関連する前記構成要素の情報を含む１つ以上の攻撃経路の情報を出力する出力部と、
　を有する、情報処理システム。
　前記取得部が取得した前記ログデータのうち、所定の期間のログデータを関連付けることにより、前記１つ以上の攻撃経路を推定する推定部を有する、請求項１に記載の情報処理システム。
　前記推定部は、前記システムのネットワーク構成情報を用いて、前記所定の期間のログデータを関連付ける、請求項２に記載の情報処理システム。
　前記ネットワーク構成情報は、前記ネットワークのトポロジの情報を含む、請求項３に記載の情報処理システム。
　前記推定部は、前記ネットワークのトポロジの情報を用いて、前記攻撃の経路に関連する前記構成要素の間の接続関係を特定し、
　前記１つ以上の攻撃経路の情報は、前記攻撃の経路に関連する前記構成要素の間の接続関係を示す情報を含む、請求項４に記載の情報処理システム。
　前記ネットワーク構成情報は、前記ネットワークに接続する構成要素間の通信パターンの情報を含む、請求項３に記載の情報処理システム。
　前記推定部は、前記構成要素間の通信パターン、又は前記攻撃に関連するログデータの検知時刻から、前記攻撃の進行方向を特定し、
　前記１つ以上の攻撃経路の情報は、前記攻撃の進行方向を示す情報を含む、請求項６に記載の情報処理システム。
　前記ネットワーク構成情報は、前記ネットワークに含まれる各構成要素に接続する通信路の情報を含む、請求項３に記載の情報処理システム。
　前記ネットワーク構成情報は、前記ネットワークに接続する前記複数の構成要素に対応する通信アドレス、又は識別情報の情報を含む、請求項３に記載の情報処理システム。
　前記システムは、車両に搭載される車載ネットワークを含み、
　前記１つ以上の攻撃経路の情報は、当該攻撃経路に含まれる電子制御装置の情報を含む、請求項１に記載の情報処理システム。
　情報処理システムが、
　ネットワーク、及び前記ネットワークを介して通信を行う複数の構成要素を含むシステムのログデータを取得する処理と、
　前記システムで攻撃が検知された場合、前記ログデータと前記システムのネットワーク構成情報とに基づいて、前記攻撃の経路に関連する前記構成要素の情報を含む１つ以上の攻撃経路の情報を出力する処理と、
　を実行する、情報処理方法。
　請求項１１に記載の情報処理方法を情報処理システムに実行させる、プログラム。