WO2023002771A1

WO2023002771A1 - 検知装置、検知方法および検知プログラム

Info

Publication number: WO2023002771A1
Application number: PCT/JP2022/023421
Authority: WO
Inventors: 吉田圭吾; 上田浩史
Original assignee: 住友電気工業株式会社; 住友電装株式会社; 株式会社オートネットワーク技術研究所
Priority date: 2021-07-21
Filing date: 2022-06-10
Publication date: 2023-01-26

Abstract

検知装置は、車載ネットワークにおける車載装置間のパケットを中継する中継部と、前記中継部により受信された前記パケットについての受信経路情報を取得する経路取得部と、第１の前記パケットと第２の前記パケットとの整合性、および前記経路取得部により取得された、前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行う処理部とを備え、前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットである。

Description

検知装置、検知方法および検知プログラム

　本開示は、検知装置、検知方法および検知プログラムに関する。
　この出願は、２０２１年７月２１日に出願された日本出願特願２０２１－１２０８２４号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　非特許文献１には、通信規格により定義される通信シーケンスの手順から逸脱したパケットをサイバ攻撃として検知する検知方法が開示されている。具体的には、非特許文献１に記載の検知方法では、ステートフルルールに従って、受信したパケットが既に受信したパケットに対応するパケットであるか否かを判断し、判断結果に応じてタグ付けを行い、ステートレスルールに従って、パケット情報とタグとに基づいてパケットがサイバ攻撃であるか否かを判断する。

Mohamed G. Gouda et al， Alex X． Liu、"A Model of Stateful Firewall and its Properties"、In Proseedings of the IEEE International Conference on Dependable Systems anｄ Networks、2005

　本開示の検知装置は、車載ネットワークにおける不正パケットを検知する検知装置であって、前記車載ネットワークにおける車載装置間のパケットを中継する中継部と、前記中継部により受信された前記パケットについての受信経路情報を取得する経路取得部と、前記中継部により受信された第１の前記パケットと、前記中継部により受信された第２の前記パケットとの整合性、および前記経路取得部により取得された、前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行う処理部とを備え、前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットである。

　本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置の一部または全部を実現する半導体集積回路として実現され得たり、検知装置を含む検知システムとして実現され得る。

図１は、本開示の実施の形態に係る車載ネットワークの構成を示す図である。図２は、本開示の実施の形態に係る車載ネットワークにおいて用いられるＳＯＭＥ／ＩＰの機能を説明するための図である。図３は、本開示の実施の形態に係る車載ネットワークにおいて用いられるＳＯＭＥ／ＩＰの機能を説明するための図である。図４は、本開示の実施の形態に係るゲートウェイ装置の構成を示す図である。図５は、本開示の実施の形態に係るゲートウェイ装置の記憶部におけるアドレステーブルの一例を示す図である。図６は、本開示の実施の形態に係るゲートウェイ装置の記憶部におけるタイプテーブルの一例を示す図である。図７は、本開示の実施の形態に係るゲートウェイ装置の記憶部におけるパケット管理テーブルの一例を示す図である。図８は、本開示の実施の形態に係る車載ネットワークにおけるクライアントおよびサーバ間の状態を説明するための図である。図９は、本開示の実施の形態に係るゲートウェイ装置の記憶部における状態管理テーブルの一例を示す図である。図１０は、本開示の実施の形態に係るゲートウェイ装置の記憶部における状態遷移テーブルの一例を示す図である。図１１は、本開示の実施の形態に係るゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１２は、本開示の実施の形態に係るゲートウェイ装置が検知処理を行う際の動作手順の他の例を定めたフローチャートである。図１３は、本開示の実施の形態に係るゲートウェイ装置が検知処理を行う際の動作手順の他の例を定めたフローチャートである。図１４は、本開示の実施の形態の変形例に係るゲートウェイ装置の記憶部における防御メッセージテーブルの一例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。

　［本開示が解決しようとする課題］
　非特許文献１に記載の検知方法では、攻撃者が送信したパケットが、通信規格により定義される通信シーケンスの手順に適合する場合、当該パケットを不正パケットとして検知することができない場合がある。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正パケットをより正しく検知することが可能な検知装置、検知方法および検知プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおける不正パケットをより正しく検知することができる。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る検知装置は、車載ネットワークにおける不正パケットを検知する検知装置であって、前記車載ネットワークにおける車載装置間のパケットを中継する中継部と、前記中継部により受信された前記パケットについての受信経路情報を取得する経路取得部と、前記中継部により受信された第１の前記パケットと、前記中継部により受信された第２の前記パケットとの整合性、および前記経路取得部により取得された、前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行う処理部とを備え、前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットである。

　このように、第１のパケットと、当該第１のパケットに対応する第２のパケットとの整合性、および第１のパケットについての受信経路情報に基づいて検知処理を行う構成により、受信経路情報を用いることなく第１のパケットと第２のパケットとの整合性に基づいて検知処理を行う構成と比べて、通信シーケンスの手順に適合しない不正パケットだけでなく、通信シーケンスの手順に適合するタイミングにおいて送信された不正パケットも正しく検知することができる。したがって、車載ネットワークにおける不正パケットをより正しく検知することができる。

　（２）上記（１）において、前記検知装置は、さらに、前記中継部により受信される際に前記パケットが経由する物理ポートと、前記車載装置のアドレスとの対応関係を示す対応テーブルを記憶する記憶部を備えてもよく、前記処理部は、前記対応テーブルにおいて、前記第１のパケットについての前記受信経路情報が示す前記送信元ポートおよび送信元アドレスの組を照合し、照合結果および前記第１のパケットと前記第２のパケットとの整合性に基づいて、前記第１のパケットが前記不正パケットであるか否かを判断してもよい。

　このような構成により、送信元アドレスを偽装した不正パケットを、対応テーブルを用いた簡易な処理で検知することができる。

　（３）上記（１）または（２）において、前記経路取得部は、前記中継部により受信された前記パケットについての送信経路情報をさらに取得してもよく、前記送信経路情報は、前記パケットが前記中継部により前記車載装置へ中継される際に前記パケットが経由すべき物理ポートである宛先ポートと、前記パケットの宛先アドレスとを示してもよく、前記処理部は、前記第１のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記送信経路情報が示す前記宛先ポートの組と、前記第２のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記送信経路情報が示す前記宛先ポートの組との整合性、ならびに前記第１のパケットについての前記受信経路情報が示す前記送信元アドレスおよび前記送信経路情報が示す前記宛先アドレスの組と、前記第２のパケットについての前記受信経路情報が示す前記送信元アドレスおよび前記送信経路情報が示す前記宛先アドレスの組との整合性に基づいて、前記第１のパケットが前記不正パケットであるか否かを判断してもよい。

　このような構成により、あるパケットが経由した物理ポートと、当該パケットに対する応答を装った不正パケットとが経由した物理ポートの整合性に基づいて、不正パケットをより正しく検知することができる。

　（４）上記（１）から（３）のいずれかにおいて、前記処理部は、前記不正パケットを検知した場合、前記中継部による中継処理であって、前記中継部により受信される際に前記不正パケットが経由した物理ポートを介した前記中継処理を停止する処理を行ってもよい。

　このような構成により、不正パケットの送信元から送信される新たなパケットの中継、および不正パケットの送信元へのパケットの中継を停止することができる。

　（５）上記（３）において、前記処理部は、前記第１のパケットが前記不正パケットであると判断した場合、前記第１のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記第１のパケットの送信元アドレスの組と、前記第２のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記第２のパケットの送信元アドレスの組とを示すログ情報を作成してもよい。

　このような構成により、不正パケットに関する情報を収集し、たとえば不正パケットに対するセキュリティ性の向上に利用することができる。

　（６）上記（１）から（５）のいずれかにおいて、前記検知装置は、さらに、前記中継部により受信される前記パケットの送信元アドレスと、前記中継部により受信される際に前記パケットが経由する物理ポートとの対応関係を示す対応テーブルに、前記中継部により受信された前記パケットの送信元アドレスと、前記中継部により受信された際に前記パケットが経由した物理ポートとの組を登録することにより前記対応テーブルを更新する更新部を備えてもよく、前記更新部は、前記組が、前記対応テーブルにおける同じ送信元アドレスの属する前記組の物理ポートと一致しない場合、前記対応テーブルの更新を行わなくてもよい。

　このような構成により、車載ネットワークにおける新たな車載装置の追加に伴って対応テーブルを更新することができるとともに、たとえば、不正パケットの送信元が利用する物理ポートが対応テーブルへ誤って登録されないようにすることができる。

　（７）上記（１）から（６）のいずれかにおいて、前記処理部は、前記第１のパケットと、ＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）に従うステートフルルールについて前記第１のパケットに対応する前記第２のパケットとの整合性、および前記受信経路情報に基づいて前記検知処理を行ってもよい。

　このような構成により、第１のパケットと、ＳＯＭＥ／ＩＰに従うシーケンスに関して第１のパケットに格納されたメッセージに対応するメッセージが格納された第２のパケットとの整合性に基づく検知処理を行うことができる。

　（８）上記（１）から（７）のいずれかにおいて、前記処理部は、前記不正パケットを検知した場合、前記中継部による前記不正パケットの中継を行わせないための処理を行ってもよい。

　このような構成により、車載装置による不正パケットの受信を防止することができるので、セキュリティ性を向上させることができる。

　（９）上記（１）から（７）のいずれかにおいて、前記処理部は、前記不正パケットを検知した場合、前記不正パケットに格納されたメッセージに対応する防御メッセージを、前記不正パケットの宛先の前記車載装置または前記不正パケットの送信元の前記車載装置へ送信するための処理を行ってもよい。

　このような構成により、たとえば、車載装置間で送受信される不正パケットによる影響を緩和することができるので、車載装置へのパケットの中継を行うとともに当該パケットの複製を用いて検知処理を行い、当該パケットが不正パケットであると判断した場合において防御メッセージを車載装置へ送信する構成を採用することができる。これにより、検知処理において不正パケットではないと判断してから当該パケットの中継を行う構成と比べて、通信遅延の発生を抑制することができる。

　（１０）本開示の実施の形態に係る検知方法は、車載ネットワークにおける不正パケットを検知する検知装置における検知方法であって、前記車載ネットワークにおける車載装置間において中継すべきパケットを受信するステップと、受信した前記パケットについての受信経路情報を取得するステップと、受信した第１の前記パケットと、受信した第２の前記パケットとの整合性、および取得した前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行うステップとを含み、前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、前記第２のパケットは、前記第１のパケットの受信前に受信した前記パケットであり、かつ前記第１のパケットに対応する前記パケットである。

　このように、第１のパケットと、当該第１のパケットに対応する第２のパケットとの整合性、および第１のパケットについての受信経路情報に基づいて検知処理を行う方法により、受信経路情報を用いることなく第１のパケットと第２のパケットとの整合性に基づいて検知処理を行う方法と比べて、通信シーケンスの手順に適合しない不正パケットだけでなく、通信シーケンスの手順に適合するタイミングにおいて送信された不正パケットも正しく検知することができる。したがって、車載ネットワークにおける不正パケットをより正しく検知することができる。

　（１１）本開示の実施の形態に係る検知プログラムは、車載ネットワークにおける不正パケットを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける車載装置間のパケットを中継する中継部と、前記中継部により受信された前記パケットについての受信経路情報を取得する経路取得部と、前記中継部により受信された第１の前記パケットと、前記中継部により受信された第２の前記パケットとの整合性、および前記経路取得部により取得された、前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行う処理部、として機能させるためのプログラムであり、前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットである。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［構成および基本動作］
　〔車載ネットワークの構成〕
　図１は、本開示の実施の形態に係る車載ネットワークの構成を示す図である。図１を参照して、車載ネットワーク１２は、ゲートウェイ装置１０１と、複数の車載ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）１１１とを備える。ゲートウェイ装置１０１および車載ＥＣＵ１１１は、車載装置の一例である。ゲートウェイ装置１０１および複数の車載ＥＣＵ１１１は、車両１に搭載されている。

　各車載ＥＣＵ１１１は、ケーブル１４を介してゲートウェイ装置１０１に接続されている。ケーブル１４は、たとえば、イーサネット（登録商標）の規格に従うケーブルである。

　車載ＥＣＵ１１１は、たとえば、電動パワーステアリング（Ｅｌｅｃｔｒｉｃ　Ｐｏｗｅｒ　Ｓｔｅｅｒｉｎｇ：ＥＰＳ）、ブレーキ制御装置、アクセル制御装置、ステアリング制御装置、運転支援システム（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ－Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍ：ＡＤＡＳ）における各種装置への指示等を行う運転支援装置、またはセンサ等である。

　ゲートウェイ装置１０１は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、他の車載装置と通信を行うことが可能である。ゲートウェイ装置１０１は、たとえば、車両１において異なるケーブル１４に接続された複数の車載ＥＣＵ１１１間でやり取りされる情報を中継する。より詳細には、ゲートウェイ装置１０１は、車載ネットワーク１２における車載ＥＣＵ１１１間のパケットを中継する中継処理を行う。

　ゲートウェイ装置１０１は、たとえば、検知装置として機能し、車載ネットワーク１２における不正なパケットである不正パケットを検知する検知処理を行う。

　（ＳＯＭＥ／ＩＰ）
　ここで、車載ネットワーク１２においては、たとえば、イーサネットプロトコル群のアプリケーション層のプロトコルであるＳＯＭＥ／ＩＰに従って、メッセージの送受信が行われる。より詳細には、車載ＥＣＵ１１１は、ＳＯＭＥ／ＩＰに従うメッセージを１または複数のパケットに格納し、当該パケットを他の車載ＥＣＵ１１１へ送信する。

　具体的には、たとえば、車載ＥＣＵ１１１であるセンサが、車両１の走行状態または周囲の状態に関するセンサ情報を、他の車載ＥＣＵ１１１である運転支援装置へ送信すると仮定する。この場合、センサは、サービスの提供として、センサ情報を運転支援装置へ送信する。運転支援装置は、センサからサービスとして提供されたセンサ情報を受信し、当該センサ情報を用いて、車両１の運転に関する各種制御情報を生成し、生成した各種制御情報をブレーキ制御装置およびステアリング制御装置等へ送信することにより、安全運転支援等のアプリケーションが実現される。

　以下、サービスの提供を行う側の車載ＥＣＵ１１１を「サーバ」とも称する。また、サービスの提供の受ける側の車載ＥＣＵ１１１を「クライアント」とも称する。

　より詳細には、サーバは、サービスとして提供するセンサ情報等が格納されたメッセージを１または複数のパケットに格納し、当該パケットを、ＳＯＭＥ／ＩＰに従ってクライアントへ送信する。サーバとクライアントとの間で送受信されるメッセージには、たとえば、サービスのＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）（以下、「サービスＩＤ」と称する。）と、サービスに付随する関数等のＩＤ（以下、「メソッドＩＤ」と称する。）とが含まれている。

　（ＳＯＭＥ／ＩＰの機能）
　図２および図３は、本開示の実施の形態に係る車載ネットワークにおいて用いられるＳＯＭＥ／ＩＰの機能を説明するための図である。

　図２および図３を参照して、ＳＯＭＥ／ＩＰに従う通信では、車載ネットワーク１２においてサービスの提供を行うための３つの機能、すなわち「Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙ」「Ｐｕｂｌｉｓｈ／Ｓｕｂｓｃｒｉｂｅ」および「ＲＰＣ（Ｒｅｍｏｔｅ　Ｐｒｏｃｅｄｕｒｅ　Ｃａｌｌ）」を実行することができる。

　（ａ）Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙ
　たとえば、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙの機能により、クライアントがサービスの提供元であるサーバを探索して、クライアントとサーバとの間で通信接続を確立することができる。

　より詳細には、ある車載ＥＣＵ１１１がサービスの提供を受ける場合、クライアントとして、当該サービスに対応するサービスＩＤを含むＦｉｎｄＳｅｒｖｉｃｅ（以下、「Ｆｉｎｄ」と略す。）メッセージをマルチキャストする。Ｆｉｎｄメッセージには、クライアントのＩＤ等が含まれる。

　Ｆｉｎｄメッセージを受信した複数の車載ＥＣＵ１１１のうち、Ｆｉｎｄメッセージに含まれるサービスＩＤに対応するサービスを提供可能な車載ＥＣＵ１１１は、サーバとして、サービスの提供を開始することを示すＯｆｆｅｒＳｅｒｖｉｃｅ（以下、「Ｏｆｆｅｒ」と略す。）メッセージを、Ｆｉｎｄメッセージの送信元の車載ＥＣＵ１１１へユニキャストする。Ｏｆｆｅｒメッセージには、サーバのＩＤ等が含まれる。これにより、クライアントとサーバとの間で通信接続を確立することができる。

　あるいは、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙの機能により、サーバがサービスの提供を申し出て、クライアントとサーバとの間で通信接続を確立することができる。

　より詳細には、ある車載ＥＣＵ１１１は、サーバとして、定期的または不定期に、自己が提供可能なサービスに対応するサービスＩＤを含むＯｆｆｅｒメッセージをマルチキャストする。

　Ｏｆｆｅｒメッセージを受信した複数の車載ＥＣＵ１１１のうち、Ｏｆｆｅｒメッセージに含まれるサービスＩＤに対応するサービスを必要とする車載ＥＣＵ１１１は、クライアントとして、サービスを要求することを示すＦｉｎｄメッセージを、Ｏｆｆｅｒメッセージの送信元の車載ＥＣＵ１１１へユニキャストする。これにより、クライアントとサーバとの間で通信接続を確立することができる。

　ＦｉｎｄメッセージおよびＯｆｆｅｒメッセージは、周期的に送信されてもよいし、不定期に送信されてもよい。Ｆｉｎｄメッセージが周期的に送信される場合、送信周期は、たとえばＳＯＭＥ／ＩＰの仕様等により予め定められている。また、Ｏｆｆｅｒメッセージが周期的に送信される場合、送信周期は、たとえばＳＯＭＥ／ＩＰの仕様等により予め定められている。

　（ｂ）Ｐｕｂｌｉｓｈ／Ｓｕｂｓｃｒｉｂｅ
　Ｐｕｂｌｉｓｈ／Ｓｕｂｓｃｒｉｂｅの機能により、クライアントが特定のサーバに対して周期的なサービスの提供を要求することができる。

　たとえば、クライアントは、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにより取得したサービスＩＤを用いて、サービスＩＤが含まれるＳｕｂｓｃｒｉｂｅＥｖｅｎｔｇｒｏｕｐ（以下、「Ｓｕｂｓｃｒｉｂｅ」と略す。）メッセージを対応するサーバへ送信する。

　サーバは、Ｓｕｂｓｃｒｉｂｅメッセージを受信すると、当該Ｓｕｂｓｃｒｉｂｅメッセージに含まれるサービスＩＤを確認する。そして、サーバは、当該サービスＩＤが、提供可能なサービスに対応するサービスＩＤと一致する場合、サービスの提供を承認することを示すＳｕｂｓｃｒｉｂｅＥｖｅｎｔｇｒｏｕｐＡｃｋ（以下、「ＳｕｂｓｃｒｉｂｅＡｃｋ」と略す。）メッセージをクライアントへ送信する。そして、サーバは、サービスの提供として、ＳＯＭＥ／ＩＰに従うＮｏｔｉｆｉｃａｔｉｏｎメッセージを周期的にクライアントへ送信する。一方、サーバは、サービスの提供を承認しない場合、ＳｕｂｓｃｒｉｂｅＥｖｅｎｔｇｒｏｕｐＮａｃｋ（以下、「ＳｕｂｓｃｒｉｂｅＮａｃｋ」と略す。）メッセージをクライアントへ送信する。

　Ｎｏｔｉｆｉｃａｔｉｏｎメッセージの送信周期は、たとえば、車両１の製造元において予め定められている。

　クライアントは、サービスの提供を受けることを停止する場合、ＳｔｏｐＳｕｂｓｃｒｉｂｅＥｖｅｎｔｇｒｏｕｐ（以下、「ＳｔｏｐＳｕｂｓｃｒｉｂｅ」と略す。）メッセージをサーバへ送信する。サーバは、ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージを受信すると、Ｎｏｔｉｆｉｃａｔｉｏｎメッセージの送信を停止する。

　また、サーバ側においてサービスの提供を停止する場合、サーバは、ＳｔｏｐＯｆｆｅｒＳｅｒｖｉｃｅ（以下、「ＳｔｏｐＯｆｆｅｒ」と略す。）メッセージをクライアントへ送信する。

　ここで、車載ネットワーク１２において、Ｎｏｔｉｆｉｃａｔｉｏｎメッセージは複数のパケットに分割して送信され得る。たとえば、Ｎｏｔｉｆｉｃａｔｉｏｎメッセージが、１パケットで送信可能なデータ長よりも長いデータ長を有する場合、当該Ｎｏｔｉｆｉｃａｔｉｏｎメッセージは複数のＴＰ＿Ｎｏｔｉｆｉｃａｔｉｏｎメッセージに分割される。複数のＴＰ＿Ｎｏｔｉｆｉｃａｔｉｏｎメッセージは、複数のパケットにそれぞれ格納されて送信される。

　（ｃ）ＲＰＣ
　ＲＰＣの機能により、クライアントが特定のサーバに対してサービスの提供を要求することができる。

　たとえば、クライアントは、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙにより取得したサービスＩＤを用いて、サービスＩＤが含まれるＲｅｑｕｅｓｔメッセージを対応するサーバへ送信する。

　サーバは、Ｒｅｑｕｅｓｔメッセージを受信すると、当該Ｒｅｑｕｅｓｔメッセージに含まれるサービスＩＤを確認する。そして、サーバは、当該サービスＩＤが、提供可能なサービスに対応するサービスＩＤと一致する場合、サービスの提供を承認する。そして、サーバは、サービスの提供として、Ｒｅｓｐｏｎｓｅメッセージをクライアントへ送信する。

　ＲｅｑｕｅｓｔメッセージおよびＲｅｓｐｏｎｓｅメッセージは、周期的に送信されてもよいし、不定期に送信されてもよい。Ｒｅｑｕｅｓｔメッセージが周期的に送信される場合、送信周期は、たとえば、車両１の製造元において予め定められている。また、Ｒｅｓｐｏｎｓｅメッセージが周期的に送信される場合、送信周期は、たとえば、車両１の製造元において予め定められている。

　ここで、車載ネットワーク１２において、ＲｅｑｕｅｓｔメッセージおよびＲｅｓｐｏｎｓｅメッセージは複数のパケットに分割して送信され得る。たとえば、Ｒｅｑｕｅｓｔメッセージが、１パケットで送信可能なデータ長よりも長いデータ長を有する場合、当該Ｒｅｑｕｅｓｔメッセージは複数のＴＰ＿Ｒｅｑｕｅｓｔメッセージに分割される。複数のＴＰ＿Ｒｅｑｕｅｓｔメッセージは、複数のパケットにそれぞれ格納されて送信される。また、たとえば、Ｒｅｓｐｏｎｓｅメッセージが、１パケットで送信可能なデータ長よりも長いデータ長を有する場合、当該Ｒｅｓｐｏｎｓｅメッセージは複数のＴＰ＿Ｒｅｓｐｏｎｓｅメッセージに分割される。複数のＴＰ＿Ｒｅｓｐｏｎｓｅメッセージは、複数のパケットにそれぞれ格納されて送信される。

　〔ゲートウェイ装置の構成〕
　図４は、本開示の実施の形態に係るゲートウェイ装置の構成を示す図である。図４を参照して、ゲートウェイ装置１０１は、Ｎ個の通信ポート５１と、中継部５２と、パケット監視部５３と、処理部５５と、出力部５６と、記憶部５７とを備える。Ｎは、２以上の整数である。処理部５５は、更新部の一例である。パケット監視部５３は、経路取得部の一例である。中継部５２、パケット監視部５３、処理部５５および出力部５６の一部または全部は、たとえば、１または複数のプロセッサを含む処理回路（Ｃｉｒｃｕｉｔｒｙ）により実現される。記憶部５７は、たとえば不揮発性メモリである。

　通信ポート５１は、ケーブル１４を接続可能な端子である。通信ポート５１は、ケーブル１４を介して車載ＥＣＵ１１１に接続されている。なお、通信ポート５１は、集積回路の端子であってもよい。

　＜中継部＞
　中継部５２は、車載ネットワーク１２における車載ＥＣＵ１１１間のパケットを中継する中継処理を行う。より詳細には、中継部５２は、車載ネットワーク１２における複数の車載ＥＣＵ１１１間で伝送されるメッセージが格納されたパケットを中継する。具体的には、中継部５２は、ある車載ＥＣＵ１１１から対応の通信ポート５１経由で受信したパケットを、当該パケットの宛先ＩＰアドレスおよび宛先ＭＡＣアドレス等の宛先アドレスに従って他の車載ＥＣＵ１１１へ対応の通信ポート５１経由で送信する。後述するように、中継部５２は、処理部５５からの指示により、受信したパケットを宛先の車載ＥＣＵ１１１へ中継することなく破棄する場合がある。

　図５は、本開示の実施の形態に係るゲートウェイ装置の記憶部におけるアドレステーブルの一例を示す図である。図５を参照して、記憶部５７は、通信ポート５１のポート番号と、通信ポート５１に接続された車載ＥＣＵ１１１のＭＡＣアドレスとの対応関係を示すアドレステーブルＴｂ１を記憶している。すなわち、アドレステーブルＴｂ１は、中継部５２により受信される際にパケットが経由する通信ポート５１のポート番号と、車載ＥＣＵ１１１のＭＡＣアドレスとの対応関係を示す。アドレステーブルＴｂ１は、対応テーブルの一例である。処理部５５は、中継部５２により受信されたパケットの送信元ＭＡＣアドレスと、中継部５２により受信された際に当該パケットが経由した通信ポート５１との組を登録することによりアドレステーブルＴｂ１を更新することが可能である。

　再び図４を参照して、中継部５２は、ある車載ＥＣＵ１１１から対応の通信ポート５１経由でパケットを受信すると、受信したパケットから宛先ＭＡＣアドレスを取得する。中継部５２は、当該パケットを宛先の車載ＥＣＵ１１１へ中継する際に当該パケットが経由すべき通信ポート５１のポート番号（以下、「宛先ポート番号」と称する。）として、記憶部５７におけるアドレステーブルＴｂ１から当該宛先ＭＡＣアドレスに対応するポート番号を取得する。そして、中継部５２は、当該パケットを、取得した宛先ポート番号の通信ポート５１経由で宛先の車載ＥＣＵ１１１へ送信する。

　（ＳＯＭＥ／ＩＰメッセージが格納されたパケットを受信した場合の処理）
　たとえば、中継部５２は、車載ＥＣＵ１１１から受信したパケットのうちの、ＳＯＭＥ／ＩＰに従うメッセージが格納されたパケットを、宛先の車載ＥＣＵ１１１へ送信する前に記憶部５７に保存する。そして、中継部５２は、処理部５５からの指示により、当該パケットを宛先の車載ＥＣＵ１１１へ送信するか、または当該パケットを破棄する。

　より詳細には、中継部５２は、ある車載ＥＣＵ１１１から対応の通信ポート５１経由でパケットを受信すると、受信したパケットのペイロードを確認することにより当該パケットにＳＯＭＥ／ＩＰに従うメッセージが格納されているか否かを判断する。中継部５２は、ＳＯＭＥ／ＩＰに従うメッセージが格納されているパケットを検知すると、当該パケットを宛先の車載ＥＣＵ１１１へ送信する前に記憶部５７に保存する。

　一例として、中継部５２は、受信したパケットにＳＯＭＥ／ＩＰに従うメッセージが格納されていると判断した場合、当該パケットを受信した際に当該パケットが経由した通信ポート５１のポート番号（以下、「送信元ポート番号」と称する。）および当該パケットの送信元ＭＡＣアドレスを含む受信経路情報を生成する。また、中継部５２は、当該パケットの宛先ＭＡＣアドレスに対応する宛先ポート番号を記憶部５７におけるアドレステーブルＴｂ１から取得し、取得した宛先ポート番号および宛先ＭＡＣアドレスを含む送信経路情報を生成する。そして、中継部５２は、生成した受信経路情報および送信経路情報を当該パケットの属性として記憶部５７に保存する。

　中継部５２は、ＳＯＭＥ／ＩＰに従うメッセージが格納されているパケット、受信経路情報および送信経路情報を記憶部５７に保存すると、検知処理の対象となるパケットを記憶部５７に保存した旨を示す保存通知をパケット監視部５３へ出力する。

　＜パケット監視部＞
　パケット監視部５３は、中継部５２により受信されたパケットを取得する。より詳細には、パケット監視部５３は、中継部５２から保存通知を受けて、記憶部５７にアクセスすることにより、中継部５２により記憶部５７に保存された、ＳＯＭＥ／ＩＰに従うメッセージが格納されているパケットを取得する。

　（受信経路情報の取得）
　パケット監視部５３は、取得したパケットが中継部５２により受信された際に経由した通信ポート５１と、当該パケットの送信元アドレスとを示す受信経路情報を取得する。

　より詳細には、パケット監視部５３は、中継部５２から保存通知を受けて、記憶部５７から受信経路情報を取得する。

　（送信経路情報の取得）
　パケット監視部５３は、取得したパケットが中継部５２により車載ＥＣＵ１１１へ中継される際に経由すべき通信ポート５１と、当該パケットの宛先アドレスとを示す送信経路情報をさらに取得する。

　より詳細には、パケット監視部５３は、中継部５２から保存通知を受けて、記憶部５７から送信経路情報を取得する。

　パケット監視部５３は、中継部５２から保存通知を受けて、記憶部５７からパケット、受信経路情報および送信経路情報を取得すると、パケットを取得した旨を示す取得通知を処理部５５へ出力する。

　＜処理部＞
　処理部５５は、パケット監視部５３により取得されたパケットＰ１と、中継部５２によりパケットＰ１の受信前に受信されたパケットであってパケットＰ１に対応するパケットＰ２との整合性、およびパケット監視部５３により取得された受信経路情報に基づいて、不正パケットを検知する検知処理を行う。パケットＰ１は、第１のパケットの一例である。パケットＰ２は、第２のパケットの一例である。なお、「第１の」「第２の」の記載は、優先順位を意味するものではない。

　たとえば、処理部５５は、パケットＰ１と、ＳＯＭＥ／ＩＰに従うステートフルルールについてパケットＰ１に対応するパケットＰ２との整合性、および受信経路情報に基づいて検知処理を行う。

　より詳細には、処理部５５は、あるパケットＰ１の取得通知をパケット監視部５３から受けると、パケットＰ１からメッセージＭ１を取得する。そして、処理部５５は、パケット監視部５３により過去に取得されたパケットのうちの、ＳＯＭＥ／ＩＰに従うシーケンスに関してメッセージＭ１に対応するメッセージＭ２が格納されたパケットＰ２を特定し、特定したパケットＰ２とパケットＰ１との整合性を判断する。

　図６は、本開示の実施の形態に係るゲートウェイ装置の記憶部におけるタイプテーブルの一例を示す図である。図６を参照して、記憶部５７は、ゲートウェイ装置１０１における中継部５２により受信されたパケットに格納されたメッセージのタイプおよび当該パケットの宛先ＩＰアドレスのアドレス種類と、当該メッセージに対応するメッセージのタイプとの対応関係を示すタイプテーブルＴｂ２を記憶している。「宛先ＩＰアドレスのアドレス種類」とは、宛先ＩＰアドレスが、マルチキャストアドレスおよびユニキャストアドレスのいずれであるかを示す。たとえば、タイプテーブルＴｂ２は、２つのメッセージの、ＳＯＭＥ／ＩＰに従うシーケンスに基づく対応関係を示している。

　図７は、本開示の実施の形態に係るゲートウェイ装置の記憶部におけるパケット管理テーブルの一例を示す図である。図７を参照して、記憶部５７は、サービスＩＤごとに、パケット監視部５３により取得されたパケットに格納されたメッセージのタイプと、当該パケットの受信経路情報および送信経路情報との対応関係を示すパケット管理テーブルＴｂ３を記憶している。

　処理部５５は、パケットＰ１の取得通知をパケット監視部５３から受けると、パケットＰ１からメッセージＭ１および宛先ＩＰアドレスを取得する。処理部５５は、取得したメッセージＭ１の「メッセージタイプ」のフィールドからメッセージＭ１のタイプＴｙ１を取得する。そして、処理部５５は、記憶部５７のタイプテーブルＴｂ２において、取得したタイプＴｙ１および宛先ＩＰアドレスのアドレス種類に対応する、タイプＴｙ２を検索する。

　たとえば、タイプＴｙ１が「Ｆｉｎｄメッセージ」であり、かつパケットＰ１の宛先ＩＰアドレスのアドレス種類が「ユニキャストアドレス」または「マルチキャストアドレス」である場合、タイプテーブルＴｂ２において対応するタイプＴｙ２は存在しない。

　処理部５５は、タイプテーブルＴｂ２においてタイプＴｙ２が存在しない場合、メッセージＭ１のサービスＩＤおよびタイプＴｙ１、ならびにパケットＰ１の受信経路情報および送信経路情報を記憶部５７におけるパケット管理テーブルＴｂ３に登録する。また、処理部５５は、パケットＰ１を送信すべき旨の送信指示を中継部５２へ出力する。

　一方、処理部５５は、タイプテーブルＴｂ２にタイプＴｙ２が存在する場合、当該タイプＴｙ２を取得する。具体的には、処理部５５は、タイプＴｙ１が「Ｏｆｆｅｒメッセージ」であり、かつパケットＰ１の宛先ＩＰアドレスのアドレス種類が「ユニキャストアドレス」である場合、タイプＴｙ２として「Ｆｉｎｄメッセージ」を取得する。

　そして、処理部５５は、パケット管理テーブルＴｂ３を参照して、パケット監視部５３により過去に取得されたパケットのうちの、メッセージＭ１と同じサービスＩＤを含むタイプＴｙ２のメッセージＭ２が格納されたパケットＰ２の送信元ＭＡＣアドレス等を取得し、たとえばパケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスとを比較することにより、パケットＰ１とパケットＰ２との整合性を判断する。

　処理部５５は、パケットＰ１とパケットＰ２との整合性の判断結果および受信経路情報に少なくとも基づいて、パケットＰ１が不正パケットであるか否かを判断する。以下、パケットＰ１が不正パケットであるか否かを判断する処理の詳細を、検知処理の具体例１－３として説明する。

　（検知処理の具体例１）
　処理部５５は、パケットＰ１についての受信経路情報が示す送信元ポート番号および送信経路情報が示す宛先ポート番号の組と、パケットＰ２についての受信経路情報が示す送信元ポート番号および送信経路情報が示す宛先ポート番号の組との整合性、ならびにパケットＰ１についての受信経路情報が示す送信元ＭＡＣアドレスおよび送信経路情報が示す宛先ＭＡＣアドレスの組と、パケットＰ２についての受信経路情報が示す送信元ＭＡＣアドレスおよび送信経路情報が示す宛先ＭＡＣアドレスの組との整合性に基づいて、パケットＰ１が不正パケットであるか否かを判断する。

　より詳細には、処理部５５は、パケット管理テーブルＴｂ３から、パケットＰ２の受信経路情報および送信経路情報として、メッセージＭ１のサービスＩＤおよびタイプＴｙ２に対応する受信経路情報および送信経路情報を取得する。また、処理部５５は、記憶部５７からパケットＰ１の受信経路情報および送信経路情報を取得する。

　そして、処理部５５は、パケットＰ１の受信経路情報とパケットＰ２の送信経路情報とを比較するとともに、パケットＰ１の送信経路情報とパケットＰ２の受信経路情報とを比較する。

　たとえば、処理部５５は、パケットＰ１の送信元ポート番号とパケットＰ２の宛先ポート番号とが一致し、パケットＰ１の宛先ポート番号とパケットＰ２の送信元ポート番号とが一致し、パケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスとが一致し、かつパケットＰ１の宛先ＭＡＣアドレスとパケットＰ２の送信元ＭＡＣアドレスとが一致する場合、パケットＰ１は不正パケットではないと判断する。

　一方、処理部５５は、パケットＰ１の送信元ポート番号とパケットＰ２の宛先ポート番号とが一致しないか、パケットＰ１の宛先ポート番号とパケットＰ２の送信元ポート番号とが一致しないか、パケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスとが一致しないか、またはパケットＰ１の宛先ＭＡＣアドレスとパケットＰ２の送信元ＭＡＣアドレスとが一致しない場合、パケットＰ１は不正パケットであると判断する。

　たとえば、処理部５５は、タイプテーブルＴｂ２にタイプＴｙ２が存在する場合であって、パケット管理テーブルＴｂ３からパケットＰ２の受信経路情報および送信経路情報を取得できなかった場合、すなわちパケット管理テーブルＴｂ３にパケットＰ２の受信経路情報および送信経路情報が登録されていない場合、パケットＰ１は不正パケットであると判断する。

　（パケットの送信）
　処理部５５は、パケットＰ１は不正パケットではないと判断した場合、パケットＰ１を送信すべき旨の送信指示を中継部５２へ出力する。

　中継部５２は、処理部５５から送信指示を受けた場合、記憶部５７からパケットＰ１を取得し、取得したパケットＰ１を宛先ポート番号の通信ポート５１経由で宛先の車載ＥＣＵ１１１へ送信する。

　また、処理部５５は、パケットＰ１が不正パケットではないと判断した場合であって、かつメッセージＭ１のタイプＴｙ１が「ＳｔｏｐＯｆｆｅｒメッセージ」または「ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ」である場合、パケット管理テーブルＴｂ３からメッセージＭ１のサービスＩＤに対応する情報を削除する。

　一方、パケットＰ１が不正パケットではないと判断した場合であって、メッセージＭ１のタイプＴｙ１が「ＳｔｏｐＯｆｆｅｒメッセージ」および「ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ」以外のタイプであり、かつメッセージＭ１のサービスＩＤに対応する情報がパケット管理テーブルＴｂ３に未登録である場合、メッセージＭ１のサービスＩＤに対応する情報をパケット管理テーブルＴｂ３に登録する。

　（パケットの破棄）
　処理部５５は、不正パケットを検知した場合、中継部５２による不正パケットの中継を行わせないための処理を行う。より詳細には、処理部５５は、パケットＰ１は不正パケットであると判断した場合、パケットＰ１を破棄すべき旨の破棄指示を中継部５２へ出力する。

　中継部５２は、処理部５５から破棄指示を受けた場合、記憶部５７からパケットＰ１を消去する。

　（不正ログの作成および通知）
　処理部５５は、パケットＰ１が不正パケットであると判断した場合、パケットＰ１についての受信経路情報が示す送信元ポート番号およびパケットＰ１の送信元ＭＡＣアドレスの組と、パケットＰ２についての受信経路情報が示す送信元ポート番号およびパケットＰ２の送信元ＭＡＣアドレスの組とを示すログ情報を作成する。処理部５５は、作成したログ情報を記憶部５７に保存するとともに、出力部５６へ出力する。

　出力部５６は、ログ情報を処理部５５から受けると、たとえば、不正パケットが検知された旨の警報情報およびログ情報をユーザの端末等へ送信する。具体的には、出力部５６は、警報情報およびログ情報を、無線通信機能を有する車載ＥＣＵ１１１へ中継部５２および対応の通信ポート５１経由で送信する。当該車載ＥＣＵ１１１は、ゲートウェイ装置１０１から受信した警報情報およびログ情報をユーザの端末等へ送信する。

　（中継処理の停止）
　処理部５５は、不正パケットを検知した場合、中継部５２による中継処理であって、中継部５２により受信される際に不正パケットが経由した通信ポート５１を介した中継処理を停止する処理を行う。より詳細には、処理部５５は、パケットＰ１の送信元ポート番号を示す遮断指示を中継部５２へ出力する。

　中継部５２は、処理部５５から遮断指示を受けて、受けた遮断指示が示す送信元ポート番号の通信ポート５１を遮断する。具体的には、中継部５２は、当該通信ポート５１からのパケットの受信を停止する。

　（検知処理の具体例２）
　処理部５５は、記憶部５７のアドレステーブルＴｂ１において、パケットＰ１の受信経路情報が示す送信元ポート番号および送信元ＭＡＣアドレスの組を照合する。そして、処理部５５は、照合結果およびパケットＰ１とパケットＰ２との整合性に基づいて、パケットＰ１が不正パケットであるか否かを判断する。

　より詳細には、処理部５５は、記憶部５７から、パケットＰ１の受信経路情報を取得する。

　そして、処理部５５は、記憶部５７におけるアドレステーブルＴｂ１から、パケットＰ１の受信経路情報が示す送信元ＭＡＣアドレスに対応するポート番号を取得し、取得したポート番号と、パケットＰ１の受信経路情報が示す送信元ポート番号とが一致するか否かを確認する。

　また、処理部５５は、パケット管理テーブルＴｂ３から、メッセージＭ１のサービスＩＤに対応するメッセージのタイプ（以下、「タイプＴｙ３」と称する）を取得し、取得したタイプＴｙ３とタイプＴｙ２とを比較する。

　たとえば、処理部５５は、アドレステーブルＴｂ１から取得したポート番号と、パケットＰ１の受信経路情報が示す送信元ポート番号とが一致し、かつタイプＴｙ３とタイプＴｙ２とが一致する場合、パケットＰ１は不正パケットではないと判断する。

　処理部５５は、パケットＰ１は不正パケットではないと判断した場合、上述した「パケットの送信」等の処理を行う。

　一方、処理部５５は、アドレステーブルＴｂ１から取得したポート番号と、パケットＰ１の受信経路情報が示す送信元ポート番号とが一致しないか、またはタイプＴｙ３とタイプＴｙ２とが一致しない場合、パケットＰ１は不正パケットであると判断する。

　処理部５５は、パケットＰ１は不正パケットであると判断した場合、上述した「パケットの破棄」等の処理を行う。

　また、処理部５５は、中継部５２により受信されたパケットの送信元ＭＡＣアドレスと、中継部５２により受信された際に当該パケットが経由した通信ポート５１との組が、アドレステーブルＴｂ１における同じ送信元ＭＡＣアドレスの属する組の通信ポート５１と一致しない場合、アドレステーブルＴｂ１の更新を行わない。

　より詳細には、処理部５５は、パケットＰ１の受信経路情報が示す送信元ＭＡＣアドレスと、パケットＰ１の受信経路情報が示す送信元ポート番号とは異なるポート番号の対応関係がアドレステーブルＴｂ１に既に登録されている場合、当該受信経路情報が示す送信元ＭＡＣアドレスおよび送信元ポート番号によるアドレステーブルＴｂ１の更新を行わない。

　上述したように、「検知処理の具体例２」では、処理部５５は、パケット管理テーブルＴｂ３から、メッセージＭ１のサービスＩＤに対応するメッセージのタイプＴｙ３を取得する一方で、受信経路情報および送信経路情報の取得は行わない。したがって、処理部５５により「検知処理の具体例２」が実行される場合、記憶部５７は、パケット管理テーブルＴｂ３を記憶する代わりに、サービスＩＤと、メッセージのタイプとの対応関係を示すテーブルを記憶していてもよい。これにより、パケット管理テーブルＴｂ３と比べて簡易なテーブルを用いて検知処理を行うことができる。

　また、「検知処理の具体例２」では、「検知処理の具体例１」と比べて、パケットＰ１の宛先ＭＡＣアドレスおよび宛先ポート番号を必要としないので、パケットＰ１に関するより少ない情報を用いて、パケットＰ１が不正パケットであるか否かの判断を行うことができる。

　（検知処理の具体例２の変形例）
　処理部５５は、以下のようにして、パケットＰ１が不正パケットであるか否かの判断を行ってもよい。すなわち、処理部５５は、パケット管理テーブルＴｂ３から、パケットＰ２の送信元ＭＡＣアドレスおよび宛先ＭＡＣアドレスとして、メッセージＭ１のサービスＩＤおよびタイプＴｙ２に対応する送信元ＭＡＣアドレスおよび宛先ＭＡＣアドレスを取得する。

　そして、処理部５５は、パケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスを比較するとともに、パケットＰ１の宛先ＭＡＣアドレスとパケットＰ２の送信元ＭＡＣアドレスを比較する。

　たとえば、処理部５５は、アドレステーブルＴｂ１から取得したポート番号と、パケットＰ１の受信経路情報が示す送信元ポート番号とが一致し、パケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスとが一致し、かつパケットＰ１の宛先ＭＡＣアドレスとパケットＰ２の送信元ＭＡＣアドレスとが一致する場合、パケットＰ１は不正パケットではないと判断する。

　一方、処理部５５は、アドレステーブルＴｂ１から取得したポート番号と、パケットＰ１の受信経路情報が示す送信元ポート番号とが一致しないか、パケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスとが一致しないか、またはパケットＰ１の宛先ＭＡＣアドレスとパケットＰ２の送信元ＭＡＣアドレスとが一致しない場合、パケットＰ１は不正パケットであると判断する。

　（検知処理の具体例３）
　たとえば、処理部５５は、サービスＩＤごとのサーバおよびクライアント間の状態に基づいて、検知処理を行う。

　図８は、本開示の実施の形態に係る車載ネットワークにおけるクライアントおよびサーバ間の状態を説明するための図である。

　図８を参照して、サーバおよびクライアント間の状態は、初期状態である「状態Ａ」、通信接続の確立途中の状態である「状態Ｂ」、および通信接続が確立された状態である「状態Ｃ」のいずれかの状態を取り得る。

　より詳細には、サーバおよびクライアント間の状態が状態Ａである場合、クライアントが、サービスＩＤを含むＦｉｎｄメッセージをマルチキャストすることにより、当該サービスＩＤについてのサーバおよびクライアント間の状態は状態Ｂに遷移する。

　そして、当該サーバがＯｆｆｅｒメッセージを当該クライアントへユニキャストすることにより、サーバおよびクライアント間の状態は状態Ｃに遷移する。すなわち、当該サービスＩＤについてのサーバとクライアントとの間で通信接続が確立される。

　その後、たとえば、サーバが定期的にクライアントへＮｏｔｉｆｉｃａｔｉｏｎメッセージを送信している状態において、サーバがＳｔｏｐＯｆｆｅｒメッセージをクライアントへ送信することにより、当該サービスＩＤについてのサーバおよびクライアント間の状態は初期状態である状態Ａに遷移する。

　図９は、本開示の実施の形態に係るゲートウェイ装置の記憶部における状態管理テーブルの一例を示す図である。図９を参照して、記憶部５７は、サービスＩＤと、サーバおよびクライアント間の現在の状態Ｓｔ１との対応関係を示す状態管理テーブルＴｂ４を記憶している。

　処理部５５は、あるパケットＰ１がパケット監視部５３により記憶部５７に保存されると、当該パケットＰ１に格納されたメッセージＭ１のサービスＩＤを取得する。処理部５５は、記憶部５７における状態管理テーブルＴｂ４を参照し、取得したサービスＩＤに対応するサーバおよびクライアント間の現在の状態Ｓｔ１を検索する。

　たとえば、処理部５５は、取得したサービスＩＤが「０ｘ１２３４」である場合、当該サービスＩＤに対応するサーバおよびクライアント間の現在の状態Ｓｔ１は「状態Ｃ」であると判断する。

　一方、たとえば、処理部５５は、取得したサービスＩＤに対応する状態Ｓｔ１が状態管理テーブルＴｂ４に存在しない場合、当該サービスＩＤに対応するサーバおよびクライアント間の現在の状態Ｓｔ１は、初期状態である「状態Ａ」であると判断する。

　図１０は、本開示の実施の形態に係るゲートウェイ装置の記憶部における状態遷移テーブルの一例を示す図である。図１０を参照して、記憶部５７は、メッセージのタイプおよびパケットの宛先ＩＰアドレスのアドレス種類と、当該メッセージの送受信によるサーバおよびクライアント間の状態遷移との対応関係を示す状態遷移テーブルＴｂ５を記憶している。

　処理部５５は、状態遷移テーブルＴｂ５を参照し、メッセージＭ１のタイプＴｙ１、パケットＰ１の宛先ＩＰアドレスのアドレス種類および状態Ｓｔ１に対応する、メッセージの送受信後のサーバおよびクライアント間の状態Ｓｔ２を検索する。

　たとえば、メッセージＭ１のタイプＴｙ１が「Ｏｆｆｅｒメッセージ」であり、パケットＰ１の宛先ＩＰアドレスのアドレス種類が「ユニキャストアドレス」であり、かつ状態Ｓｔ１が「状態Ａ」である場合、状態遷移テーブルＴｂ５に状態Ｓｔ２は存在しない。これは、サーバおよびクライアント間の状態が状態Ａであるとき、当該サーバおよび当該クライアント間においてＯｆｆｅｒメッセージが格納されたユニキャストパケットが送受信されることは通常起こり得ないことを示している。

　処理部５５は、状態遷移テーブルＴｂ５に状態Ｓｔ２が存在しない場合、パケットＰ１は不正パケットであると判断する。処理部５５は、パケットＰ１は不正パケットであると判断した場合、上述した「パケットの破棄」等の処理を行う。

　一方、たとえば、処理部５５は、メッセージＭ１のタイプが「Ｏｆｆｅｒメッセージ」であり、パケットＰ１の宛先ＩＰアドレスのアドレス種類が「ユニキャストアドレス」であり、かつ状態Ｓｔ１が「状態Ｂ」である場合、メッセージの送受信後のサーバおよびクライアント間の状態Ｓｔ２は「状態Ｃ」であると判断する。

　処理部５５は、状態遷移テーブルＴｂ５に状態Ｓｔ２が存在する場合、パケットＰ１は不正パケットではないと判断する。処理部５５は、パケットＰ１は不正パケットではないと判断した場合、上述した「パケットの送信」等の処理を行う。たとえば、処理部５５は、パケットＰ１は不正パケットではないと判断した場合、状態管理テーブルＴｂ４における状態Ｓｔ１を、状態Ｓｔ２すなわち「状態Ｃ」に更新する。

　なお、処理部５５は、状態遷移テーブルＴｂ５に状態Ｓｔ２が存在する場合、上述した「検知処理の具体例１」および「検知処理の具体例２」の少なくともいずれか一方をさらに行うことにより、パケットＰ１が不正パケットであるか否かを判断する構成であってもよい。

　［動作の流れ］
　図１１は、本開示の実施の形態に係るゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１１は、上述の「検知処理の具体例１」のフローチャートを示している。

　図１１を参照して、まず、ゲートウェイ装置１０１は、ＳＯＭＥ／ＩＰに従うメッセージが格納されたパケットを待ち受け（ステップＳ１０２でＮＯ）、中継部５２がパケットＰ１を受信すると（ステップＳ１０２でＹＥＳ）、中継部５２により受信されたパケットＰ１を取得する（ステップＳ１０４）。

　次に、ゲートウェイ装置１０１は、パケットＰ１の受信経路情報および送信経路情報を生成する（ステップＳ１０６）。

　次に、ゲートウェイ装置１０１は、記憶部５７のタイプテーブルＴｂ２において、パケットＰ１に格納されたメッセージＭ１に対応するメッセージＭ２のタイプＴｙ２を検索する。より詳細には、ゲートウェイ装置１０１は、パケットＰ１からメッセージＭ１および宛先ＩＰアドレスを取得し、取得したメッセージＭ１の「メッセージタイプ」のフィールドからメッセージＭ１のタイプＴｙ１を取得する。そして、ゲートウェイ装置１０１は、タイプテーブルＴｂ２において、取得したタイプＴｙ１および宛先ＩＰアドレスのアドレス種類に対応するタイプＴｙ２を検索する（ステップＳ１０８）。

　次に、ゲートウェイ装置１０１は、タイプテーブルＴｂ２にタイプＴｙ２が存在しない場合（ステップＳ１１０でＮＯ）、パケットＰ１の情報を記憶部５７におけるパケット管理テーブルＴｂ３に登録する。より詳細には、ゲートウェイ装置１０１は、メッセージＭ１のサービスＩＤおよびタイプＴｙ１、ならびにパケットＰ１の受信経路情報および送信経路情報をパケット管理テーブルＴｂ３に登録する（ステップＳ１１２）。

　次に、ゲートウェイ装置１０１は、パケットＰ１を中継部５２経由で宛先の車載ＥＣＵ１１１へ送信する（ステップＳ１１４）。

　次に、ゲートウェイ装置１０１は、ＳＯＭＥ／ＩＰに従うメッセージが格納された新たなパケットを待ち受ける（ステップＳ１０２でＮＯ）。

　一方、ゲートウェイ装置１０１は、タイプテーブルＴｂ２にタイプＴｙ２が存在する場合（ステップＳ１１０でＹＥＳ）、当該タイプＴｙ２を取得し、パケット管理テーブルＴｂ３から、パケットＰ２の受信経路情報および送信経路情報として、メッセージＭ１のサービスＩＤおよびタイプＴｙ２に対応する受信経路情報および送信経路情報を取得する（ステップＳ１１６）。

　次に、ゲートウェイ装置１０１は、パケットＰ１の受信経路情報とパケットＰ２の送信経路情報とを比較するとともに、パケットＰ１の送信経路情報とパケットＰ２の受信経路情報とを比較する（ステップＳ１１８）。

　次に、ゲートウェイ装置１０１は、パケットＰ１の送信元ポート番号とパケットＰ２の宛先ポート番号とが一致しないか、パケットＰ１の宛先ポート番号とパケットＰ２の送信元ポート番号とが一致しないか、パケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスとが一致しないか、またはパケットＰ１の宛先ＭＡＣアドレスとパケットＰ２の送信元ＭＡＣアドレスとが一致しない場合（ステップＳ１２０でＮＯ）、パケットＰ１は不正パケットであると判断する（ステップＳ１２２）。

　次に、ゲートウェイ装置１０１は、パケットＰ１の破棄、ログ情報の作成、ユーザ端末への警報情報およびログ情報の送信、ならびにパケットＰ１の送信元ポート番号の通信ポート５１の遮断を行う（ステップＳ１２４）。

　一方、ゲートウェイ装置１０１は、パケットＰ１の送信元ポート番号とパケットＰ２の宛先ポート番号とが一致し、パケットＰ１の宛先ポート番号とパケットＰ２の送信元ポート番号とが一致し、パケットＰ１の送信元ＭＡＣアドレスとパケットＰ２の宛先ＭＡＣアドレスとが一致し、かつパケットＰ１の宛先ＭＡＣアドレスとパケットＰ２の送信元ＭＡＣアドレスとが一致する場合（ステップＳ１２０でＹＥＳ）、パケットＰ１は不正パケットではないと判断する（ステップＳ１２６）。

　次に、ゲートウェイ装置１０１は、メッセージＭ１のタイプＴｙ１が「ＳｔｏｐＯｆｆｅｒメッセージ」または「ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ」である場合（ステップＳ１２８でＹＥＳ）、パケット管理テーブルＴｂ３からメッセージＭ１のサービスＩＤに対応する情報を削除する（ステップＳ１３０）。

　次に、ゲートウェイ装置１０１は、パケットＰ１を中継部５２経由で宛先の車載ＥＣＵ１１１へ送信し（ステップＳ１３２）、ＳＯＭＥ／ＩＰに従うメッセージが格納された新たなパケットを待ち受ける（ステップＳ１０２でＮＯ）。

　一方、ゲートウェイ装置１０１は、メッセージＭ１のタイプＴｙ１が「ＳｔｏｐＯｆｆｅｒメッセージ」および「ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ」以外のタイプであり（ステップＳ１２８でＮＯ）、かつメッセージＭ１のサービスＩＤに対応する情報がパケット管理テーブルＴｂ３に登録されている場合（ステップＳ１３４でＹＥＳ）、パケットＰ１を中継部５２経由で宛先の車載ＥＣＵ１１１へ送信し（ステップＳ１３２）、ＳＯＭＥ／ＩＰに従うメッセージが格納された新たなパケットを待ち受ける（ステップＳ１０２でＮＯ）。

　一方、ゲートウェイ装置１０１は、メッセージＭ１のタイプＴｙ１が「ＳｔｏｐＯｆｆｅｒメッセージ」および「ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ」以外のタイプであり（ステップＳ１２８でＮＯ）、かつメッセージＭ１のサービスＩＤに対応する情報がパケット管理テーブルＴｂ３に未登録である場合（ステップＳ１３４でＮＯ）、メッセージＭ１のサービスＩＤに対応する情報をパケット管理テーブルＴｂ３に登録する（ステップＳ１３６）。

　図１２は、本開示の実施の形態に係るゲートウェイ装置が検知処理を行う際の動作手順の他の例を定めたフローチャートである。図１２は、上述の「検知処理の具体例２」のフローチャートを示している。

　図１２を参照して、ステップＳ２０２からステップＳ２１４の処理は、図１１におけるステップＳ１０２からステップＳ１１４の処理と同様である。

　そして、ゲートウェイ装置１０１は、タイプテーブルＴｂ２にタイプＴｙ２が存在する場合（ステップＳ２１０でＹＥＳ）、当該タイプＴｙ２を取得し、パケット管理テーブルＴｂ３から、メッセージＭ１のサービスＩＤに対応するメッセージのタイプＴｙ３を取得する（ステップＳ２１６）。

　次に、ゲートウェイ装置１０１は、記憶部５７におけるアドレステーブルＴｂ１において、パケットＰ１の受信経路情報が示す送信元ポート番号および送信元ＭＡＣアドレスの組を照合し、タイプＴｙ２とタイプＴｙ３とを比較する（ステップＳ２１８）。

　次に、ゲートウェイ装置１０１は、アドレステーブルＴｂ１におけるパケットＰ１の送信元ＭＡＣアドレスに対応するポート番号と、パケットＰ１の受信経路情報が示す送信元ポート番号とが一致しないか、またはタイプＴｙ２とタイプＴｙ３とが一致しない場合（ステップＳ２２０でＮＯ）、パケットＰ１は不正パケットであると判断する（ステップＳ２２２）。

　次に、ゲートウェイ装置１０１は、パケットＰ１の破棄、ログ情報の作成、ユーザ端末への警報情報およびログ情報の送信、ならびにパケットＰ１の送信元ポート番号の通信ポート５１の遮断を行い（ステップＳ２２４）、ＳＯＭＥ／ＩＰに従うメッセージが格納された新たなパケットを待ち受ける（ステップＳ２０２でＮＯ）。

　一方、ゲートウェイ装置１０１は、アドレステーブルＴｂ１におけるパケットＰ１の送信元ＭＡＣアドレスに対応するポート番号と、パケットＰ１の受信経路情報が示す送信元ポート番号とが一致し、かつタイプＴｙ２とタイプＴｙ３とが一致する場合（ステップＳ２２０でＹＥＳ）、パケットＰ１は不正パケットではないと判断する（ステップＳ２２６）。

　ステップＳ２２８からステップＳ２３６の処理は、図１１におけるステップＳ１２８からステップＳ１３６の処理と同様である。

　図１３は、本開示の実施の形態に係るゲートウェイ装置が検知処理を行う際の動作手順の他の例を定めたフローチャートである。図１３は、上述の「検知処理の具体例３」のフローチャートを示している。

　図１３を参照して、まず、ゲートウェイ装置１０１は、ＳＯＭＥ／ＩＰに従うメッセージが格納されたパケットを待ち受け（ステップＳ３０２でＮＯ）、中継部５２がパケットＰ１を受信すると（ステップＳ３０２でＹＥＳ）、中継部５２により受信されたパケットＰ１を取得する（ステップＳ３０４）。

　次に、ゲートウェイ装置１０１は、取得したパケットＰ１から宛先ＩＰアドレスおよびメッセージＭ１を取得し、取得したメッセージＭ１からサービスＩＤおよびタイプＴｙ１を取得する（ステップＳ３０６）。

　次に、ゲートウェイ装置１０１は、記憶部５７における状態管理テーブルＴｂ４を参照し、取得したサービスＩＤに対応するサーバおよびクライアント間の現在の状態Ｓｔ１を検索する（ステップＳ３０８）。

　次に、ゲートウェイ装置１０１は、取得したサービスＩＤに対応する状態Ｓｔ１が状態管理テーブルＴｂ４に登録されていない場合（ステップＳ３１０でＮＯ）、当該サービスＩＤに対応するサーバおよびクライアント間の現在の状態Ｓｔ１は「状態Ａ」であると判断し（ステップＳ３１２）、状態遷移テーブルＴｂ５を参照し、メッセージＭ１のタイプＴｙ１、パケットＰ１の宛先ＩＰアドレスのアドレス種類および状態Ｓｔ１に対応する状態Ｓｔ２を検索する（ステップＳ３１６）。

　一方、ゲートウェイ装置１０１は、取得したサービスＩＤに対応する状態Ｓｔ１が状態管理テーブルＴｂ４に登録されている場合（ステップＳ３１０でＹＥＳ）、状態管理テーブルＴｂ４から状態Ｓｔ１を取得し（ステップＳ３１４）、状態遷移テーブルＴｂ５を参照し、メッセージＭ１のタイプＴｙ１、パケットＰ１の宛先ＩＰアドレスのアドレス種類および状態Ｓｔ１に対応する状態Ｓｔ２を検索する（ステップＳ３１６）。

　次に、ゲートウェイ装置１０１は、状態遷移テーブルＴｂ５に状態Ｓｔ２が存在しない場合（ステップＳ３１８でＮＯ）、パケットＰ１は不正パケットであると判断する（ステップＳ３２０）。

　次に、ゲートウェイ装置１０１は、パケットＰ１の破棄、ログ情報の作成、ユーザ端末への警報情報およびログ情報の送信、ならびにパケットＰ１の送信元ポート番号の通信ポート５１の遮断を行い（ステップＳ３２２）、ＳＯＭＥ／ＩＰに従うメッセージが格納された新たなパケットを待ち受ける（ステップＳ３０２でＮＯ）。

　一方、ゲートウェイ装置１０１は、状態遷移テーブルＴｂ５に状態Ｓｔ２が存在する場合（ステップＳ３１８でＹＥＳ）、パケットＰ１は不正パケットではないと判断する（ステップＳ３２４）。

　次に、ゲートウェイ装置１０１は、状態管理テーブルＴｂ４における状態Ｓｔ１を状態Ｓｔ２に更新する（ステップＳ３２６）。

　次に、ゲートウェイ装置１０１は、パケットＰ１を中継部５２経由で宛先の車載ＥＣＵ１１１へ送信し（ステップＳ３２８）、ＳＯＭＥ／ＩＰに従うメッセージが格納された新たなパケットを待ち受ける（ステップＳ３０２でＮＯ）。

　なお、本開示の実施の形態では、ゲートウェイ装置１０１が検知処理を行う構成であるとしたが、これに限定するものではない。車載ネットワーク１２において、ゲートウェイ装置１０１とは別の装置が、検知装置として不正メッセージの検知処理を行う構成であってもよい。この場合、当該検知装置は、ゲートウェイ装置１０１の所定のポート、たとえばミラーポートに接続されてもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、処理部５５は、不正パケットを検知した場合、中継部５２により受信される際に不正パケットが経由した通信ポート５１を介した中継処理を停止する処理を行う構成であるとしたが、これに限定するものではない。処理部５５は、不正パケットを検知した場合、たとえば不正パケットの破棄を行う一方で、不正パケットが経由した通信ポート５１を介した中継処理を停止する処理を行わない構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、処理部５５は、不正パケットを検知した場合、ログ情報を作成する構成であるとしたが、これに限定するものではない。処理部５５は、不正パケットを検知した場合、たとえば不正パケットの破棄を行う一方で、ログ情報の作成を行わない構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、処理部５５は、中継部５２により受信されたパケットの送信元ＭＡＣアドレスと、中継部５２により受信された際に当該パケットが経由した通信ポート５１との組を登録することによりアドレステーブルＴｂ１を更新することが可能な構成であるとしたが、これに限定するものではない。処理部５５は、アドレステーブルＴｂ１を更新しない構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、処理部５５は、パケットＰ１と、ＳＯＭＥ／ＩＰに従うシーケンスに関してメッセージＭ１に対応するメッセージＭ２が格納されたパケットＰ２との整合性を判断する構成であるとしたが、これに限定するものではない。処理部５５は、パケットＰ１と、ＩＣＭＰ（Ｉｎｔｅｒｎｅｔ　Ｃｏｎｔｒｏｌ　Ｍｅｓｓａｇｅ　Ｐｒｏｔｏｃｏｌ）等のＳＯＭＥ／ＩＰ以外のプロトコルに従うシーケンスに関してメッセージＭ１に対応するメッセージＭ２が格納されたパケットＰ２との整合性を判断する構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、記憶部５７は、パケットに格納されたメッセージのタイプおよび当該パケットの宛先ＩＰアドレスのアドレス種類と、当該メッセージに対応するメッセージのタイプとの対応関係を示すタイプテーブルＴｂ２を記憶している構成であるとしたが、これに限定するものではない。記憶部５７は、タイプテーブルＴｂ２の代わりに、パケットに格納されたメッセージのタイプおよび当該パケットの宛先ＭＡＣアドレスのアドレス種類と、当該メッセージに対応するメッセージのタイプとの対応関係を示すタイプテーブルＴｂ２Ａを記憶している構成であってもよい。「宛先ＭＡＣアドレスのアドレス種類」とは、宛先ＭＡＣアドレスが、マルチキャストアドレスおよびユニキャストアドレスのいずれであるかを示す。この場合、処理部５５は、タイプテーブルＴｂ２Ａにおいて、メッセージＭ１のタイプＴｙ１およびパケットＰ１の宛先ＭＡＣアドレスのアドレス種類に対応する、タイプＴｙ２を検索する。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、記憶部５７は、メッセージのタイプおよびパケットの宛先ＩＰアドレスのアドレス種類と、当該メッセージの送受信によるサーバおよびクライアント間の状態遷移との対応関係を示す状態遷移テーブルＴｂ５を記憶している構成であるとしたが、これに限定するものではない。記憶部５７は、状態遷移テーブルＴｂ５の代わりに、メッセージのタイプおよびパケットの宛先ＭＡＣアドレスのアドレス種類と、当該メッセージの送受信によるサーバおよびクライアント間の状態遷移との対応関係を示す状態遷移テーブルＴｂ５Ａを記憶している構成であってもよい。この場合、処理部５５は、状態遷移テーブルＴｂ５Ａにおいて、メッセージＭ１のタイプＴｙ１、パケットＰ１の宛先ＭＡＣアドレスのアドレス種類および状態Ｓｔ１に対応する、状態Ｓｔ２を検索する。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、記憶部５７は、サービスＩＤごとに、メッセージのタイプと受信経路情報および送信経路情報との対応関係を示すパケット管理テーブルＴｂ３を記憶している構成であるとしたが、これに限定するものではない。記憶部５７は、パケット管理テーブルＴｂ３の代わりに、サービスＩＤおよびメソッドＩＤごとに、メッセージのタイプと受信経路情報および送信経路情報との対応関係を示すパケット管理テーブルＴｂ３Ａを記憶している構成であってもよい。この場合、処理部５５は、パケット管理テーブルＴｂ３を参照して、パケット監視部５３により過去に取得されたパケットのうちの、メッセージＭ１と同じサービスＩＤおよび同じメソッドＩＤを含むタイプＴｙ２のメッセージＭ２が格納されたパケットＰ２の送信元ＭＡＣアドレス等を取得する。

　＜変形例＞
　本開示の実施の形態に係るゲートウェイ装置１０１では、中継部５２は、ＳＯＭＥ／ＩＰに従うメッセージが格納されたパケットを、宛先の車載ＥＣＵ１１１へ送信する前に記憶部５７に保存する構成であるとしたが、これに限定するものではない。

　中継部５２は、ＳＯＭＥ／ＩＰに従うメッセージが格納されたパケットを、宛先の車載ＥＣＵ１１１へ送信するとともに、当該パケットの複製を記憶部５７に保存する構成であってもよい。

　より詳細には、中継部５２は、ある車載ＥＣＵ１１１から対応の通信ポート５１経由でパケットを受信すると、受信したパケットのペイロードを確認することにより当該パケットにＳＯＭＥ／ＩＰに従うメッセージが格納されているか否かを判断する。中継部５２は、ＳＯＭＥ／ＩＰに従うメッセージが格納されているパケットを検知すると、当該パケットの宛先の車載ＥＣＵ１１１へ対応の通信ポート５１経由で送信するとともに、当該パケットを複製する。そして、中継部５２は、複製により得られたパケットを記憶部５７に保存する。また、中継部５２は、受信経路情報および送信経路情報を生成し、生成した受信経路情報および送信経路情報を当該パケットの属性として記憶部５７に保存する。

　中継部５２は、複製により得られたパケット、受信経路情報および送信経路情報を記憶部５７に保存すると、保存通知をパケット監視部５３へ出力する。

　パケット監視部５３は、中継部５２により受信されたパケットとして、複製により得られたパケットを取得する。より詳細には、パケット監視部５３は、中継部５２から保存通知を受ける。パケット監視部５３は、記憶部５７にアクセスすることにより、中継部５２により記憶部５７に保存されたパケット、受信経路情報および送信経路情報を取得する。パケット監視部５３は、パケットを取得した旨を示す取得通知を処理部５５へ出力する。

　処理部５５は、上述したように検知処理を行う。たとえば、処理部５５は、パケットＰ１は不正パケットではないと判断した場合、パケットＰ１を送信すべき旨の送信指示を中継部５２へ出力する代わりに、記憶部５７からパケットＰ１を消去する。

　一方、処理部５５は、不正パケットを検知した場合、不正パケットに格納されたメッセージに対応する防御メッセージを、不正パケットの宛先の車載ＥＣＵ１１１または不正パケットの送信元の車載ＥＣＵ１１１へ送信するための処理を行う。より詳細には、処理部５５は、パケットＰ１は不正パケットであると判断した場合、防御メッセージを生成する。

　図１４は、本開示の実施の形態の変形例に係るゲートウェイ装置の記憶部における防御メッセージテーブルの一例を示す図である。図１４を参照して、記憶部５７は、不正パケットに格納されたメッセージのタイプおよび当該不正パケットの宛先ＩＰアドレスのアドレス種類と、生成すべき防御メッセージのタイプとの対応関係を示す防御メッセージテーブルＴｂ６を記憶している。

　防御メッセージは、車載ＥＣＵ１１１間で送受信される不正パケットによる影響を緩和するためのメッセージである。より詳細には、たとえば、防御メッセージは、不正パケットを受信した車載ＥＣＵ１１１における処理であって、当該不正パケットに格納されたメッセージに基づいて行われた処理を無効化するためのメッセージである。あるいは、防御メッセージは、不正パケットを送信した車載ＥＣＵ１１１によるさらなる不正パケットの送信を抑制するためのメッセージである。

　処理部５５は、パケットＰ１は不正パケットであると判断すると、パケットＰ１からメッセージＭ１および宛先ＩＰアドレスを取得する。処理部５５は、取得したメッセージＭ１からサービスＩＤおよびタイプＴｙ１を取得する。そして、処理部５５は、記憶部５７の防御メッセージテーブルＴｂ６において、取得したタイプＴｙ１および宛先ＩＰアドレスのアドレス種類に対応するタイプＴｙ３を検索する。

　たとえば、タイプＴｙ１が「Ｆｉｎｄメッセージ」であり、かつパケットＰ１の宛先ＩＰアドレスのアドレス種類が「ユニキャストアドレス」または「マルチキャストアドレス」である場合、防御メッセージテーブルＴｂ６において対応するタイプＴｙ３は存在しない。

　処理部５５は、防御メッセージテーブルＴｂ６においてタイプＴｙ３が存在しない場合、防御メッセージの生成を行わない。

　一方、処理部５５は、防御メッセージテーブルＴｂ６にタイプＴｙ３が存在する場合、当該タイプＴｙ３のメッセージであって、メッセージＭ１と同じサービスＩＤが格納されたメッセージを防御メッセージとして生成する。

　（防御メッセージの送信例１）
　処理部５５は、防御メッセージを、不正パケットの宛先の車載ＥＣＵ１１１へ送信するための処理を行う。

　具体的には、たとえば、処理部５５は、タイプＴｙ１がサーバからクライアント宛の「Ｏｆｆｅｒメッセージ」であり、かつパケットＰ１の宛先ＩＰアドレスのアドレス種類が「マルチキャストアドレス」である場合、クライアント宛の「ＳｔｏｐＯｆｆｅｒメッセージ」を防御メッセージとして生成する。そして、処理部５５は、生成した防御メッセージが格納されたパケットであって、送信元アドレスがパケットＰ１の送信元アドレスに設定され、かつ宛先アドレスがパケットＰ１の宛先アドレスに設定されたパケットである防御パケットを生成し、生成した防御パケットを中継部５２へ出力する。

　また、たとえば、処理部５５は、タイプＴｙ１がクライアントからサーバ宛の「Ｓｕｂｓｃｒｉｂｅメッセージ」であり、かつパケットＰ１の宛先ＩＰアドレスのアドレス種類が「マルチキャストアドレス」である場合、サーバ宛の「ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ」を防御メッセージとして生成する。そして、処理部５５は、生成した防御メッセージが格納されたパケットであって、送信元アドレスがパケットＰ１の送信元アドレスに設定され、かつ宛先アドレスがパケットＰ１の宛先アドレスに設定されたパケットである防御パケットを生成し、生成した防御パケットを中継部５２へ出力する。

　中継部５２は、処理部５５から防御パケットを受けた場合、受けた防御パケットを、防御パケットの宛先ポート番号の通信ポート５１経由で宛先の車載ＥＣＵ１１１へ送信する。

　このように、防御メッセージを生成して車載ＥＣＵ１１１へ送信する構成により、車載ＥＣＵ１１１により受信された不正パケットを無効化することができる。具体的には、不正な車載ＥＣＵ１１１から送信された不正なパケットＰ１が、クライアントとして機能する車載ＥＣＵ１１１により受信された場合において、当該クライアントへ防御メッセージを送信することにより、当該クライアントに、パケットＰ１の送信元との間で確立した通信接続の解除を行わせることができる。また、不正な車載ＥＣＵ１１１から送信された不正なパケットＰ１が、サーバとして機能する車載ＥＣＵ１１１により受信された場合において、当該サーバへ防御メッセージを送信することにより、当該サーバに、パケットＰ１の送信元へのＮｏｔｉｆｉｃａｔｉｏｎメッセージの送信停止を行わせることができる。

　（防御メッセージの送信例２）
　処理部５５は、防御メッセージを、不正パケットの送信元の車載ＥＣＵ１１１へ送信するための処理を行う。

　具体的には、たとえば、処理部５５は、タイプＴｙ１がサーバからクライアント宛の「ＳｕｂｓｃｒｉｂｅＡｃｋメッセージ」であり、かつパケットＰ１の宛先ＩＰアドレスのアドレス種類が「マルチキャストアドレス」である場合、サーバ宛の「ＳｔｏｐＳｕｂｓｃｒｉｂｅメッセージ」を防御メッセージとして生成する。そして、処理部５５は、生成した防御メッセージが格納されたパケットであって、送信元アドレスがパケットＰ１の宛先アドレスに設定され、かつ宛先アドレスがパケットＰ１の送信元アドレスに設定されたパケットである防御パケットを生成し、生成した防御パケットを中継部５２へ出力する。

　また、たとえば、処理部５５は、タイプＴｙ１がクライアントからサーバ宛の「Ｒｅｑｕｅｓｔメッセージ」であり、かつパケットＰ１の宛先ＩＰアドレスのアドレス種類が「マルチキャストアドレス」である場合、クライアント宛の「ＳｔｏｐＯｆｆｅｒメッセージ」を防御メッセージとして生成する。そして、処理部５５は、生成した防御メッセージが格納されたパケットであって、送信元アドレスがパケットＰ１の宛先アドレスに設定され、かつ宛先アドレスがパケットＰ１の送信元アドレスに設定されたパケットである防御パケットを生成し、生成した防御パケットを中継部５２へ出力する。

　このように、防御メッセージを生成して車載ＥＣＵ１１１へ送信する構成により、不正パケットを送信した車載ＥＣＵ１１１によるさらなる不正パケットの送信を抑制することができる。具体的には、不正な車載ＥＣＵ１１１から送信された不正なパケットＰ１が、クライアントとして機能する車載ＥＣＵ１１１により受信された場合において、当該不正な車載ＥＣＵ１１１へ防御メッセージを送信することにより、当該不正な車載ＥＣＵ１１１に、不正なＮｏｔｉｆｉｃａｔｉｏｎメッセージの送信を停止させることができる。また、不正な車載ＥＣＵ１１１から送信された不正なパケットＰ１が、サーバとして機能する車載ＥＣＵ１１１により受信された場合において、当該不正な車載ＥＣＵ１１１へ防御メッセージを送信することにより、Ｎｏｔｉｆｉｃａｔｉｏｎメッセージの送信を行わない旨を当該不正な車載ＥＣＵ１１１へ通知することができる。

　（防御メッセージの送信による効果）
　ＳＯＭＥ／ＩＰに従うメッセージが格納されたパケットを、他の車載ＥＣＵ１１１へ送信するとともに、当該パケットの複製を用いて検知処理を行う構成では、当該パケットを用いて検知処理を行ってから他の車載ＥＣＵ１１１へ送信する構成と比べて、通信遅延の発生を抑制することができる。

　一方、ＳＯＭＥ／ＩＰに従うメッセージが格納されたパケットを用いて検知処理を行ってから他の車載ＥＣＵ１１１へ送信する構成では、不正パケットを検知した場合において、当該不正パケットを他の車載ＥＣＵ１１１へ送信する前に破棄することができるので、セキュリティ性を向上させることができる。

　なお、本開示の実施の形態の変形例に係るゲートウェイ装置１０１では、記憶部５７は、不正パケットに格納されたメッセージのタイプおよび当該不正パケットの宛先ＩＰアドレスのアドレス種類と、生成すべき防御メッセージのタイプとの対応関係を示す防御メッセージテーブルＴｂ６を記憶している構成であるとしたが、これに限定するものではない。記憶部５７は、防御メッセージテーブルＴｂ６の代わりに、不正パケットに格納されたメッセージのタイプおよび当該不正パケットの宛先ＭＡＣアドレスのアドレス種類と、生成すべき防御メッセージのタイプとの対応関係を示す防御メッセージテーブルＴｂ６Ａを記憶している構成であってもよい。この場合、処理部５５は、記憶部５７の防御メッセージテーブルＴｂ６において、メッセージＭ１のタイプＴｙ１およびパケットＰ１の宛先ＭＡＣアドレスのアドレス種類に対応する、タイプＴｙ３を検索する。

　変形例に係るゲートウェイ装置１０１のその他の構成および動作は、実施の形態に係るゲートウェイ装置１０１と同様であるため、ここでは詳細な説明を繰り返さない。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　上述の実施形態の各処理（各機能）は、１または複数のプロセッサを含む処理回路（Ｃｉｒｃｕｉｔｒｙ）により実現される。上記処理回路は、上記１または複数のプロセッサに加え、１または複数のメモリ、各種アナログ回路、各種デジタル回路が組み合わされた集積回路等で構成されてもよい。上記１または複数のメモリは、上記各処理を上記１または複数のプロセッサに実行させるプログラム（命令）を格納する。上記１または複数のプロセッサは、上記１または複数のメモリから読み出した上記プログラムに従い上記各処理を実行してもよいし、予め上記各処理を実行するように設計された論理回路に従って上記各処理を実行してもよい。上記プロセッサは、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、およびＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）等、コンピュータの制御に適合する種々のプロセッサであってよい。なお、物理的に分離した上記複数のプロセッサが互いに協働して上記各処理を実行してもよい。たとえば、物理的に分離した複数のコンピュータのそれぞれに搭載された上記プロセッサがＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＷＡＮ　（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、およびインターネット等のネットワークを介して互いに協働して上記各処理を実行してもよい。上記プログラムは、外部のサーバ装置等から上記ネットワークを介して上記メモリにインストールされても構わないし、ＣＤ－ＲＯＭ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＤＶＤ－ＲＯＭ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、および半導体必須メモリ等の記録媒体に格納された状態で流通し、上記記録媒体から上記メモリにインストールされても構わない。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　車載ネットワークにおける不正パケットを検知する検知装置であって、
　前記車載ネットワークにおける車載装置間のパケットを中継する中継部と、
　前記中継部により受信された前記パケットについての受信経路情報を取得する経路取得部と、
　前記中継部により受信された第１の前記パケットと、前記中継部により受信された第２の前記パケットとの整合性、および前記経路取得部により取得された、前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行う処理部とを備え、
　前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、
　前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットであり、
　前記中継部は、ＳＯＭＥ／ＩＰに従うメッセージが格納された前記パケットを受信し、
　前記処理部は、前記第１のパケットに格納された前記メッセージのサービスＩＤについての前記車載装置の状態にさらに基づいて前記検知処理を行う、検知装置。

　［付記２］
　車載ネットワークにおける不正パケットを検知する検知装置であって、
　処理回路を備え、
　前記処理回路は、
　前記車載ネットワークにおける車載装置間のパケットを中継し、
　受信した前記パケットについての受信経路情報を取得し、
　受信した第１の前記パケットと、受信した第２の前記パケットとの整合性、および取得した前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行い、
　前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、
　前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットである、検知装置。

　１　　　車両
　１２　　車載ネットワーク
　１４　　ケーブル
　５１　　通信ポート
　５２　　中継部
　５３　　パケット監視部（経路取得部）
　５５　　処理部（更新部）
　５６　　出力部
　５７　　記憶部
　１０１　ゲートウェイ装置
　１１１　車載ＥＣＵ
　Ｔｂ１　アドレステーブル
　Ｔｂ２　タイプテーブル
　Ｔｂ３　パケット管理テーブル
　Ｔｂ４　状態管理テーブル
　Ｔｂ５　状態遷移テーブル
　Ｔｂ６　防御メッセージテーブル

Claims

　車載ネットワークにおける不正パケットを検知する検知装置であって、
　前記車載ネットワークにおける車載装置間のパケットを中継する中継部と、
　前記中継部により受信された前記パケットについての受信経路情報を取得する経路取得部と、
　前記中継部により受信された第１の前記パケットと、前記中継部により受信された第２の前記パケットとの整合性、および前記経路取得部により取得された、前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行う処理部とを備え、
　前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、
　前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットである、検知装置。
　前記検知装置は、さらに、
　前記中継部により受信される際に前記パケットが経由する物理ポートと、前記車載装置のアドレスとの対応関係を示す対応テーブルを記憶する記憶部を備え、
　前記処理部は、前記対応テーブルにおいて、前記第１のパケットについての前記受信経路情報が示す前記送信元ポートおよび送信元アドレスの組を照合し、照合結果および前記第１のパケットと前記第２のパケットとの整合性に基づいて、前記第１のパケットが前記不正パケットであるか否かを判断する、請求項１に記載の検知装置。
　前記経路取得部は、前記中継部により受信された前記パケットについての送信経路情報をさらに取得し、
　前記送信経路情報は、前記パケットが前記中継部により前記車載装置へ中継される際に前記パケットが経由すべき物理ポートである宛先ポートと、前記パケットの宛先アドレスとを示し、
　前記処理部は、前記第１のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記送信経路情報が示す前記宛先ポートの組と、前記第２のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記送信経路情報が示す前記宛先ポートの組との整合性、ならびに前記第１のパケットについての前記受信経路情報が示す前記送信元アドレスおよび前記送信経路情報が示す前記宛先アドレスの組と、前記第２のパケットについての前記受信経路情報が示す前記送信元アドレスおよび前記送信経路情報が示す前記宛先アドレスの組との整合性に基づいて、前記第１のパケットが前記不正パケットであるか否かを判断する、請求項１または請求項２に記載の検知装置。
　前記処理部は、前記不正パケットを検知した場合、前記中継部による中継処理であって、前記中継部により受信される際に前記不正パケットが経由した物理ポートを介した前記中継処理を停止する処理を行う、請求項１から請求項３のいずれか１項に記載の検知装置。
　前記処理部は、前記第１のパケットが前記不正パケットであると判断した場合、前記第１のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記第１のパケットの送信元アドレスの組と、前記第２のパケットについての前記受信経路情報が示す前記送信元ポートおよび前記第２のパケットの送信元アドレスの組とを示すログ情報を作成する、請求項３に記載の検知装置。
　前記検知装置は、さらに、
　前記中継部により受信される前記パケットの送信元アドレスと、前記中継部により受信される際に前記パケットが経由する物理ポートとの対応関係を示す対応テーブルに、前記中継部により受信された前記パケットの送信元アドレスと、前記中継部により受信された際に前記パケットが経由した物理ポートとの組を登録することにより前記対応テーブルを更新する更新部を備え、
　前記更新部は、前記組が、前記対応テーブルにおける同じ送信元アドレスの属する前記組の物理ポートと一致しない場合、前記対応テーブルの更新を行わない、請求項１から請求項５のいずれか１項に記載の検知装置。
　前記処理部は、前記第１のパケットと、ＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）に従うステートフルルールについて前記第１のパケットに対応する前記第２のパケットとの整合性、および前記受信経路情報に基づいて前記検知処理を行う、請求項１から請求項６のいずれか１項に記載の検知装置。
　前記処理部は、前記不正パケットを検知した場合、前記中継部による前記不正パケットの中継を行わせないための処理を行う、請求項１から請求項７のいずれか１項に記載の検知装置。
　前記処理部は、前記不正パケットを検知した場合、前記不正パケットに格納されたメッセージに対応する防御メッセージを、前記不正パケットの宛先の前記車載装置または前記不正パケットの送信元の前記車載装置へ送信するための処理を行う、請求項１から請求項７のいずれか１項に記載の検知装置。
　車載ネットワークにおける不正パケットを検知する検知装置における検知方法であって、
　前記車載ネットワークにおける車載装置間において中継すべきパケットを受信するステップと、
　受信した前記パケットについての受信経路情報を取得するステップと、
　受信した第１の前記パケットと、受信した第２の前記パケットとの整合性、および取得した前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行うステップとを含み、
　前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、
　前記第２のパケットは、前記第１のパケットの受信前に受信した前記パケットであり、かつ前記第１のパケットに対応する前記パケットである、検知方法。
　車載ネットワークにおける不正パケットを検知する検知装置において用いられる検知プログラムであって、
　コンピュータを、
　前記車載ネットワークにおける車載装置間のパケットを中継する中継部と、
　前記中継部により受信された前記パケットについての受信経路情報を取得する経路取得部と、
　前記中継部により受信された第１の前記パケットと、前記中継部により受信された第２の前記パケットとの整合性、および前記経路取得部により取得された、前記第１のパケットについての前記受信経路情報に基づいて、前記不正パケットを検知する検知処理を行う処理部、
として機能させるためのプログラムであり、
　前記受信経路情報は、前記パケットが経由した物理ポートである送信元ポートと、前記パケットの送信元アドレスとを示し、
　前記第２のパケットは、前記中継部により前記第１のパケットの受信前に受信された前記パケットであり、かつ前記第１のパケットに対応する前記パケットである、検知プログラム。