WO2024018684A1

WO2024018684A1 - 状態判定装置

Info

Publication number: WO2024018684A1
Application number: PCT/JP2023/009600
Authority: WO
Inventors: 伸義森田; 幹雄片岡; 康広藤井; 晃啓野村
Original assignee: 日立Astemo株式会社
Priority date: 2022-07-19
Filing date: 2023-03-13
Publication date: 2024-01-25

Abstract

状態判定装置は、車両に搭載された電子制御装置の異常状態を判定する状態判定装置であって、電子制御装置と車両の外部との間の通信の有無を監視する車外通信監視部と、電子制御装置のコード検証を実行するコード検証部と、電子制御装置の異常の発生の有無を監視する装置異常監視部と、異常の要因を判定する異常要因判定部と、を備え、異常要因判定部は、通信の有無、コード検証の結果及び異常の有無に基づいて異常の要因を特定する。

Description

状態判定装置

　本発明は、車両に搭載される電子制御装置の状態を判定する状態判定装置に関する。

　車両に搭載される電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）においては、故障に関する異常を検知した場合、その事象をログとして保管し、自動車会社やサプライヤにおける原因解析の際に利用している。また、近年ではセキュリティ対策として搭載されるセキュリティ機能の処理結果もログとしてＥＣＵに保管することが要求され始めている。出荷後においても車両の安全を維持するために、市場の車両に不具合が発生した場合、前記ログを解析することにより迅速な原因解析を行うことが希求される。

　車両に不具合が発生した場合の原因解析技術として、特許文献１には、車載制御装置が優先度の高いログを保管し、当該ログを送信したサーバが原因を解析する技術が開示されている。

国際公開２０２１／１４４８６０号

　特許文献１は、ログの優先度を考慮することにより、潤沢なリソースを有しない制御装置であっても重要なログを長期間にわたり保存することが可能である。しかしながら、不具合の発生要因が、故障によるものなのか、サイバー攻撃によるものなのかを特定する方法については言及されていない。例えば、通信異常に関する不具合が発生した場合、通信機器の故障の可能性もあるし、サイバー攻撃によって通信に異常をきたしている可能性もある。実際はサイバー攻撃が原因にも関わらず、故障を想定した対処をした場合、原因究明が遅延し、サイバー攻撃による被害が拡大してしまう。一方で、実際は故障が原因にも関わらず、サイバー攻撃を想定した対処をした場合、不要な対処工数が必要となってしまい、工数負荷増加になってしまう。

　本発明は、以上の問題に鑑みなされたものであり、車両に発生した不具合の要因が故障なのか、サイバー攻撃なのかを適切に判定することにより、車両の不具合発生後に迅速かつ適切な工数で対処することを目的とする。
　本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

　上記課題を解決するために、本発明の一実施例に係る状態判定装置は、車両に搭載された電子制御装置の異常状態を判定する状態判定装置であって、電子制御装置と車両の外部との間の通信の有無を監視する車外通信監視部と、電子制御装置のコード検証を実行するコード検証部と、電子制御装置の異常の発生の有無を監視する装置異常監視部と、異常の要因を判定する異常要因判定部と、を備え、異常要因判定部は、通信の有無、コード検証の結果及び異常の有無に基づいて異常の要因を特定する。

　本発明によれば、異常が発生した際に、その要因が故障なのか、サイバー攻撃なのかを判定した結果をログとして保管することにより、ログの解析者は当該判定結果に基づいた原因究明に取り掛かることが可能となるため、車両の不具合発生後に迅速かつ適切な工数で対処できる。
　本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

本発明の一実施例に係る状態判定装置の構成の一例を示すブロック図。状態判定装置が実行する処理全体を示すシーケンス図。車外サービスを利用した際に想定される処理の一覧。車外サービスを利用しなかった場合に想定される処理の一覧。状態判定装置１が監視対象ＥＣＵに発生した異常の要因を判定する際の処理を示すフローチャート。異常要因の１次判定処理の概要を示すフローチャート。異常要因の２次判定処理の概要を示すフローチャート。コード検証結果のデータ構造を示す図。装置異常ログのデータ構造を示す図。車外通信履歴のデータ構造を示す図。異常要因判定結果のデータ構造を示す図。車外サービスを利用しなかった場合に想定される他の処理の一覧。

　以下、本発明の実施例について、図面を参照しながら詳細に説明する。

　本実施例では、車両に搭載された電子制御装置が取得した異常なログ情報に基づいて、異常の発生要因を判定する方法の例を用いる。

　図１は、本発明の一実施例に係る状態判定装置の構成を示す。状態判定装置１は、例えば車両に搭載された独立したＥＣＵであり、通信バス２を介して他ＥＣＵ３及び車外装置４に接続されている。ただし通信バス２は物理的には複数の通信バスであり、これらの通信バスの規格はすべて同一でもよいし異なっていてもよい。これら通信バスの規格はＣＡＮ（登録商標）、ＬＩＮ（登録商標）、ＦｌｅｘＲａｙ（登録商標）、イーサネット（登録商標）などである。ここで、他ＥＣＵ３は、車両に搭載された他のＥＣＵであり、車外装置４は、例えばサプライヤが有するサーバ装置等、車載ＥＣＵと通信して更新等を指示する装置であってよい。

　状態判定装置１は、不図示のＣＰＵ、不図示のＲＯＭ、および不図示のＲＡＭを備え、ＲＯＭに格納されたプログラムをＣＰＵがＲＡＭに展開して実行することにより以下の機能を実現する。なお、状態判定装置１は、上記では独立したＥＣＵであるとしたが、監視対象のＥＣＵ自体が備えるものであってもよいし、独立したＥＣＵとして構成され、他の複数の監視対象ＥＣＵの状態を判定してもよい。すなわち、状態判定装置１と、監視対象であるＥＣＵとの関係性については何ら限定されるものではない。

　すなわち状態判定装置１はその機能として、通信部１１、車外通信監視部１２、コード検証部１３、装置異常監視部１４、異常要因判定部１５、及び異常対処部１６を備える。また、状態判定装置１は、不揮発性の記憶装置である記憶部１００を備える。

　記憶部１００には、状態判定装置１のコード検証結果を保持するコード検証結果１０１、状態判定装置１における異常に関するログを保持する装置異常ログ１０２、車外通信の利用履歴を保持する車外通信利用履歴１０３、及び異常の発生要因の判定結果を保持する異常要因判定結果１０４が記憶される。

　通信部１１は、通信インタフェースであり通信に必要な演算を行う機能部であり、通信バス２を介して他のＥＣＵ３や車外装置４との間でメッセージの送受信を行う。前述のとおり通信バス２は物理的に複数の通信バスから構成されている。状態判定装置１は、通信部１１を用いて各装置の異常状態を判断できる情報を収集できる。

　車外通信監視部１２は、状態判定装置１が提供する車外通信に関わるＡＰＩ（Ａｐｐｌｉｃａｔｉｏｎ　Ｐｒｏｇｒａｍｍｉｎｇ　Ｉｎｔｅｒｆａｃｅ）の利用を監視し、利用実績を車外通信利用履歴１０３として記憶部１００に登録する。ＡＰＩは、直接車外通信に関わっていなくても予め指定した、車外通信に関わっているＡＰＩを含んでもよい。コード検証部１３は、状態判定装置１において実行されるプログラムの改ざん有無を所定のタイミングで検証し、検証結果をコード検証結果１０１として記憶部１００に登録する。装置異常監視部１４は、セキュリティ機能の処理結果や故障に関する異常事象を監視し、監視結果を装置異常ログ１０２として記憶部１００に登録する。異常要因判定部１５は、車外通信利用履歴１０３、装置異常ログ１０２、及びコード検証結果１０１に基づいて、発生した装置異常の要因が故障なのか、攻撃なのかを判定し、判定結果を異常要因判定結果１０４として記憶部１００に登録する。異常対処部１６は、前記異常要因判定結果１０４に基づいて、異常に対する対処内容を決定・実行する。

　図２は、状態判定装置１が実行する処理全体を示すシーケンス図である。図２に示すように、まず状態判定装置１は、起動時、もしくは起動後所定時間経過後に、コード検証部１３に対してコード検証命令信号を発行し、コード検証を実行する（ステップ２０１）。コード検証が成功すると、状態判定装置１の車外通信監視部１２が、車外装置４からの車外サービス提供の有無を監視し続ける（ステップ２０２）。また、装置異常監視部１４は並行して、監視対象のＥＣＵに異常が生じているか否かの監視を行い、異常を検知した場合には装置異常ログ１０２として記憶部１００に保存する（ステップ２０３）。

　その後、再起動時、もしくは所定時間経過後に、再びコード検証部１３に対してコード検証命令信号を発行し、コード検証を実行する（ステップ２０４）。そして、最後に異常要因判定部１５によって異常が検知された場合の要因を判定が行われる（ステップ２０５）。

　上記のように、本発明に係る状態判定装置１は要するに、起動時のセキュアブート等のコード検証、車外装置４からの車外サービス提供有無の監視、及び監視対象ＥＣＵに異常が生じたか否かの監視、を随時実行している。そして、これらの結果に基づいて、以下に詳述するような、異常要因の判定を行う。

　以下、図３及び図４を用いて、状態判定装置１が、監視対象ＥＣＵの状態を判定する方法の詳細について説明する。図３は、車外装置４からの車外サービスを利用した場合の一覧であり、図４は、車外サービスを利用しなかった場合の一覧である。

　図３に示すように、車外サービスを利用した場合には、図３（ａ）、（ｂ）のようにＥＣＵの異常を検知した場合と、図３（ｃ）、（ｄ）に示すようにＥＣＵの異常を検知しなかった場合とに分類される。

　まず、図３（ａ）、（ｂ）のように、監視対象ＥＣＵが車外装置４からの車外サービスを利用したと車外通信監視部１２が判定し、その後、装置異常監視部１４によって監視対象ＥＣＵの異常を検知した場合、図２で説明したように再びコード検証が実行される。その結果が失敗であれば、図３（ａ）に示すように、異常要因判定部１５によって、監視対象ＥＣＵに生じた異常が外部からの攻撃によるものであると判定する。また、コード検証が成功であった場合には、図３（ｂ）に示すように、監視対象ＥＣＵに生じた異常が外部からの攻撃によるものではなく故障に起因するものであったと判定する。

　また、装置異常監視部１４が監視対象ＥＣＵの異常を検知しなかった場合であっても、図３（ｃ）、（ｄ）に示すように、その後のコード検証が失敗であれば異常が攻撃によるものであると判定され、コード検証が成功すれば監視対象ＥＣＵに異常なしと判定される。上記のような判定が行われるのは次のような理由によるものである。

　すなわち、セキュアブートに代表されるコード検証はその信頼性が高く、コード検証の成功は、そのＥＣＵに何ら異常が存在しないことを意味する。従って、二度目のコード検証が失敗になった場合には、それまでの間に外部からサイバー攻撃を受けた可能性が非常に高いと考えられる。以上から、一度コード検証が成功した後に再度実行されるコード検証が失敗し、かつその間に車外サービスの利用があった場合には、第三者がその車外サービスを利用して監視対象ＥＣＵにサイバー攻撃を仕掛けたと判断することができる。ただし、図３（ｂ）に示すように、監視対象ＥＣＵに異常が発生したとしても、その後のコード検証が成功すれば、その異常は監視対象ＥＣＵの故障に起因する可能性が高いと判断される。

　図４は、図３の場合とは異なり監視対象ＥＣＵが車外サービスを利用しない場合の一覧である。この場合、図４と異なる点は、装置異常監視部１４が、監視対象ＥＣＵの異常を検知した場合であっても、その異常の要因を一旦は攻撃ではなく故障に起因するものであると異常要因判定部１５が判定する点である。これは、上述のようにコード検証の信頼性が高く、一度コード検証が成功した後、外部からのアクセスがない状態で異常が検知された場合、外部からサイバー攻撃を受けた可能性がほとんどないと考えられるためである。

　監視対象ＥＣＵに異常が検知された後のコード検証が失敗すれば、図４（ａ）のように、その異常が、セキュアブートプログラムが格納されたメモリの不具合等による故障、もしくは無線を介さず直接物理的な攻撃が加えられた可能性があると判定する。ここで、物理的な攻撃とは、ツール等を用いて車両の配線等に直接不正アクセスすることを意味する。この物理的な攻撃は難易度が非常に高く、また、市場に流通している多数の車両に直ちに影響を及ぼすものでもないため、故障と同程度のリスク要因として管理される。監視対象ＥＣＵに異常が検知された後のコード検証が成功すれば、図４（ｂ）のように、その異常が故障に起因するものであったと判定する。

　図４（ｃ）、（ｄ）においても、上記と同様に、監視対象ＥＣＵに異常が検知されない状態で実行された再度のコード検証が失敗すればメモリ故障または物理的な攻撃が加えられたと判定し、コード検証が成功すれば監視対象ＥＣＵは異常なしと判定される。

　図５は、状態判定装置１が監視対象ＥＣＵに発生した異常の要因を判定する際の処理を示すフローチャートである。以下に説明する各ステップの実行主体は、状態判定装置１の不図示のＣＰＵである。

　ステップ５０１では、コード検証部１３は状態判定装置１で実行されるプログラムが改ざんされているかどうかを検証し、検証結果をコード検証結果１０１として記憶部１００に登録する。ステップ５０１は監視対象ＥＣＵの起動時に最初に実行してもよいし、任意のタイミングで実行してもよい。また、コード検証方法は例えばＡＥＳ－ＣＭＡＣのように共通鍵を用いたコード検証でもよく、予め状態判定装置１内の機密性・完全性が確保された領域（例：ＨＳＭ：Ｈａｒｄｗａｒｅ　Ｓｅｃｕｒｉｔｙ　Ｍｏｄｕｌｅ）に共通鍵を保管しておき、検証対象領域のプログラムと前記共通鍵に基づいてＡＥＳ－ＣＭＡＣの演算結果と、予め完全性が確保された領域に保管された検証期待値を比較し、一致している場合は改ざんされていないと判定してもよい。その他にも、ＲＳＡやＥＣＤＳＡのように公開鍵を用いたコード検証でもよい。

　図８に、上記ステップ５０１においてコード検証部１３が登録するコード検証結果１０１の例を示す。コード検証結果１０１は、検証結果１０１１からなる情報を保持する。例えば、コード検証において改ざんありと判定された場合、検証結果１０１１を異常ありとし、コード検証において改ざんなしと判定された場合、検証結果１０１１を異常なしとする。

　ステップ５０２では、異常要因判定部１５は１次判定結果があるか否か判定する。１次判定とは、詳しくは後述するが、それまでに実行されたコード検証が成功した場合であって、かつ車外通信監視部１２による監視が行われた場合の、該結果の内容である。１次判定結果が既にあった場合、ステップ５０７に進み、１次判定結果がなかった場合、ステップ５０３に進む。例えば、状態判定装置１が１次判定を実施したことを示すフラグ情報を保持し、当該フラグが１のときは１次判定結果ありと判定し、当該フラグが０のときは１次判定結果なしと判定してよい。

　ステップ５０３では、コード検証部１３は上記ステップ５０１で改ざん（異常）なしと判定した場合、ステップ５０５に進み、上記ステップ５０１で改ざん（異常）ありと判定した場合、ステップ５０４に進む。

　ステップ５０４は、１次判定結果がなく、かつコード検証が異常であった場合である。これはすなわち初めてのコード検証時に異常が生じたことを意味するため、異常要因判定部１５は監視対象ＥＣＵに生じた異常の要因として初回動作不具合と判定する。ＥＣＵを工場において生産する際に１度でも起動させる場合、安全な工場内において攻撃を受けないことが保証でき、ＥＣＵに書込むプログラムの設定ミスやメモリ不具合などの工場生産における不具合と判定できる。

　ステップ５０５では、装置異常監視部１４は状態判定装置１において異常の発生を監視する。異常として、セキュリティ機能の処理結果として異常を示す事象や、装置の故障を示す事象を検知した際に装置異常が発生したと判定し、記憶部１００に当該事象を装置異常ログ１０２として登録する。

　図９に、上記ステップ５０５において装置異常監視部１４が登録する装置異常ログ１０２の例を示す。装置異常ログ１０２は、ログの種別としてセキュリティ機能系の監視項目に基づくログなのか、故障系監視項目に基づくログなのかを区別する異常種別１０２１と、監視内容を示す監視項目１０２２と、各監視項目での異常の有無を示す監視結果１０２３からなる情報を保持する。例えば、周期検知機能が異常を検知した場合、監視項目１０２２の周期検知異常にひもづく監視結果１０２３が異常ありとなる。

　ステップ５０６では、異常要因判定部１５は上記ステップ５０５の監視結果に基づいて１次判定を実施する。なお、本ステップは上記ステップ５０５において異常が検知されなかった場合も実施してもよい。

　図６は、上記ステップ５０６において異常要因判定部１５が異常要因を１次判定する処理フローを示す。以下に説明する各ステップの実行主体は、状態判定装置１の不図示のＣＰＵである。

　ステップ６０１では、車外通信監視部１２は、状態判定装置１が車外通信を利用した履歴を記憶部１００の車外通信利用履歴１０３から取得する。このとき、車外通信履歴として、過去のコード検証に異常がないと判断された以降に利用した車外通信履歴のみをログとして残す。

　図１０に、上記ステップ６０１において車外通信監視部１２が取得する車外通信利用履歴１０３の例を示す。車外通信利用履歴１０３は、監視対象となる車外通信項目を示す監視項目１０３１と、当該監視項目に関連するＡＰＩの利用やデータの送受信があった場合に利用ありとして登録される利用履歴１０３２からなる情報を保持する。また、これらの情報以外にも、利用時刻や利用回数等を履歴として有していてもよく、これらの情報に基づいて情報の判定の確度を設定してもよい。

　ステップ６０２では、異常要因判定部１５は１次判定処理として、車外通信の利用有無及び装置異常に基づいて異常要因を判定する。具体的には、図３及び図４を用いて説明したように、異常要因判定部１５は、車外通信の利用履歴がなく、且つ装置異常が発生している場合、故障と判定し、車外通信の利用履歴があり、且つ装置異常が発生している場合、攻撃と判定する。また、異常要因判定部１５は、車外通信の利用履歴があり、且つ装置異常が発生していない場合、異常なしと判定し、車外通信の利用履歴がなく、且つ装置異常も発生していない場合も、異常なしと判定する。このようにして１次判定結果を得る。

　ステップ５０２において１次判定結果があると判定された場合、ステップ５０７において、異常要因判定部１５は上記の１次判定結果を踏まえた異常要因の２次判定を実施する。

　図７は、上記ステップ５０７において異常要因判定部１５が異常要因を２次判定する処理フローを示す。以下に説明する各ステップの実行主体は、状態判定装置１の不図示のＣＰＵである。

　ステップ７０１では、異常要因判定部１５は記憶部１００の異常要因判定結果１０４から１次判定結果を取得する。

　ステップ７０２では、異常要因判定部１５は上記ステップ５０１におけるコード検証結果および上記ステップ７０１で取得した１次判定結果に基づいて２次判定を実施する。具体的には、図３及び図４を用いて説明した通り、前記１次判定において攻撃と判定、且つ最新のコード検証で異常なしと判定した場合、異常要因を故障に更新する。前記１次判定において攻撃と判定、且つ最新のコード検証で異常ありと判定した場合、異常要因を攻撃とする。このとき、より高い確度を示す情報をログに付加してもよい。前記１次判定において故障と判定、且つ最新のコード検証で異常なしと判定した場合、異常要因を故障とする。このとき、メモリ関連以外の故障を示す情報をログに付加してもよい。

　前記１次判定において故障と判定、且つ最新のコード検証で異常ありと判定した場合、異常要因を故障とする。このとき、メモリ関連の故障を示す情報をログに付加してもよく、物理的に直接制御装置やその通信バス２を介した攻撃であることを示す情報をログに付加してもよい。前記１次判定において異常なしと判定、且つ最新のコード検証で異常なしと判定した場合、異常要因を異常なしとする。前記１次判定において異常なしと判定、且つ最新のコード検証で異常ありと判定、且つ前回コード検証異常なしから最新のコード検証異常ありとなった期間に車外サービスの利用履歴がある場合、異常要因を攻撃に更新する。前記１次判定において異常なしと判定、且つ最新のコード検証で異常ありと判定、且つ前回コード検証異常なしから最新のコード検証異常ありとなった期間に車外サービスの利用履歴がない場合、異常要因を故障に更新する。

　以上のステップにより、状態判定装置１は最新のコード検証結果と１次判定結果に基づいて、必要に応じて１次判定結果を更新することにより、異常の発生要因をより高い確度で攻撃なのか、故障なのかを判定することができる。

　ステップ５０４における初回判定処理、ステップ５０６における１次判定処理、及びステップ５０７における２次判定処理のいずれかが実施された後は、ステップ５０８に進む。ステップ５０８では、異常対処部１６は上記ステップ５０４、ステップ５０６、ステップ５０７における要因判定結果に基づいて、該当ログを異常要因判定結果１０４として記憶部１００に登録したり、通信部１１を介して車外の装置に通知したりする。

　図１１に、上記ステップ５０８において異常対処部１６が登録する異常要因判定結果１０４の例を示す。異常要因判定結果１０４は、後述する１次判定処理結果と２次判定処理結果を区別する種別１０４１と、異常の発生要因を示す要因１０４２からなる情報を保持する。異常要因判定結果１０４に登録された情報は、例えば発生した異常が解決されたタイミングに外部からのコマンドを受けて初期化してもよい。

　以上説明した本実施例によれば、状態判定装置１は車外通信の利用履歴と、装置異常の発生に基づいて、異常の発生要因が故障なのか、攻撃なのかを判定することができる。また、記録されたログの解析者は当該判定結果に基づいた原因究明に取り掛かることが可能となるため、車両の不具合発生後に迅速かつ適切な工数で対処できる。

［変形例］
　以下、いくつかの変形例について説明する。
　以上説明した実施例１においては、車外サービスを利用しない間に監視対象ＥＣＵに異常が生じたときには故障要因として１次判定していた（図４（ａ）、（ｂ））。しかし、図９にて説明した通り、異常種別としては故障系の他にセキュリティ機能系もある。そこで、変形例においては、車外サービスを利用していないにも関わらずセキュリティ機能系の異常が生じたときには、図１２に示すように一旦攻撃要因として１次判定し、ログを記録する。

　そして、その後再びコード検証を実行し、図１２（ａ）のように検証が失敗すれば攻撃確定、図１２（ｂ）のように検証が成功すれば、検知した異常は誤検知によるものであったとして２次判定する。

　本変形例によれば、上記した実施例における攻撃／故障の区別に加えてさらに攻撃／誤検知の区別も行うことができる。

　さらに、本発明は以下のような形態としても採用できる。
・２面ＲＯＭとメモリ保護機能の仕組みを利用した判定結果の補正
　コード検証プログラムが格納された領域を２面メモリ（ダブルバンク）として冗長性を担保し、起動面のコード検証が失敗後の待機面起動におけるコード検証結果を活用し、判定結果を補正する。また、待機面起動可能時は、ＶＳＯＣ（Ｖｅｈｉｃｌｅ　Ｓｅｃｕｒｉｔｙ　Ｏｐｅｒａｔｉｏｎ　Ｃｅｎｔｅｒ）への通知を試みる。

・車外サービスの利用頻度に応じて確度を調整
　車外サービスの利用頻度（常時利用、１回／日、１回／週、１回／月、１回／年、１回／数年）によって判定の確からしさの重みが変わるため、より利用頻度の少ない車外サービスを用いた場合の判定の確度を高くする。

・車外サービスや異常系ログの種類に応じた判定方法を設定
　例えば、車外サービスがリプログラムのような更新（Ｗｒｉｔｅ系）に関するサービスの場合、誤ったデータを設定してしまう過失を追加（ＥＣＵは、攻撃／故障判定に加えて、過失判定をログとして格納）する。

・車外サービスの脆弱性発生リスクを考慮
　脆弱性が多く報告されているＯＳＳ（Ｏｐｅｎ　Ｓｏｕｒｃｅ　Ｓｏｆｔｗａｒｅ）の利用、Ｗｒｉｔｅ系のサービスなどの利用後の攻撃の可能性を高くする。

・自ＥＣＵに閉じたログの確度を高く設定
　故障系ログでも、通信系ログは通信相手の影響を受けるため、信頼性が通信相手のＥＣＵ次第となってしまう。一方、メモリ異常、回路異常、起動異常の監視結果は、ＥＣＵ内に閉じるため信頼性は高い。また、攻撃系ログでも、セキュアブートはＥＣＵに閉じた判断が可能なのに対して、他の攻撃系ログは、対向の影響を受けるため、信頼性が対向次第になってしまう。このように、監視対象ＥＣＵで閉じた事象なのか、通信相手等の対向が存在するか、等によって確度を変更させることができる。

　以上で説明した本発明の実施例によれば、以下の作用効果を奏する。
（１）本発明の一実施例に係る状態判定装置は、車両に搭載された電子制御装置の異常状態を判定する状態判定装置であって、電子制御装置と車両の外部との間の通信の有無を監視する車外通信監視部と、電子制御装置のコード検証を実行するコード検証部と、電子制御装置の異常の発生の有無を監視する装置異常監視部と、異常の要因を判定する異常要因判定部と、を備え、異常要因判定部は、通信の有無、コード検証の結果及び異常の有無に基づいて異常の要因を特定する。

　上記構成により、異常が発生した際に、その要因が故障なのか、サイバー攻撃なのかを少ない工数で判定することが可能になり、車両の不具合発生後に迅速かつ適切に対処できる。

（２）異常要因判定部は、通信があったと車外通信監視部に判定された場合かつ該通信の発生後に電子制御装置に異常が発生したと装置異常監視部によって判定された場合に、該異常を、車両の外部からの攻撃に起因するものであると判定する。これにより、まず攻撃であるという１次判定を行うことになるため、対処に遅延が生じて被害が拡大してしまう危険を排除できる。

（３）コード検証部は、電子制御装置に異常が発生したと装置異常監視部によって判定された後に、電子制御装置のコード検証を実行し、異常要因判定部は、コード検証の結果が正常であった場合、異常を、電子制御装置の故障に起因するものであると修正する。これにより、攻撃の１次判定がなされた場合であっても即座に故障の２次判定を下すことになるため、異常（故障）に対して迅速に適切な対処をとることが可能になる。

（４）コード検証部は、通信があったと車外通信監視部に判定された場合かつ該通信の発生後に電子制御装置に異常が発生したと装置異常監視部によって判定されなかった場合に電子制御装置のコード検証を実行し、異常要因判定部は、コード検証の結果が異常であった場合に、電子制御装置に車両の外部からの攻撃が加えられたと判定する。これにより、監視対象ＥＣＵに異常が発生しない場合であっても、信頼性の高いコード検証を利用することによって、迅速に攻撃の判定を下すことが可能になる。

（５）異常要因判定部は、通信があったと車外通信監視部に判定されなかった場合かつ電子制御装置に異常が発生したと装置異常監視部によって判定された場合に、該異常を、電子制御装置の故障に起因するものであると判定する。これにより、異常が生じる毎に攻撃判定を下す必要性がなくなり、事象に対して適切かつ迅速な対応をとることができる。

（６）コード検証部は、電子制御装置に異常が発生したと装置異常監視部によって判定された場合に電子制御装置のコード検証を実行し、異常要因判定部は、コード検証の結果が異常であった場合に、異常が、電子制御装置の故障または外部からの物理的な攻撃に起因するものであると判定する。これにより、２次判定として故障だけでなく物理的な攻撃も可能性として考慮することになり、攻撃に対する予防等を講じることが可能になる。

　なお、本発明は、上記の実施例に限定されるものではなく、様々な変形が可能である。例えば、上記の実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、本発明は、必ずしも説明した全ての構成を備える態様に限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能である。また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、削除したり、他の構成を追加・置換したりすることが可能である。

　１　状態判定装置、１２　車外通信監視部、１３　コード検証部、１４　装置異常監視部、１５　異常要因判定部

Claims

　車両に搭載された電子制御装置の異常状態を判定する状態判定装置であって、
　前記電子制御装置と前記車両の外部との間の通信の有無を監視する車外通信監視部と、　前記電子制御装置のコード検証を実行するコード検証部と、
　前記電子制御装置の異常の発生の有無を監視する装置異常監視部と、
　前記異常の要因を判定する異常要因判定部と、を備え、
　前記異常要因判定部は、前記通信の有無、前記コード検証の結果及び前記異常の有無に基づいて前記異常の要因を特定する、
ことを特徴とする状態判定装置。
　請求項１に記載の状態判定装置であって、
　前記異常要因判定部は、前記通信があったと前記車外通信監視部に判定された場合かつ該通信の発生後に前記電子制御装置に異常が発生したと前記装置異常監視部によって判定された場合に、該異常を、前記車両の外部からの攻撃に起因するものであると判定する、
ことを特徴とする状態判定装置。
　請求項２に記載の状態判定装置であって、
　前記コード検証部は、前記電子制御装置に異常が発生したと前記装置異常監視部によって判定された後に、前記電子制御装置のコード検証を実行し、
　前記異常要因判定部は、前記コード検証の結果が正常であった場合、前記異常を、前記電子制御装置の故障に起因するものであると修正する、
ことを特徴とする状態判定装置。
　請求項１に記載の状態判定装置であって、
　前記コード検証部は、前記通信があったと前記車外通信監視部に判定された場合かつ該通信の発生後に前記電子制御装置に異常が発生したと前記装置異常監視部によって判定されなかった場合に前記電子制御装置のコード検証を実行し、
　前記異常要因判定部は、前記コード検証の結果が異常であった場合に、前記電子制御装置に前記車両の外部からの攻撃が加えられたと判定する、
ことを特徴とする状態判定装置。
　請求項１に記載の状態判定装置であって、
　前記異常要因判定部は、前記通信があったと前記車外通信監視部に判定されなかった場合かつ前記電子制御装置に異常が発生したと前記装置異常監視部によって判定された場合に、該異常を、前記電子制御装置の故障に起因するものであると判定する、
ことを特徴とする状態判定装置。
　請求項５に記載の状態判定装置であって、
　前記コード検証部は、前記電子制御装置に異常が発生したと前記装置異常監視部によって判定された場合に前記電子制御装置のコード検証を実行し、
　前記異常要因判定部は、前記コード検証の結果が異常であった場合に、前記異常が、前記電子制御装置の故障または外部からの物理的な攻撃に起因するものであると判定する、
ことを特徴とする状態判定装置。