WO2024070859A1

WO2024070859A1 - 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

Info

Publication number: WO2024070859A1
Application number: PCT/JP2023/034149
Authority: WO
Inventors: 啓悟長柄; 泰司安部; 知範幾世; 浩之宇都宮; 万寿三江川; 基眞下; 桂太早川
Original assignee: 株式会社デンソー
Priority date: 2022-09-30
Filing date: 2023-09-20
Publication date: 2024-04-04

Abstract

電子制御システムに対する攻撃を分析する攻撃分析装置であって、電子制御システムで検出された異常及び位置を示すログを取得するログ取得部（１０１）と、異常が発生したときの移動体の内部状態又は／及び外部状態を示す指標を取得する指標取得部（１０２）と、電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）と、ログ及び攻撃・異常関係情報に加えて、指標に基づき、受けた攻撃を推定する攻撃推定部（１０６）と、推定された攻撃を示す攻撃情報を出力する出力部（１０８）と、を有する。

Description

攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

関連出願の相互参照

　本出願は、２０２２年９月３０日に出願された日本特許出願番号２０２２－１５８５９７号、２０２２年９月３０日に出願された日本特許出願番号２０２２－１５７４３２号、及び２０２３年７月３１日に出願された日本特許出願番号２０２３－１２４１７９号に基づくもので、ここにその記載内容を援用する。

　本開示は、主に自動車をはじめとする移動体等の装置に搭載された電子制御システムに対する攻撃を分析する技術であって、攻撃分析装置、攻撃分析方法、及び攻撃分析プログラムに関する。

　近年、車車間通信や路車間通信のようなＶ２Ｘをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。

　車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献１には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め特定された異常検出パターンとを照合して、異常に対応する攻撃の種別を特定することが記載されている。

　また、特許文献２には、電子制御装置が異常を検出した場合に、電子制御装置に搭載された防御機能や防御機能以外の機能が正常であるか異常であるかの判定結果を用いて、不正な情報を遮断するための措置を決定することで、不正な情報の侵入を防止する装置が開示されている。

特開２０２０－１２３３０７号公報特開２０２２－０１７８７３号公報

　本発明者らは、詳細な検討の結果、以下の課題を知見した。
　電子制御システムにおいて検出された異常及び異常が検出された電子制御システム内の位置を示すセキュリティログと、電子制御システムがサイバー攻撃を受けた場合に発生することが予測される異常の組み合わせを示す攻撃・異常関係情報を用いて電子制御システムが受けた攻撃を推定する場合、推定の精度や推定に必要な演算量に関しさらなる改善が求められる。

　本開示の一局面は、電子制御システムが受けたサイバー攻撃の推定の精度を上げることを目的としている。

　また、本開示の一局面は、電子制御システムが受けたサイバー攻撃の推定に必要な演算量を削減することを目的としている。

　以上の２つの目的は、いずれか一方のみ達成される場合の他、両方が達成される場合もあることに留意すべきである。

　本開示の一態様による攻撃分析装置は、移動体に搭載された電子制御システムに対する攻撃を分析する攻撃分析装置であって、前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得するログ取得部と、前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標を取得する指標取得部と、前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部と、前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記指標に基づき、前記電子制御システムが受けた攻撃を推定する攻撃推定部と、推定された前記攻撃を示す攻撃情報を出力する出力部と、を有する。

　このような構成により、本開示の攻撃分析装置は、セキュリティログ及び攻撃・異常関係情報に加えて、異常が発生したときの移動体の内部状態又は／及び外部状態を示す指標を用いて攻撃を推定するので、推定の精度を上げること、又は／及び、推定に必要な演算量を削減すること、ができる。

　なお、請求の範囲に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。

　本開示についての上記目的およびその他の目的、特徴や利点は、添付の図面を参照しながら下記の詳細な記述により、より明確になる。その図面は、
図１は、各実施形態の攻撃分析装置と電子制御システムの位置関係を示す説明図であり、図２は、電子制御システムＳの構成例を示すブロック図であり、図３は、セキュリティログの内容を示す説明図であり、図４は、各実施形態の攻撃分析装置の構成例を示すブロック図であり、図５は、シチュエーション情報の概念を説明する説明図であり、図６は、攻撃・異常関係情報の概念を説明する説明図であり、図７ａは、各実施形態の攻撃分析装置の攻撃推定方法の具体例を説明する説明図であり、図７ｂは、各実施形態の攻撃分析装置の攻撃推定方法の具体例を説明する説明図であり、図７ｃは、各実施形態の攻撃分析装置の攻撃推定方法の具体例を説明する説明図であり、図７ｄは、各実施形態の攻撃分析装置の攻撃推定方法の具体例を説明する説明図であり、図８は、各実施形態の攻撃分析装置の動作を説明するフローチャートであり、図９は、実施形態１の攻撃分析装置を備えたシステム全体の概略を示すブロック図であり、図１０は、実施形態１の攻撃分析装置の構成例を示すブロック図であり、図１１は、ＥＣＵの個別位置と共通化位置との関係を示す説明図であり、図１２は、車両シチュエーション判定条件テーブルを示す説明図であり、図１３は、電源状態判定用テーブルを示す説明図であり、図１４は、攻撃推定用マッチングテーブルを示す説明図であり、図１５は、攻撃推定用マッチングテーブルを用いた場合の演算負荷を軽減する方法を示す説明図であり、図１６は、実施形態１の攻撃分析装置の動作を説明するタイミングチャートであり、図１７は、実施形態２の攻撃分析装置又は攻撃分析システムの構成例を示すブロック図であり、図１８は、実施形態２の攻撃分析装置の分析対象である電子制御システムを説明する図であり、図１９は、実施形態２のＥＣＵ、エントリポイント及び外部接続先の例を説明する図であり、図２０は、実施形態２の走行状況・攻撃関係テーブルの例を説明する図であり、図２１は、実施形態２の走行状況・攻撃関係テーブルの例を説明する図であり、図２２は、実施形態２のエントリポイント候補生成部の構成例を示すブロック図であり、図２３は、実施形態２の攻撃推定部の構成例を示すブロック図であり、図２４は、実施形態２の攻撃・異常関係テーブルの例を説明する図であり、図２５は、実施形態２の攻撃・異常関係テーブルの例を説明する図であり、図２６は、実施形態２の推定結果検証部の構成例を示すブロック図であり、図２７は、実施形態２の攻撃分析システムの動作を示すフローチャートであり、図２８は、実施形態２の変形例１の攻撃分析システムの構成例を示すブロック図であり、図２９は、実施形態２の変形例の攻撃分析装置の配置を説明する説明図であり、図３０は、実施形態２の変形例２の攻撃分析システムの構成例を示すブロック図であり、図３１は、実施形態２の変形例３の攻撃分析システムの構成例を示すブロック図であり、図３２は、実施形態３の攻撃分析装置の構成例を示すブロック図であり、図３３は、実施形態３の保存部に保存されているテーブルを説明する図であり、図３４は、実施形態３のセキュリティログが偽陽性ログであるか否かを判定する方法を説明する図であり、図３５は、実施形態３の攻撃・異常関係テーブルの例を説明する図であり、図３６は、実施形態３の攻撃分析装置の動作を説明するフローチャートであり、図３７は、実施形態３の攻撃分析装置の動作を説明するフローチャートであり、図３８は、実施形態３の変形例の保存部に保存されているテーブルを説明する図であり、図３９は、実施形態３の変形例のセキュリティログが偽陽性ログであるか否かを判定する方法を説明する図であり、図４０は、実施形態３の変形例のセキュリティログが偽陽性ログであるか否かを判定する方法を説明する図であり、図４１は、実施形態３の変形例の攻撃分析装置の動作を説明するフローチャートである。

　以下、本開示の例示的な実施形態について図面を参照しながら説明する。

　なお、以下に示す本発明とは、請求の範囲に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともダブルクォーテーション内の語句は、請求の範囲に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。

　請求の範囲の従属項に記載の構成及び方法は、請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。

　実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。

　複数の実施形態（変形例も含む。以下同様。）がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。

　本開示に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本開示の構成及び方法とともに発明の進歩性を肯定する事実である。

１．各実施形態の前提となる構成等
（１）攻撃分析装置１０と電子制御システムＳの位置関係
　図１を参照して、各実施形態の攻撃分析装置１０と電子制御システムＳの位置関係を説明する。

　攻撃分析装置１０は、電子制御システムＳに対する攻撃を分析する装置である。より具体的には、電子制御システムＳを構成する電子制御装置２０のセキュリティセンサで生成されたセキュリティログを受信し、セキュリティログに基づいて電子制御システムＳに対する攻撃を分析する装置である。ここでは各実施形態の攻撃分析装置１１～１３を総称して、攻撃分析装置１０として説明する。

　図１（ａ）や図１（ｂ）に示すように、攻撃分析装置１０が電子制御システムＳを構成する電子制御装置２０とともに“移動体”である車両に“搭載”されている場合と、図１（ｃ）に示すように、電子制御システムＳを構成する電子制御装置２０が“移動体”である車両に“搭載”され、攻撃分析装置１０が車両の外部に設けられたサーバ装置やＳＯＣ（Security Operation Center）等で実現する場合と、が想定される。さらに、攻撃分析装置１０の一部である攻撃分析装置１０ａが“移動体”である車両に“搭載”されており、攻撃分析装置１０の残部である攻撃分析装置１０ｂが車両の外部に設けられている場合が想定される。以下、電子制御装置２０をＥＣＵ（Electronic Control Unit）２０と略する。
　ここで、
　“移動体”とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
　“搭載”される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。

　図１（ａ）に示す例は、電子制御システムＳの内部に独立した攻撃分析装置１０を設けた例、又は電子制御システムＳを構成するＥＣＵ２０の少なくとも１つに攻撃分析装置１０の機能を内蔵したものである。図１（ｂ）に示す例は、電子制御システムＳの外部に攻撃分析装置１０を設けた例であるが、接続の形態の視点からは、実質的には図１（ａ）と同じである。
　すなわち、図１（ａ）や図１（ｂ）の場合、攻撃分析装置１０とＥＣＵ２０とは、例えばＣＡＮ（Controller Area Network）、ＬＩＮ（Local Interconnect Network）といった車載通信ネットワークを介して接続されている。あるいは、Ｅｔｈｅｒｎｅｔ（登録商標）、Ｗｉ－Ｆｉ（登録商標）、Ｂｌｕｅｔｏｏｔｈ（登録商標）等、有線無線を問わず任意の通信方式を用いて接続されてもよい。なお、接続とは、データのやり取りが可能な状態をいい、異なるハードウェアが有線又は無線の通信ネットワークを介して接続されている場合はもちろん、同一のハードウェア上で実現された仮想マシン同士が仮想的に接続されている場合も含む。

　図１（ｃ）及び図１（ｄ）の場合は電子制御システムＳの外部に攻撃分析装置１０の全部又は一部を設けたものであるが、攻撃分析装置１０は車両の外部に設けられているので、接続の形態は通常図１（ａ）や図１（ｂ）とは異なる。攻撃分析装置１０と電子制御システムＳとは、例えば、ＩＥＥＥ８０２．１１（Ｗｉ－Ｆｉ（登録商標））、ＩＥＥＥ８０２．１６（ＷｉＭＡＸ（登録商標））、Ｗ－ＣＤＭＡ（Wideband Code Division Multiple Access）、ＨＳＰＡ（High Speed Packet Access）、ＬＴＥ（Long Term Evolution）、ＬＴＥ－Ａ（Long Term Evolution Advanced）、４Ｇ、５Ｇ等の無線通信方式を用いた通信ネットワークを介して接続されている。あるいは、ＤＳＲＣ（Dedicated Short Range Communication）を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、ＬＡＮ（Local Area Network）やインターネット、固定電話回線を用いることができる。

　図１（ａ）や図１（ｂ）の場合、外部の装置との間で通信を行うことなく、攻撃を受けた車両内で遅滞なくサイバー攻撃の分析を行うことができ、サイバー攻撃に対する対応をより迅速に行うことができる。

　これに対し、図１（ｃ）や図１（ｄ）の場合、例えばサーバ装置の豊富なリソースを利用してサイバー攻撃の分析を行うことができる。さらに、既存の車両に新たな装置やプログラムを実装することなく、サーバ装置で集中的にサイバー攻撃の分析を行うことができる。

　以下の各実施形態では、図１（ｃ）に示す配置の場合を前提として説明する。
　各実施形態では、電子制御システムＳは車両に搭載された車載システムである例を挙げて説明するが、電子制御システムＳは車載システムに限定されるものではなく、複数のＥＣＵからなる任意の電子制御システムに適用することができる。例えば、電子制御システムＳは、移動体ではなく静止体や固定物に搭載されるものであってもよい。
　また、攻撃分析装置１０の一部をサーバ装置に設け、残部を移動体やその他の装置に設けるようにしてもよい。

　なお、図１（ｄ）において、攻撃分析装置１０ａは、例えば後述のシチュエーション推定部１０４を含む装置、攻撃分析装置１０ｂは、後述の攻撃推定部１０６を含む装置とすることができる。

　また、攻撃分析装置１０は、受信したセキュリティログが示す異常が、サイバー攻撃を受けたことによって発生する異常か、それともサイバー攻撃以外の理由によって発生した異常かを判定し、前者の場合はセキュリティログに基づきサイバー攻撃の分析を行い、後者の場合は偽陽性ログであるとしてサイバー攻撃の分析を行わないようにすることができる。このような機能を有する部分を、ログ判定装置と定義することができる。ログ判定装置は、シチュエーション推定部１０４を含む装置の一例である。

　ログ判定装置は、攻撃分析装置１０の処理の前段に設けてもよいし、攻撃分析装置１０に含めるようにしてもよい。図１には図示していないが、図１（ａ）及び図１（ｂ）の場合は、ログ判定装置も車両に搭載されることになる。これに対し、図１（ｃ）の場合は、ログ判定装置を攻撃分析装置１０であるサーバ装置等に設けてもよいし、ログ判定装置のみを車両に設けてもよい。この場合、前者は図１（ｃ）、後者は図１（ｄ）に示す配置となる。

（２）電子制御システムＳの構成
　図２は、電子制御システムＳの構成例を示す図である。電子制御システムＳは、複数のＥＣＵ２０、及びこれらを接続する車載ネットワーク（すなわち、ＮＷ１～ＮＷ３）から構成されている。図２は８つのＥＣＵ（すなわち、ＥＣＵ２０ａ～ＥＣＵ２０ｈ）を例示しているが、当然のことながら、電子制御システムＳは任意の数のＥＣＵから構成される。以後の説明では、単数又は複数の電子制御装置全体を包括して説明する場合はＥＣＵ２０や各ＥＣＵ２０、個々の電子制御装置を特定して説明する場合はＥＣＵ２０ａ、ＥＣＵ２０ｂ、ＥＣＵ２０ｃ、・・・のように記載している。

　図２の場合、各ＥＣＵ２０間は、図１（ａ）及び図１（ｂ）の説明で記載した車載通信ネットワーク等を介して接続されている。

　図２に示す電子制御システムＳは、統合ＥＣＵ２０ａ、外部通信ＥＣＵ２０ｂ、ゾーンＥＣＵ（すなわち、ＥＣＵ２０ｃ，２０ｄ）、及び個別ＥＣＵ（すなわち、ＥＣＵ２０ｅ～２０ｈ）を含んでいる。

　統合ＥＣＵ２０ａは、電子制御システムＳ全体を制御する機能を備えるとともに、各ＥＣＵ２０間の通信を仲介するゲートウェイ機能を備えたＥＣＵである。統合ＥＣＵ２０ａは、ゲートウェイＥＣＵ（すなわち、Ｇ－ＥＣＵ）、モビリティコンピュータ（すなわち、ＭＣ）と呼ばれることもある。また、統合ＥＣＵ２０ａは、中継装置やゲートウェイ装置であってもよい。

　外部通信ＥＣＵ２０ｂは、車両の外部に設けられた外部装置、例えば各実施形態ではサーバ装置３０と通信を行う通信部を有するＥＣＵである。外部通信ＥＣＵ２０ｂが用いる通信方式は、図１（ｃ）の説明で記載した無線通信方式や有線通信方式である。
　なお、複数の通信方式を実現するため、外部通信ＥＣＵ２０ｂを複数設けるようにしてもよい。また、外部通信ＥＣＵ２０ｂを設ける代わりに、統合ＥＣＵ２０ａが外部通信ＥＣＵ２０ｂの機能を内包してもよい。

　ゾーンＥＣＵ（すなわち、ＥＣＵ２０ｃ，２０ｄ）は、後述の個別ＥＣＵが配置される場所や機能に応じて適宜配置されたゲートウェイ機能を備えたＥＣＵである。例えば、ゾーンＥＣＵ２０ｃは、車両の前方に配置された個別ＥＣＵ２０ｅ及び個別ＥＣＵ２０ｆと他のＥＣＵ２０との通信を仲介するゲートウェイ機能を有するＥＣＵ、ゾーンＥＣＵ２０ｄは、車両の後方に配置された個別ＥＣＵ２０ｇ及び個別ＥＣＵ２０ｈと他のＥＣＵ２０との通信を仲介するゲートウェイ機能を有するＥＣＵ、である。ゾーンＥＣＵ（すなわち、ＥＣＵ２０ｃ，２０ｄ）は、ドメインコンピュータ（すなわち、ＤＣ）と呼ばれることもある。ゾーンＥＣＵ２０ｃには、ネットワーク２（図２のＮＷ２）を介して個別ＥＣＵ２０ｅ及び個別ＥＣＵ２０ｆが接続され、ゾーンＥＣＵ２０ｄには、ネットワーク３（図２のＮＷ３）を介して個別ＥＣＵ２０ｇ及び個別ＥＣＵ２０ｈが接続されている。

　個別ＥＣＵ（すなわち、ＥＣＵ２０ｅ～２０ｈ）は任意の機能を有するＥＣＵで構成することができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ＥＣＵ同士が並列ではなく、マスタとスレーブとに分類されていてもよい。
　なお、各個別ＥＣＵ（すなわち、ＥＣＵ２０ｅ～２０ｈ）で実現する機能に応じて、各個別ＥＣＵ（すなわち、ＥＣＵ２０ｅ～２０ｈ）に必要なセンサを接続してもよい。例えば、速度センサ、加速度センサ、角速度センサ、温度センサ、シートセンサ、電圧計が挙げられるが、これらに限らない。また、これらのセンサを、各個別ＥＣＵ（すなわち、ＥＣＵ２０ｅ～２０ｈ）ではなく、統合ＥＣＵ２０ａやゾーンＥＣＵ（すなわち、ＥＣＵ２０ｃ，２０ｄ）に接続してもよい。

　なお、各ＥＣＵ２０は、物理的に独立した電子制御装置の他、仮想化技術を用いて実現した仮想化電子制御装置であってもよい。また、各ＥＣＵ２０は、異なるハードウェアでそれぞれ実現されている場合は有線又は無線の通信方式を介して接続されていればよく、同一のハードウェア上で複数の仮想化電子制御装置が実現されている場合は、仮想化電子制御装置同士が仮想的に接続されていればよい。

　図１（ａ）の場合、攻撃分析装置１０は電子制御システムＳの内部に設けられ、例えば図２のように、統合ＥＣＵ２０ａや個別ＥＣＵ２０ｅで攻撃分析装置１０を実現している。個別ＥＣＵ２０ｅで実現する場合は、個別ＥＣＵ２０ｅを攻撃分析装置１０の専用のＥＣＵとしてもよい。
　図１（ｃ）の場合、攻撃分析装置１０は電子制御システムＳの外部に設けられ、例えば図２のようにサーバ装置３０で攻撃分析装置３０を実現している。この場合、サーバ装置３０は、外部通信ＥＣＵ２０ｂを介して送信されたセキュリティログを受信している。

　各ＥＣＵ２０は、セキュリティセンサを有しており、セキュリティセンサは、ＥＣＵ２０やＥＣＵ２０に接続されたネットワークに発生した異常を検知した場合に、セキュリティログを生成する。セキュリティログの詳細は次項で説明する。
　なお、必ずしも全てのＥＣＵ２０がセキュリティセンサを備えていなくてもよい。

（３）セキュリティログの詳細
　図３は、ＥＣＵ２０のセキュリティセンサが生成したセキュリティログの内容を示す図である。

　セキュリティログは、セキュリティセンサが搭載されているＥＣＵの識別情報を示すＥＣＵＩＤ、セキュリティセンサの識別情報を示すセンサＩＤ、セキュリティセンサが検知した異常に関するイベントの識別情報を示すイベントＩＤ、イベントの発生回数を示すカウンタ、イベントの発生時刻を示すタイムスタンプ、及びセキュリティセンサの出力の詳細を示すコンテキストデータ、の各フィールドを有する。セキュリティログは、さらに、プロトコルのバージョンや、各フィールドの状態を示す情報を格納したヘッダを有していてもよい。

　ＡＵＴＯＳＡＲ（AUTomotive Open System ARchitecture）で定めた仕様によれば、IdsM Instance IDがＥＣＵＩＤ、Sensor Instance IDがセンサＩＤ、Event Definition IDがイベントＩＤ、Countがカウンタ、Timestampがタイムスタンプ、Context Dataがコンテキストデータ、Protocol VersionやProtocol Header がヘッダ、にそれぞれ相当する。

　なお、図３は異常が発生した場合に生成される異常ログの例であるが、異常が発生していない場合（例えば、イベントが成功した場合）に生成される正常ログも図３と同じ仕様としてもよい。その場合、例えば、異常が発生した場合とイベントが成功した場合とで異なるイベントＩＤを使用することで、異常ログと正常ログとを識別することができる。また、ヘッダにコンテキストデータの有無を示すフラグを設定することにより、かかるフラグを確認することで、異常ログと正常ログとを識別してもよい。

　また、図３は物理的に独立したＥＣＵ２０が生成したセキュリティログであるが、仮想ＥＣＵが生成したセキュリティログであってもよい。

　なお、セキュリティセンサが生成したセキュリティログはＳＥｖ、絞り込み済の的確なセキュリティログはＱＳＥｖ、と呼ばれる。例えば、図２の個別ＥＣＵ（すなわち、ＥＣＵ２０ｅ～２０ｈ）のセキュリティセンサはＳＥｖを生成して図示しない侵入検知システムマネージャ（すなわち、ＩｄｓＭ）にレポートし、ＩｄｓＭでＳＥｖが認定フィルタを通過して指定された基準を満たした場合にＱＳＥｖとして侵入検知レポータから車両の外部に送信される。本実施形態のセキュリティログは、ＳＥｖ及びＱＳＥｖのいずれも含む概念である。

　また、各実施形態のセキュリティログは、車載ＳＩＥＭ（Security Information and Event Management）と呼ばれる、電子制御システム内で発生したイベントに関する情報を収集して管理する機能によって生成されるログであってもよい。

　なお、以下の各実施形態、特に実施形態１においては、セキュリティログが異常を通知することに着目し、異常ログと称することがある。また、セキュリティログが車両で生成されることに着目し、車両ログと称することがある。

　また、以下の各実施形態、特に実施形態３においては、偽陽性ログに着目している。偽陽性ログとは、セキュリティログで示されている検出されたイベントが、電子制御システムＳに対するサイバー攻撃以外に起因するイベントである場合の当該セキュリティログをいう。偽陽性ログには、イベントが異常を示す場合のセキュリティログ（この他、異常ログ、又は異常セキュリティログと称することがある。）の他、イベントが非異常又は成功を示す場合のセキュリティログ（この他、正常ログ、又は成功セキュリティログと称することがある。）も含まれる。検出されたイベントの例として、正しい又は誤ったパスワードの入力、サイバー攻撃に起因しない場合の例として、ユーザの操作、が挙げられる。
　実施形態３においては、異常ログの偽陽性ログに着目しているが、正常ログの偽陽性ログを用いるようにしてもよい。

（４）攻撃分析装置１０の構成
　図４を参照して、攻撃分析装置１０の構成を説明する。攻撃分析装置１０は、ログ取得部１０１、指標取得部１０２、シチュエーション情報保存部１０３、シチュエーション推定部１０４、攻撃・異常関係情報保存部１０５、攻撃推定部１０６、マッチング度算出部１０７、出力部１０８、を有する。

　ログ取得部１０１は、電子制御システムＳで検出された異常及び異常が検出された電子制御システムＳ内の位置を示すセキュリティログを“取得する”。例えば、図３のセキュリティログを受信した場合、イベントＩＤやコンテキストデータに異常の種類が示され、ＥＣＵＩＤやセンサＩＤに異常が検出された位置が示されている。
　ここで、“取得する”とは、他の装置やブロックから受信することにより取得する場合の他、自らが生成することにより取得する場合も含む。

　指標取得部１０２は、“異常が発生したとき”の車両の内部状態又は／及び外部状態を示す指標を“取得する”。
　指標は、例えば個別ＥＣＵ（すなわち、ＥＣＵ２０ｅ～２０ｈ）に接続された各種センサの出力、ＣＡＮフレーム、外部装置から受信した各種情報、ＧＰＳ受信機で受信した位置情報や時刻情報等、車両の内部状態又は車両の外部状態を示す情報であればよい。指標の具体例は、以下の通りである。
　（ａ）内部状態を示す指標
　車載のセンサの出力、車両の電源状態、通信ネットワークの状態、車両に関する診断情報、ＥＣＵの状態、位置情報、車両を特定する情報
　（ｂ）外部状態情報を示す指標
　外気温、外湿度、天候、既知の偽陽性ログ発生パターン、セキュリティイベントログを無効にする条件、車両外部の外部装置の稼働状態
　指標の具体例及び指標の利用例の詳細は、各実施形態で説明する。
　ここで、
　“異常が発生したとき”とは、時間や時刻に限らず、異常の発生が条件、契機、又は評価の対象となっていればよい。また、時間や時刻の場合は、異常が発生した時間（又は時刻）の他、異常を示すセキュリティログが生成された時間（又は時刻）やセキュリティログを受信した時間（又は時刻）、さらには異常発生の直前の時間（又は時刻）のように、異常発生時に近接した時間（又は時刻）であってもよい。
　“内部状態”とは、移動体に依存する各種状態をいい、例えば、車両の動作状態、車両自身若しくは車両を構成する部品の状態、又は車両が有する機能の状態をいう。車両の位置も、車両自身が物理的に特定の位置に置かれた状態を示すので、内部状態に含まれる。
　“外部状態”とは、移動体がなくても観念できる各種状態をいい、例えば外気温、時間（又は時刻）、又は移動体外部の装置の動作状態等が含まれる。

　ログ取得部１０１と指標取得部１０２は、１つの取得部として構成してもよい。
　なお、指標に、ログ取得部１０１で取得したセキュリティログを含めるようにしてもよい。すなわち、セキュリティログを用いて車両の内部状態や外部状態を推定することができる場合は、セキュリティログも車両の内部状態や外部状態を示す指標と評価できるからである。この場合、例えば図１のように、ログ取得部１０１から指標取得部１０２に対し、指標としてのセキュリティログを出力するよう構成すればよい。

　シチュエーション情報保存部１０３は、指標及び指標と対応するシチュエーションとの関係を示すシチュエーション情報を保存する。
　図５は、シチュエーション情報の概念を説明する図である。
　例えば、図５（ａ）のように、指標ａ～ｄの組み合わせに対応して、シチュエーションＡ～Ｄが決まるという関係を有する場合がある。あるいは、図５（ｂ）のように、指標（ｘ）を決めると、シチュエーション（ｙ）が定まるという関係を有する場合がある。このように、単数若しくは複数の指標が示す事実から、シチュエーションという中間事実が推定できる場合、指標とシチュエーションとの関係を図５（ａ）のようなテーブル、図５（ｂ）のようなグラフ又は数式で表すことができる。これらの関係を示す情報をシチュエーション情報と称する。
　シチュエーション情報の具体例は、各実施形態で説明する。

　シチュエーション推定部１０４は、指標取得部１０２で取得した指標、及びシチュエーション情報保存部１０３に保存したシチュエーション情報を用いて、指標に対応する車両の“シチュエーション”を推定する。例えば、図５（ａ）において、指標取得部１０２で取得した指標が、指標ａ、指標ｃ、及び指標ｄであった場合、シチュエーションとしてシチュエーションＢが推定される。
　シチュエーションの推定の具体例は、各実施形態で説明する。
　ここで、移動体の“シチュエーション”とは、指標から推定される事実であって移動体と関連する事実であればよい。

　なお、シチュエーション推定部１０４における推定は、１段階に限らず、多段階であってもよい。例えば、指標から第１のシチュエーション（つまり、１次中間事実）を推定し、第１のシチュエーションから第２のシチュエーション（つまり、２次中間事実）を推定してもよい。後述の実施形態１では２段階の推定を、実施形態２では１段階の推定を行っている。

　攻撃・異常関係情報保存部１０５は、サイバー攻撃と電子制御システムＳで発生する異常との関係を示す攻撃・異常関係テーブルを保存する。より具体的には、攻撃・異常関係テーブルは、電子制御システムＳが受ける可能性のある攻撃を示す予測攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システム内の位置を示す予測異常位置情報と、の関係を示している。

　図６は、各実施形態で用いる攻撃・異常関係テーブル（“攻撃・異常関係情報”に相当）の概念を説明する図である。
　図６に示す攻撃・異常関係テーブルでは、サイバー攻撃の種別（例えば、攻撃Ａ～Ｘ）毎に、電子制御システムＳがサイバー攻撃を受けた場合に生じる異常（“予測異常情報”に相当）と、異常が発生する位置（“予測異常位置情報”に相当）を示している。サイバー攻撃を受けた場合、例えば単数若しくは複数の位置で複数の異常が発生することが想定される。したがって、攻撃・異常関係テーブルは、攻撃を受けた場合に生じる複数の異常と、異常が発生した位置との組み合わせを示すものであることが好ましい。
　なお、図６に示す例では、予測攻撃情報として、サイバー攻撃の種別（例えば、攻撃Ａ～Ｘ）に加え、当該サイバー攻撃を受けた場合に想定される攻撃の起点位置及び攻撃の対象位置を含んでいるが、これは一例である。例えば、サイバー攻撃の種別のみ、攻撃起点位置のみ、攻撃対象位置のみ、攻撃起点位置及び攻撃対象位置のみ、攻撃起点位置及び経由位置及び攻撃対象位置のみ、であってもよいし、サイバー攻撃に関連するこれら以外の情報であってもよい。

　図６では、予測異常位置、攻撃起点位置、攻撃対象位置は、１６進数で示される識別子を用いているが、それぞれの識別子が位置を表している。また、識別子に対応する位置は、具体的な位置であっても抽象的な位置であってもよい。具体的な位置の例として、各ＥＣＵ２０の種別やセキュリティセンサの種別が挙げられる。前者の例として、0000が外部、0x01が外部通信ＥＣＵ２０ｂ、0x02が統合ＥＣＵ２０ａ、0x03がゾーンＥＣＵ２０ｃのように定めることができる。抽象的な位置の例として、各ＥＣＵ２０が存在する階層、各ＥＣＵ２０が接続されたネットワーク、ＥＣＵ２０の機能や特性が挙げられる。

　図６において、例えば、攻撃種別が攻撃Ａであるサイバー攻撃を受けた場合、電子制御システムＳでは、外部通信ＥＣＵ２０ｂにおいて、異常Ａ、異常Ｃ、及び異常Ｄの異常が発生することが予測される。また、攻撃Ａの攻撃起点位置は電子制御システムＳの外部であり、攻撃対象位置は外部通信ＥＣＵ２０ｂである。なお、攻撃起点位置は、電子制御システムＳ内部の位置である場合の他、電子制御システムＳの外部である場合が想定される。攻撃起点位置が電子制御システムＳの外部であるとは、車外からサイバー攻撃を受けている場合である。

　図６の攻撃・異常関係テーブルはデータ形式がテーブル形式となっているが、任意の形式のデータベースであればよい。また、攻撃・異常関係テーブルの名称は任意である。例えば攻撃・異常関係テーブルは、パターンマッチングテーブル（又は、ＰＭＴ）や、異常検出パターンと呼ばれることもある。

　攻撃・異常関係テーブルは、電子制御システムＳを構成するＥＣＵ２０の配置、ＥＣＵ２０の接続関係（ネットワークトポロジともいう。）、ＥＣＵ２０に設けられているセキュリティセンサの配置に基づき、ある攻撃があった場合にどのＥＣＵ２０のどのセキュリティセンサがどの順に異常を検知するかのシミュレーションを行うことで、異常発生のパターンを作成・生成することができる。さらに、セキュリティセンサの監視対象やそのルールに関する情報に基づいてもよい。
　もっとも攻撃・異常関係テーブルの作成・生成はこの方法に限られない。例えばＡＩや機械学習を用いてもよい。また、過去の攻撃におけるセキュリティセンサの異常発生パターンを用いて生成してもよい。

　図６の攻撃・異常関係テーブルは、予測攻撃情報と予測異常情報を有しているが、これに加えて、攻撃を受けた場合に発生することが予測される非異常イベントを示す予測非異常情報と、予測される非異常イベントが発生する電子制御システム内の位置を示す予測非異常位置情報をさらに有していてもよい。つまり、攻撃・異常関係テーブルは、予測攻撃情報と、予測異常情報と、予測異常位置情報と、予測非異常情報と、予測非異常位置情報との関係を示すよう構成されてもよい。この場合、予測異常位置情報と予測非異常位置情報は統合して一つの予測位置情報としてもよい。

　この場合、攻撃・異常関係テーブルとパターンマッチングされるセキュリティログとして、異常ログに加え正常ログを用いるようにしてもよい。
　また、偽陽性の異常ログや偽陽性の正常ログと判定されたセキュリティログを攻撃推定に用いないようにしてもよい。あるいは、偽陽性の異常ログと判定されたセキュリティログが示す異常や、偽陽性の正常ログと判定されたセキュリティログが示す非異常に対応する攻撃・異常関係テーブルの予測異常情報や予測非異常情報に対して重みづけを行うようにしてもよい。

　攻撃推定部１０６は、ログ取得部１０１で取得したセキュリティログ、及び攻撃・異常関係情報保存部１０５に保存している攻撃・異常関係テーブルに加えて、指標取得部１０２で取得した指標に“基づき”、電子制御システムＳが受けた攻撃を推定する。より具体的には、指標を用いてシチュエーション推定部１０４で推定したシチュエーションに基づき、電子制御システムＳが受けた攻撃を推定する。シチュエーション推定部１０４が別装置である場合、攻撃推定部１０６はシチュエーションを受信するシチュエーション取得部を兼ねる。
　ここで、“基づき”とは、指標を直接用いる場合の他、指標を間接的に用いる場合も含む。すなわち、指標から中間事実を推認（又は推定）し、推認（又は推定）された中間事実を用いて攻撃を推定する場合も含まれる。

　攻撃推定部１０６は、推定する攻撃として、例えば攻撃種別及び／又は攻撃経路を推定する。
　このうち、攻撃経路を推定するには、攻撃・異常関係テーブルの予測攻撃情報を用いればよい。例えば、予測攻撃情報に攻撃起点位置及び攻撃対象位置が示されている場合は、攻撃起点位置及び攻撃対象位置をもって攻撃経路とする。予測攻撃情報に攻撃起点位置、経由位置、及び攻撃対象位置が示されている場合は、攻撃起点位置、経由位置、及び攻撃対象位置をもって攻撃経路としても、攻撃起点位置及び攻撃対象位置をもって攻撃経路としてもよい。
　攻撃経路を推定するのに、予測攻撃情報に攻撃起点位置及び攻撃対象位置のいずれも示していない攻撃・異常関係テーブルを用いてもよい。この場合、攻撃・異常関係テーブルにおける予測異常位置をもって攻撃経路とする。例えば、図２の構成図におけるＥＣＵ２０ａ、ＮＷ１、ＥＣＵ２０ｃ、ＮＷ２、ＥＣＵ２０ｆを予測異常位置とする攻撃種別については、これらの予測異常位置をもって攻撃経路とする。この攻撃種別が、セキュリティログと攻撃・異常関係テーブルとの比較により推定された場合、ＥＣＵ２０ａ、ＮＷ１、ＥＣＵ２０ｃ、ＮＷ２、ＥＣＵ２０ｆが攻撃経路であると推定する。推定した攻撃経路における攻撃方向は、セキュリティログのコンテキストデータに含まれる通信の方向を示すデータを用いて推定してもよい。例えば、セキュリティログのコンテキストデータに含まれるデータが示す通信の方向が、ＥＣＵ２０ａからＥＣＵ２０ｆへの方向である場合、攻撃方向はＥＣＵ２０ａからＥＣＵ２０ｆへの方向である推定してもよい。ＥＣＵ２０ａからＥＣＵ２０ｆへの方向の通信を示すデータ及びＥＣＵ２０ｆからＥＣＵ２０ａへの方向の通信を示すデータがセキュリティログのコンテキストデータに含まれる場合、攻撃方向はＥＣＵ２０ａからＥＣＵ２０ｆに向かう方向及びＥＣＵ２０ｆからＥＣＵ２０ａに向かう方向の双方向であると推定してもよい。予測攻撃情報に攻撃起点位置及び攻撃対象位置のいずれも示していない攻撃・異常関係テーブルにおいて、予測攻撃情報に含まれる攻撃種別を攻撃経路の予測異常発生パターンと称してもよい。

　以下、攻撃推定部１０６の攻撃推定方法の例を図６及び図７を用いて説明する。
　まず、図６を用いて、指標に基づかない通常の攻撃推定方法の具体例を説明する。
　ログ取得部１０１で取得したセキュリティログが、例えば0x02の位置で異常Ｂ、Ｃ、Ｄが検出されたことを示していたとする。これに対し、図６の攻撃・異常関係テーブルにおいて、予測異常位置情報が0x02かつ予測異常情報が異常Ｂ、Ｃ、Ｄに対応する予測攻撃情報は、攻撃Ｃである。そこで、攻撃推定部１０６は、攻撃Ｃがあったと推定する。

　次に、図７ａ、図７ｂ、図７ｃ、及び図７ｄを用いて、指標に基づく各実施形態の攻撃推定方法の具体例を説明する。いずれの実施例も、攻撃・異常関係テーブルを修正して攻撃推定を行う例である。

　（実施例１）
　先に図５で説明した例の通り、指標取得部１０２で取得した指標を用いて、シチュエーション推定部１０４でシチュエーションＢが推定されたとする。そして、シチュエーションＢにおいて、例えば0x03の位置はサイバー攻撃とは関連しないと推定されるとする。この場合、攻撃推定部１０６は、図７ａの攻撃・異常関係テーブルのうち0x03の位置を予測異常位置情報に含む（ａ）の“部分”や、0x03の位置を予測攻撃情報に含む（ｂ）の“部分”を、“攻撃推定に用いない”ようにする。
　このように、攻撃推定部１０６でサイバー攻撃に関連しないと推定される部分の攻撃・異常関係テーブルを用いずに攻撃推定を行うことにより、攻撃推定に必要な演算を少なくすることができる。特に、攻撃分析装置１０が車両に搭載されている場合、攻撃分析装置１０に割当てられるリソースが少ない場合であっても、攻撃推定を行うことができる。
　ここで、
　“部分”とは、一つの攻撃・異常関係情報のうちの一部分である場合の他、複数の攻撃・異常関係情報のうちの少なくとも１つである場合も含む。
　“攻撃推定に用いない”とは、積極的に攻撃推定に用いない場合の他、指標を参照して攻撃と関連すると推定される位置を予測異常位置情報又は予測攻撃情報として含む部分を攻撃推定に用いることにより、その他の部分を消極的に攻撃推定に用いていない場合も含む。

　なお、図７ａにおいては、あるシチュエーションにおいて特定の位置がサイバー攻撃と関連しないと推定される場合の攻撃推定部１０６の動作を説明したが、あるシチュエーションにおいて特定の異常がサイバー攻撃と関連しないと推定される場合にも適用できる。例えば、シチュエーションＢにおいて、異常Ａはサイバー攻撃とは関連しないと推定されるとする。この場合、攻撃推定部１０６は、図７ａの攻撃・異常関係テーブルのうち異常Ａを予測異常情報に含む“部分”、すなわち0x01、0x02、0x03のそれぞれの位置の異常Ａの部分を、“攻撃推定に用いない”ようにしてもよい。

　また、特定の位置及び特定の異常がサイバー攻撃と関連しないと推定される場合にも適用できる。例えば、シチュエーションＢにおいて、0x03の位置の異常Ｃはサイバー攻撃とは関連しないと推定されるとする。この場合、攻撃推定部１０６は、図７ａの攻撃・異常関係テーブルのうち0x03の位置の異常Ｃの部分を、“攻撃推定に用いない”ようにしてもよい。

　以上の例は、１つの攻撃・異常関係テーブルの一部を用いない例であるが、シチュエーション毎に攻撃・異常関係テーブルを準備し、シチュエーションに応じて対応する攻撃・異常関係テーブルを選択するようにしてもよい。すなわち、それぞれのシチュエーション毎に、サイバー攻撃と関連しないと推定される位置及び／又は異常に対応する予測攻撃情報、予測異常位置情報、及び予測異常情報を除いた攻撃・異常関係テーブルを準備してもよい。

　（実施例２）
　実施例１は、シチュエーションからサイバー攻撃と関連しない位置を推定する場合であるが、シチュエーションからサイバー攻撃と関連する位置を推定する場合にも適用することができる。例えば、シチュエーションＢにおいて、0x02の位置はサイバー攻撃と関連すると推定されるとする。この場合、攻撃推定部１０６は、図７ｂの攻撃・異常関係テーブルのうち0x02の位置を予測異常位置情報に含む（ｃ）の“部分”や、0x02の位置を予測攻撃情報に含む（ｄ）の“部分”を、“攻撃推定に用いる”ようにする。
　このように、攻撃推定部１０６でサイバー攻撃に関連すると推定される部分の攻撃・異常関係テーブルを用いて攻撃推定を行うことにより、攻撃推定に必要な演算を少なくすることができる。特に、攻撃分析装置１０が車両に搭載されている場合、攻撃分析装置１０に割当てられるリソースが少ない場合であっても、攻撃推定を行うことができる。
　ここで、“攻撃推定に用いる”とは、積極的に攻撃推定に用いる場合の他、指標を参照して攻撃と関連しないと推定される位置を予測異常位置情報又は予測攻撃情報として含む部分を攻撃推定に用いないことにより、その他の部分を消極的に攻撃推定に用いる場合も含む。

　なお、図７ｂにおいては、あるシチュエーションにおいて特定の位置がサイバー攻撃と関連すると推定される場合の攻撃推定部１０６の動作を説明したが、あるシチュエーションにおいて特定の異常がサイバー攻撃と関連すると推定される場合にも適用できる。例えば、シチュエーションＢにおいて、異常Ａ及び異常Ｂはサイバー攻撃と関連すると推定されるとする。この場合、攻撃推定部１０６は、図７ｂの攻撃・異常関係テーブルのうち異常Ａ及び異常Ｂを予測異常情報に含む“部分”、すなわち0x01、0x02、0x03のそれぞれの位置の異常Ａ及び異常Ｂの部分を、“攻撃推定に用いる”ようにしてもよい。

　また、特定の位置及び特定の異常がサイバー攻撃と関連する推定される場合にも適用できる。例えば、シチュエーションＢにおいて、0x01及び0x02の位置の異常Ａ及び異常Ｂはサイバー攻撃とは関連すると推定されるとする。この場合、攻撃推定部１０６は、図７ｂの攻撃・異常関係テーブルのうち0x01及び0x02の位置の異常Ａ及び異常Ｂの部分を、“攻撃推定に用いる”ようにしてもよい。

　以上の例は、１つの攻撃・異常関係テーブルの一部を用いる例であるが、シチュエーション毎に攻撃・異常関係テーブルを準備し、シチュエーションに応じて対応する攻撃・異常関係テーブルを選択するようにしてもよい。すなわち、それぞれのシチュエーション毎に、サイバー攻撃と関連すると推定される位置及び／又は異常に対応する予測攻撃情報、予測異常位置情報、及び予測異常情報のみからなる攻撃・異常関係テーブルを準備してもよい。

　（実施例３）
　実施例１は、サイバー攻撃と関連しないと推定される部分の攻撃・異常関係テーブルを用いずに攻撃推定を行った。本実施例は、サイバー攻撃と関連しないと推定される“部分”の攻撃・異常関係テーブルに重みづけを行なって、攻撃推定を行うものである。
　実施例１と同様、シチュエーションＢにおいて、例えば0x01の位置はサイバー攻撃とは関連しないと推定されるとする。そこで、攻撃推定部１０６は、図７ｃの攻撃・異常関係テーブルのうち0x01の位置を予測異常位置情報として含む（ｅ）のパターン、又は／及び0x01の位置を予測攻撃情報として含む（ｆ）のパターンに対して重みづけ（ｗ）を行う。例えば、図７ｃにおいて、（ｅ）及び（ｆ）のパターンに対し０≦ｗ＜１の係数、ここでは０．５を乗ずる。係数の値は、サイバー攻撃と関連しない程度に照らして適宜決めることができる。

　このような重みづけを行った攻撃・異常関係テーブルでは、攻撃の推定とともに、当該攻撃を受けている確度を示すマッチング度を求めることができる。マッチング度は、例えば、推定された攻撃における攻撃・異常関係テーブルのベクトル値と検出した攻撃を示すセキュリティログのベクトル値の内積を、推定された攻撃における重みづけ前の攻撃・異常関係テーブルのベクトル値の総和で除した値で求めることができるが、これに限られない。マッチング度の算出は、後述のマッチング度算出部１０７で行う。
　マッチング度＝（攻撃・異常関係テーブルのベクトル値）＊（セキュリティログのベクトル値）／（重みづけ前の攻撃・異常関係テーブルのベクトル値）
　（＊は内積を表す。）
　なお、重みづけを行っていない場合のマッチング度は、以下のように計算できる。
　マッチング度＝（攻撃・異常関係テーブルのベクトル値）＊（セキュリティログのベクトル値）／（攻撃・異常関係テーブルのベクトル値）

　例えば、ログ取得部１０１で取得したセキュリティログが、0x01の位置で異常Ａ、Ｃ、Ｄが検出されたことを示していたとする。この場合、図７ｃの攻撃・異常関係テーブルにおいて、予測異常位置情報が0x01かつ予測異常情報が異常Ａ、Ｃ、Ｄに対応する予測攻撃情報は、攻撃Ａである。そこで、攻撃推定部１０６は、攻撃Ａがあったと推定する。そして、マッチング度は、以下のように計算できる。
　マッチング度＝０．５×１（異常Ａ）＋０．５×１（異常Ｃ）＋０．５×１（異常Ｄ）／（１（異常Ａ）＋１（異常Ｂ）＋１（異常Ｃ））＝１.５／３＝０．５

　これに対して、重みづけを行っていない場合のマッチング度は、
　マッチング度＝１×１（異常Ａ）＋１×１（異常Ｃ）＋１×１（異常Ｄ）／（１（異常Ａ）＋１（異常Ｂ）＋１（異常Ｃ））＝３／３＝１．０

　図７ｃの攻撃・異常関係テーブルの重みづけは、それぞれの位置における異常がサイバー攻撃と関連する割合を示すものであるから、重みづけを加味して計算したマッチング度は、推定したサイバー攻撃があったことの確度を表しているといえる。つまり、この例において、重みづけを行っていない場合のマッチング度は１、すなわち攻撃Ａがあった可能性を１００％と評価しているのに対し、重みづけを行っている場合のマッチング度は０．５、すなわち攻撃Ａがあった可能性を５０％と評価していることになる。

　別の例として、例えば、ログ取得部１０１で取得したセキュリティログが、0x01の位置で異常Ａ、Ｃが検出されたことを示していたとする。この場合、図７ｃの攻撃・異常関係テーブルにおいて、予測異常位置情報が0x01かつ予測異常情報が異常Ａ、Ｃに完全に一致する予測攻撃情報は存在しないが、最も近い予測攻撃情報は攻撃Ａである。そこで、攻撃推定部１０６は、攻撃Ａがあったと推定する。そして、マッチング度は、以下のように計算できる。
　マッチング度＝０．５×１（異常Ａ）＋０．５×１（異常Ｃ）＋０．５×０（異常Ｄ）／（１（異常Ａ）＋１（異常Ｂ）＋１（異常Ｃ））＝１.０／３＝０．３３

　これに対して、重みづけを行っていない場合のマッチング度は、
　マッチング度＝１×１（異常Ａ）＋１×１（異常Ｃ）＋１×０（異常Ｄ）／（１（異常Ａ）＋１（異常Ｂ）＋１（異常Ｃ））＝２／３＝０．６６

　つまり、この例において、重みづけを行っていない場合のマッチング度は０、６６、すなわち攻撃Ａがあった可能性を６６％と評価しているのに対し、重みづけを行っている場合のマッチング度は０．３３、すなわち攻撃Ａがあった可能性を３３％と評価していることになる。

　このように、重みづけは、シチュエーションにおいて攻撃と関連しないと推定される位置の予測異常情報又は予測異常位置情報のマッチング度に対する寄与を下げるという意義がある。
　そして、攻撃推定部１０６で、重みづけを行った攻撃・異常関係テーブルを用いて攻撃推定を行うことにより、サイバー攻撃との関連の程度を加味して攻撃推定を行うことができる。

　以上の例は、１つの攻撃・異常関係テーブルに対し重みづけを行う例であるが、シチュエーション毎に攻撃・異常関係テーブルを準備し、シチュエーションに応じて対応する攻撃・異常関係テーブルを選択するようにしてもよい。すなわち、それぞれのシチュエーション毎に、サイバー攻撃と関連しないと推定される位置及び／又は異常に対応する予測攻撃情報、予測異常位置情報、及び予測異常情報に対し重みづけを行った攻撃・異常関係テーブルを準備してもよい。

　（実施例４）
　実施例１～３は、サイバー攻撃との関係で異常が発生する位置に視点を置いて攻撃・異常関係テーブルを修正した上で攻撃推定を行うものであった、本実施例は、発生した異常に視点を置いて攻撃推定を行うものである。
　指標取得部１０２で取得した指標に基づき、シチュエーション推定部１０４はシチュエーションとして異常の原因を推定する。そして、推定されたシチュエーションが、サイバー攻撃ではない原因であった場合、攻撃推定部１０６は、セキュリティログが示す異常が、電子制御システムＳが攻撃を受けたことによって発生する異常とは異なる異常を検知することによって生成された偽陽性ログであると判定し、偽陽性ログを用いた攻撃推定を行わない。
　このように、偽陽性ログを用いた攻撃推定を行わないことにより、攻撃推定に必要な演算を少なくすることができる。特に、攻撃分析装置１０が車両に搭載されている場合、攻撃分析装置１０に割当てられるリソースが少ない場合であっても、攻撃推定を行うことができる。

　なお、実施例４で説明した状況において、偽陽性ログを用いて攻撃推定を行わないことに代えて、実施例３で説明したように、偽陽性ログを用いて攻撃推定は行うが、攻撃・異常関係テーブルを修正することにより、偽陽性ログがサイバー攻撃と関連する程度を加味した攻撃推定を行うことができる。
　例えば、偽陽性ログが示す異常が、0x01の位置で発生した異常Ｃであった場合、図７ｄの攻撃・異常関係テーブルのうち（ｇ）の部分、すなわち0x01の位置における異常Ｃのパターンに対して重みづけ（ｗ）を行う。重みづけの方法は、実施例３と同様である。

　なお、実施例４で説明した偽陽性ログか否かの判定までの機能を有する部分は、ログ判定装置に相当する。

　図４に戻り、マッチング度算出部１０７は、セキュリティログの異常及び異常の位置の組み合わせと予測異常情報及び予測異常位置情報の組み合わせとが全く同じではない場合に、これらの組み合わせのマッチング度を算出する。マッチング度は、セキュリティログが示す異常と、予測異常情報が示す異常との一致の程度をいう。

　出力部１０８は、攻撃推定部１０６が推定した攻撃を示す“攻撃情報”を出力する。攻撃情報は、例えば攻撃種別及び／又は攻撃経路である。攻撃情報はさらに、マッチング度算出部１０７が算出したマッチング度を含んでもよい。
　ここで、“攻撃情報”とは、攻撃の種類・種別の他、攻撃の起点や攻撃の対象等の攻撃経路、又は攻撃によって発生する被害、といった攻撃に関連する任意の情報であればよい。

（５）攻撃分析装置１０の動作
　次に、図８を参照して、攻撃分析装置１０の動作を説明する。図８は、攻撃分析装置１０で実行される攻撃分析方法を示すだけでなく、攻撃分析装置１０で実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図８に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。図８以降のフローチャートやタイミングチャートにおいても同様である。

　攻撃分析装置１０は、電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係情報保存部１０５を有している。

　攻撃分析装置１０のログ取得部１０１は、電子制御システムＳで検出された異常及び異常が検出された電子制御システムＳ内の位置を示すセキュリティログを取得する（Ｓ１０１）。
　指標取得部１０２は、異常が発生したときの車両の内部状態又は／及び外部状態を示す指標を取得する（Ｓ１０２）。
　シチュエーション推定部１０４は、Ｓ１０２で取得した指標に対応する車両のシチュエーションを推定する（Ｓ１０３）。
　Ｓ１０１で取得したセキュリティログ、及び攻撃・異常関係情報保存部１０５に保存している攻撃・異常関係テーブルに加えて、Ｓ１０２で取得した指標に基づき、電子制御システムＳが受けた攻撃を推定する（Ｓ１０４）。指標に基づく場合として、例えば、Ｓ１０３で推定した車両のシチュエーションに基づき、電子制御システムＳが受けた攻撃を推定する（Ｓ１０４）。
　出力部１０８は、Ｓ１０４で推定された攻撃を示す攻撃情報を出力する（Ｓ１０５）。

（６）小括
　以上、各実施形態の攻撃分析装置１０によれば、セキュリティログ及び攻撃・異常関係テーブルに加えて指標に基づき攻撃推定を行うので、電子制御システムが受けたサイバー攻撃を推定する計算の効率を高めることができる。
　また、指標に基づき、対応する車両のシチュエーションを推定し、セキュリティログ及び攻撃・異常関係テーブルに加えてシチュエーションに基づき攻撃推定を行うので、シチュエーションに応じて攻撃推定に必要な演算を選択して実行することができ、電子制御システムが受けたサイバー攻撃を推定する計算の効率をより高めることができる。

２．実施形態１
　本実施形態は、主として特願２０２２－１５８５９７の記載に基づくものである。
　本実施形態の攻撃分析装置を攻撃分析装置１１とする。

（１）全体構成の概略
　まず、本実施形態の攻撃分析装置１１を含む全体システムの概略の構成について説明する。
　図９に示すように、本実施形態では、全体システム１として、車両（例えば、自動車）と外部サーバ３０とを備えており、車両と外部サーバ３０とは、例えば無線を利用した無線通信ネットワーク（例えば、インターネット等）を介して通信を行うように構成されている。

　車両には、サイバー攻撃を受ける対象である車両制御システムＳ（即ち、車両の動作を制御する電子制御システム）が搭載されており、外部サーバ３０には、車両制御システムＳに対するサイバー攻撃の分析を行う攻撃分析装置１１を備えている。なお、攻撃分析装置１１は、車両に搭載されていてもよい。

　車両制御システムＳは、複数の電子制御装置（以下、ＥＣＵ）２０を備えている。なお、ＥＣＵは、Electronic Control Unitの略である。また、車両制御システムＳには、車両制御システムＳの各構成の状態を検出するために、各種のセンサやスイッチ等（即ち、センサ類２１）が接続されている。具体的には、センサ類２１を構成するセンサやスイッチ等は、ＥＣＵ２０に接続されている。

　車両制御システムＳには、センサ類２１によって検出された車両の各構成の状態を示す指標となる信号（即ち、後述する車両シチュエーション判定用信号、以上“指標”に相当）が入力される。車両シチュエーション判定用信号は、外部サーバ３０の攻撃分析装置１１に送信される。なお、指標とは、本実施形態においては、後述する車両の状態を示す車両シチュエーションを推定可能な信号である。
　なお、指標を用いた車両シチュエーションの推定を車両で行う場合は、推定の結果得られた車両シチュエーションが、外部サーバ３０の攻撃分析装置１１に送信されてもよい。

　また、後述するように、車両制御システムＳでは、サイバー攻撃を受けた場合に、各ＥＣＵ２０に設置されたセキュリティセンサ（図示せず）が、サイバー攻撃による異常の発生を検知して車両ログ（即ち、異常を示す信号である異常ログ、以上“セキュリティログ”に相当）を生成するので、この車両ログが、外部サーバ３０の攻撃分析装置１１に送信される。

　＜車両制御システムについて＞
　車両制御システムＳは、車両の動作を制御するシステムであり、各ＥＣＵ２０は、バス（図示せず）等を介して接続されている。つまり、各ＥＣＵ２０は車載ネットワークを介して接続されている。

　また、各ＥＣＵ２０は、電源状態が個別に制御可能であり、後述するように、車両の全体的な状態を示す車両シチュエーション（即ち、各車両シチュエーション判定用信号に応じて規定される車両の状態）に応じて、停止又はスリープの状態に変化が可能なものである。

　ここで、停止とは、ＥＣＵ２０に電源が供給されない状態であり、スリープとは、ＥＣＵ２０が通常の動作が休止した状態であり、例えばウェイクアップ信号等が入力されるまでは、通常の動作を待機する状態である。なお、スリープの状態では、通常の動作の際に供給される電力より低い電力が供給されるので、省電力に寄与する。

　車両制御システムＳに配置されたＥＣＵ２０には、ＥＣＵ２０内部やＥＣＵ２０が接続されたネットワークを監視する前記セキュリティセンサが搭載される。セキュリティセンサが、ＥＣＵ２０内部又はネットワークに発生した異常を検知すると、セキュリティログとして前記車両ログを生成する。

　ここでは、車両ログは、セキュリティセンサが検知した異常を示す異常情報（“異常”に相当）と、セキュリティセンサが検知した異常が発生した位置を示す異常位置情報（“位置”に相当）を含む。なお、車両ログには、さらに、車両制御システムＳを特定する識別情報、異常を検知したセキュリティセンサの識別情報、セキュリティセンサが搭載されたＥＣＵ２０の識別情報、異常を検知した時刻、異常を検知した回数、異常を検知した順番、異常の検知前に受信したデータの内容やＩＰアドレス（例えば、送信元及び送信先）の情報等を含んでもよい。

　＜攻撃分析装置について＞
　攻撃分析装置１１は、車両（詳しくは、車両制御システムＳ）がサイバー攻撃を受けた際に、車両において生成された車両ログ等に基づいて、サイバー攻撃を分析する装置である。

　攻撃分析装置１１は、周知の、ＣＰＵや、ＲＯＭ、ＲＡＭ等のメモリなどを備えた電子処理装置である。つまり、攻撃分析装置１１は、周知のマイクロコンピュータ（図示せず）を備えた装置である。なお、メモリとしては、マイクロコンピュータ内のメモリに限らず、マイクロコンピュータ外の各種の記憶装置（例えば、ハードディスク等）が挙げられる。

　電子制御装置（ＥＣＵ２０）や電子処理装置により実行される各種機能は、ＣＰＵが非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、メモリが、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムが実行されることで、プログラムに対応する方法が実行される。

　なお、メモリには、各種のプログラム（例えば、サイバー攻撃の分析を行うプログラム）だけではなく、各種のプログラムを実行する際に使用される各種のデータ（例えば、各種のテーブル）が記憶されている。

　電子制御装置（ＥＣＵ２０）や電子処理装置の各種機能を実現する手法はソフトウェアに限るものではなく、その一部又は全部の要素について、一つあるいは複数のハードウェアを用いて実現してもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は多数の論理回路を含むデジタル回路、又はアナログ回路、あるいはこれらの組合せによって実現してもよい。

（２）攻撃分析装置１１の構成及び機能
　次に、攻撃分析装置１１の機能的な構成について説明する。
　本実施形態では、攻撃分析装置１１は、図１０に示すように、機能的に、異常ログ取得部１１１、指標取得部１１２、車両シチュエーション関係テーブル保存部１１３、装置状態推定部１１４、攻撃・異常関係テーブル保存部１１５、攻撃推定部１１６、マッチング度算出部１１７、及び出力部１１８を備える。

　以下、各構成について説明する。
　ａ）異常ログ取得部１１１（“ログ取得部”に相当）は、車両から送信された車両ログを受信するように構成されている。この車両ログには、上述したように、セキュリティセンサが検知したサイバー攻撃による異常の内容を示す異常情報と、その異常が発生した位置を示す異常位置情報が含まれる。

　なお、異常情報とは、どのような異常かを示す内容である。また、異常位置情報には、どのＥＣＵ２０の異常かの位置を示す情報や、ＥＣＵ２０に接続されるどのバスが異常かの位置を示す情報が含まれる。

　前記ＥＣＵ２０の異常としては、例えば、ＥＣＵ２０間で送受信される情報（即ち、フレーム）の異常（即ち、フレーム異常）や、バスの異常（即ち、バス異常）や、ホスト型異常等が挙げられる。つまり、前記異常としては、フレーム異常やバス異常やホスト型異常のように、車両制御システムＳに対するサイバー攻撃により発生した各種の異常が挙げられる。

　本実施形態では、後述するように（例えば、図１４参照）、異常情報として、異常Ａ～異常Ｄ等の異常の種類が挙げられる。また、異常の位置としては、例えば第一層～第三層が挙げられる。なお、異常の種類の数や各層の数は、これに限定されるものではない。

　ここで、第一層～第三層について、図１１に基づいて説明する。
　この第一層～第三層は、複数のＥＣＵ２０について、車両のシチュエーションにおいて同じ動作をするものを、例えば３種に共通化して区分したものである。つまり、ＥＣＵ２０の電源状態のオン、オフの動作が同じものを区分したものである。なお、オフにはスリープの状態も含むとする。

　例えば図１１に示すように、ＥＣＵ２０として、例えば複数のＥＣＵα～εを例に挙げ、各ＥＣＵα～εに、それぞれ識別番号（即ち、個別位置の識別番号）が付与されている場合を例に挙げて説明する。

　ＥＣＵα及びＥＣＵβは、車両のシチュエーション（即ち、車両シチュエーション）において、電源のオン、オフの動作が同じなので、第一層のＥＣＵ２０として、同じ識別番号（即ち、共通化位置を示す識別番号）として、例えば0x01を付与する。

　また、ＥＣＵγは、電源のオン、オフの動作が同じＥＣＵ２０は無いので、第二層のＥＣＵ２０として、共通化位置を示す識別番号として、例えば0x02を付与する。
　さらに、ＥＣＵδ及びＥＣＵεは、車両シチュエーションにおいて、電源のオン、オフの動作が同じなので、第三層のＥＣＵ２０として、同じ共通化位置を示す識別番号として、例えば0x03を付与する。

　なお、ここでは、各ＥＣＵ２０を共通化した第一層～第三層を例に挙げたが、共通化を行わずに、単に異常位置を各ＥＣＵ２０の位置（例えば、個別位置を示す識別番号）で示してもよい。

　ｂ）指標取得部１１２（“指標取得部”に対応）は、前記図１０に示すように、車両から送信された車両シチュエーション判定用信号を受信するように構成されている。
　この車両シチュエーション判定用信号は、上述したように、センサ類２１によって検出された車両の各構成の状態を示す指標となる信号であり、後述する車両シチュエーション判定条件テーブル（図１２参照）に基づいて、車両シチュエーションを推定するために用いられる。

　ｃ）装置状態推定部１１４（“シチュエーション推定部”に相当）は、車両シチュエーションを推定するように構成されている。
　具体的には、装置状態推定部１１４は、指標取得部１１２にて受信した車両シチュエーション判定用信号を用い、後述する車両シチュエーション判定条件テーブル（図１２参照）に基づいて、車両の全体的な状態を示す車両シチュエーションを推定するように構成されている。

　また、装置状態推定部１１４では、車両シチュエーションに基づいて、後述する電源状態判定用テーブル（図１３参照）に基づいて、各ＥＣＵ２０の電源状態（“シチュエーション”に相当）、具体的には各ＥＣＵのオン、オフを推定するように構成されている。なお、各ＥＣＵ２０のオン、オフの推定は、攻撃推定部１１６にて実施してもよい。

　ｄ）攻撃推定部１１６（“攻撃推定部”に相当）は、サイバー攻撃の攻撃経路の推定や攻撃種別の推定を行うように構成されている。
　具体的には、攻撃推定部１１６は、装置状態推定部１１４にて推定された車両シチュエーションに基づいて得られた各ＥＣＵ２０の電源のオン、オフの情報（“シチュエーション”に相当）と、異常ログ取得部１１１から得られた車両ログの情報（即ち、異常Ａ～異常Ｄ等の異常情報と共通化された各層の異常位置情報）と、に基づいて、攻撃経路の推定や攻撃種別の推定を行うように構成されている。なお、この推定の手順については、後に詳述する。

　ｅ）マッチング度算出部１１７は、異常情報及び異常位置情報の組み合わせと、後述する図１４の予測異常情報及び予測異常位置情報の組み合わせと、について、これらの組み合わせ一致の程度を示すマッチング度を算出する。

　マッチング度は、例えば、実際に取得された車両ログが示す異常の組み合わせと、後述する攻撃経路推定用マッチングテーブルの予測異常パターンにおける異常の組み合わせと、を比較し、異常の一致の程度の割合（例えば、％）で表現することができる。

　例えば、車両ログの４個の異常と、予測異常パターンにおける４個の異常とが完全に一致する場合には、マッチング度は１００％であり、また、３個の異常しか一致しない場合には、マッチング度は、１００％の３／４の７５％である。

　また、これ以外に、マッチング度として、例えば、車両ログが示す異常の数と予測異常パターンが示す異常の数との差分を、車両ログが示す異常の数又は予測異常パターンが示す異常の数で除算した数値によって表してもよい。

　ｆ）出力部１１８（“出力部”に相当）は、攻撃推定部１１６にて推定された推定結果と、マッチング度算出部１１７にて算出された算出結果と、を出力するように構成されている。
　ｇ）車両シチュエーション関係テーブル保存部１１３は、メモリに設定されており、車両シチュエーション関係テーブル保存部１１３には、図１２に示すような車両シチュエーション判定条件テーブルと、図１３に示すような車両シチュエーション別のＥＣＵ２０の電源状態を示す電源状態判定用テーブルと、が保存されている。

　＜車両シチュエーション判定条件テーブルについて＞
　次に、車両シチュエーション判定条件テーブルについて、図１２に基づいて説明する。
　図１２に示すように、車両シチュエーション判定条件テーブルは、同図の横方向（列の配列方向：列方向）に沿って、車両の各構成の状態を示す指標が配置され、同図の縦方向（行の配列方向：行方向）に沿って、車両の全体的な状態（例えば、走行等の状態）が配列されたテーブルである。

　前記車両の各構成の状態を示す指標とは、センサ類２１から得られた各構成の状態を示すシチュエーション判定用信号に対応した項目である。この指標としては、例えば、車両速度、モード（例えば、運転のモードやダイアグのモード）、乗員（例えば、乗員の数）、バッテリ電圧、充電状態、シフト位置等が挙げられる。

　前記車両シチュエーションとは、前記指標によって特定される車両の全体の状態を示すものである。この車両シチュエーションとしては、例えば、市街走行中、高速走行中、停車中であって乗員有りの場合、停車中であって乗員無しの場合、自動運転中、走行中でバッテリ残量低下時、徐行中、後進中、故障診断中、前記各例示の種類の状態以外のデフォルトの状態のうち、少なくとも１種の状態等が挙げられる。

　なお、デフォルトの状態としては、例えば、判定不能な状態や、シチュエーション不明な状態など、予め設定された初期設定の状態が挙げられる。
　なお、市街走行中は、例えば、地図データにより所定の市街を走行中であることや、所定の速度未満で走行中であることから判断できる。高速走行中は、高速道路を走行中や所定の速度以上の条件で判断できる。自動運転中は、自動運転を設定するモードにより判断できる。走行中でバッテリ残量低下時は、走行中においてバッテリ残量が所定以下の条件から判断できる。徐行中は、所定の速度未満の低速を示す速度の条件から判断できる。

　従って、車両シチュエーション判定条件テーブルを用いることにより、車両シチュエーション判定用信号によって特定される各構成の状態（例えば、車両速度やシフト位置などの各指標が示す状態）から、各車両シチュエーションを推定することができる。

　＜電源状態判定用テーブルについて＞
　次に、電源状態判定用テーブルについて、図１３に基づいて説明する。
　図１３に示すように、電源状態判定用テーブルは、同図の横方向に沿って、各ＥＣＵ２０（例えば、ＥＣＵＡ～Ｊ）の電源のオン（ＯＮ）、オフ（ＯＦＦ）の状態が配列され、同図の縦方向に沿って、各車両シチュエーションが配列されたテーブルである。

　従って、電源状態判定用テーブルを用いることにより、各車両シチュエーションから、各ＥＣＵＡ～Ｊの電源のオン、オフの状態が分かるようになっている。
　なお、各ＥＣＵＡ～Ｊにおいて、各車両シチュエーションに応じた電源のオン、オフの状態が同じものが、同じ層に含まれるものである。例えば、ＥＣＵＡとＥＣＵＦや、ＥＣＵＣとＥＣＵＨを、それぞれ同じ層のＥＣＵ２０と見なすことができる。

　＜攻撃経路推定用マッチングテーブルについて＞
　ｈ）攻撃・異常関係テーブル保存部１１５（“攻撃・異常関係情報保存部”に相当）は、メモリに設定されており、攻撃・異常関係テーブル保存部１１５には、図１４に示すような攻撃経路推定用マッチングテーブル（“攻撃・異常関係情報”に相当）が保存されている。

　攻撃経路推定用マッチングテーブルとは、同図の横方向に沿って、セキュリティセンサによって検出される異常の種類に対応する予測異常情報や、各ＥＣＵ２０を含む各層を示す異常の位置に対応する予測異常位置情報が配列され、同図の縦方向に沿って、サイバー攻撃の種別や、サイバー攻撃の経路が配列されたテーブルである。なお、予測異常情報は、各層に対応する予測異常位置に応じて配置されている。

　なお、予測異常情報とは、サイバー攻撃を実際に受けた場合に発生することが予測される異常の種類を示す情報であり、予測異常位置情報とは、サイバー攻撃を実際に受けた場合に発生することが予測される異常の位置を示す情報である。

　前記異常の種類とは、例えば、異常Ａ～Ｄであり、異常の位置とは、各ＥＣＵ２０を含む各層（例えば、第一層～第三層）である。また、サイバー攻撃の種別（即ち、攻撃種別）とは、例えば、攻撃Ａ～攻撃Ｘであり、攻撃の経路とは、例えば、攻撃の起点となる位置と、攻撃先である攻撃対象の位置とで規定される攻撃経路（即ち、推定経路）である。なお、攻撃Ａ～攻撃Ｘとしては、公知の各種のサイバー攻撃が挙げられる。

　また、攻撃起点や攻撃対象の0x01～0x03は、上述したように（図１１参照）、共通化された第一層～第三層の識別番号を示し、0000は、車外を示している。
　このように、攻撃経路推定用マッチングテーブルとは、異常Ａ～Ｄ等の異常の種類と各層のような異常の位置とによって示される異常が発生したときに、攻撃種別や攻撃経路が決まるような場合に、異常の種類及び異常の位置と、攻撃種別及び攻撃経路と、の関係を示すテーブルである。

　従って、攻撃経路推定用マッチングテーブルを用いることにより、異常の種類及び異常の位置から、攻撃種別及び攻撃経路を求める（即ち、推定する）ことができる。

（３）攻撃種別及び攻撃経路の推定方法
　次に、攻撃推定用マッチングテーブルを用いて、攻撃種別及び攻撃経路を推定する方法について、図１５に基づいて説明する。

　本実施形態では、車両ログに含まれる実際の異常の種類を示す異常情報と異常が発生した位置を示す異常位置情報との組み合わせと、攻撃経路推定用マッチングテーブルの予測異常情報と予測異常位置情報との組み合わせと、の一致の状態を比較することにより、攻撃種別及び攻撃経路を推定する。以下、具体的に説明する。

　＜基本の推定方法＞
　まず、攻撃種別や攻撃経路を推定する際の基本となる推定方法について説明する。
　この推定方法では、全てのＥＣＵ２０（従って、層）について車両ログの解析を行う。例えば、ある時間枠の区間の車両ログ群（即ち、攻撃の分析に必要な解析対象の車両ログ群）から、異常の位置や異常の種類を求め、この実際の異常が、攻撃推定用マッチングテーブルのどの位置（即ち、テーブルの例えば各行における各欄のどの位置）の異常に対応する異常かを確認する。

　これにより、攻撃推定用マッチングテーブルの予測異常パターン（例えば、各行における○（即ち、丸）の配列パターン）に対応するような実際の車両ログの異常のパターン（即ち、実際の異常の有無の配置を示す実際の異常パターン）が分かる。

　従って、攻撃推定用マッチングテーブルを利用して、実際の異常パターンと攻撃推定用マッチングテーブルの予測異常パターンとを比較することにより、攻撃種別や攻撃経路を推定することができる。

　例えば、実際の異常パターンと予測異常パターンとが完全に一致した場合に、攻撃推定用マッチングテーブルから、攻撃種別や攻撃経路を特定することができる。なお、実際の異常パターンと予測異常パターンとが完全に一致しない場合には、一致の程度に応じて、攻撃種別や攻撃経路を推定することができる。

　以下、上述した処理の一例を示すが、この例に限られるものではない。なお、ここでは、攻撃経路を例に挙げて説明する。
　（ステップ１）攻撃経路の推定の入力となる車両ログ群（即ち、１以上の車両ログ）を取得する。

　（ステップ２）次に、下記（2-1）～（2-5）の手順で、攻撃経路を推定する。
　　（2-1）車両ログを１件取り出し、どのＥＣＵ２０（従って、どの層）のセキュリティセンサの異常を示す車両ログであるか（即ち、どの異常の位置及び異常の種類であるか）を解析する。

　　（2-2）次に、攻撃推定用マッチングテーブルを参照し、攻撃推定用マッチングテーブルの列方向（横方向）のどのＥＣＵ２０（従って、どの層）のセキュリティセンサの異常であるか（即ち、どの列に関する異常であるか）を特定する。

　　（2-3）次に、特定した列について、攻撃推定用マッチングテーブルの行方向（縦方向）に沿って、異常の有無を照合してゆき、○（即ち、丸）がついた行に達したら、その攻撃経路を攻撃経路候補として記憶する。

　　（2-4）次に、上述した（2-3）の処理を、行方向の末端まで（即ち、攻撃経路の数分）繰り返して実施する。
　　（2-5）前記（ステップ１）に戻り、次の車両ログの照合を行う。

　（ステップ３）次に、車両ログを全件照合したら、記憶していた攻撃経路候補を攻撃経路の推定結果として格納する。なお、攻撃経路候補は、出力が確定する前の攻撃経路の候補を示し、同じ攻撃経路候補が複数推定された場合には、後に推定された攻撃経路候補を記憶しないようにする。

　（ステップ４）次に、格納された攻撃経路を推定結果として出力する。
　＜電源の状態に応じた推定方法＞
　この推定方法における主な手順は、前記＜基本の推定方法＞で述べた処理と同様であり、ここでは、主として、本実施形態の要部である、ＥＣＵ２０の電源のオン、オフに対応して実施される攻撃種別や攻撃経路の推定方法について詳しく説明する。

　この推定方法では、例えば、図１５の破線で囲む欄のように、電源オフのＥＣＵ２０（従って、層）が、攻撃対象（又は攻撃起点）に含まれる場合には、この攻撃の分析はスキップする。つまり、電源オフのＥＣＵ２０はサイバー攻撃の攻撃起点や攻撃対象となり得ないことに照らせば、これらのＥＣＵ２０はサイバー攻撃と関連しないと推定されるから、スキップすることができる。

　また、例えば、図１５の一点鎖線で囲む欄のように、電源オフのＥＣＵ２０（従って、例えば第三層）に関する異常Ａ～Ｄに対応する車両ログの分析はスキップする。つまり、電源オフのＥＣＵ２０からは、車両ログが発生し得ないことに照らせば、これらのＥＣＵ２０はサイバー攻撃と関連しないと推定されるから、スキップすることができる。

　以下、順を追って具体的な一例を説明するが、下記の処理に限定されるものではない。なお、ここでは、攻撃経路を例に挙げて説明する。
　（ステップ１）攻撃経路の推定の入力となる車両ログ群（即ち、１以上の車両ログ）を取得する。

　（ステップ２）次に、下記の（2-1）～（2-7）手順で、攻撃経路を推定する。
　　（2-1）車両ログを１件取り出し、どのＥＣＵ２０（従って、どの層）のセキュリティセンサの異常を示す車両ログであるか（即ち、どの異常の位置及び異常の種類であるか）を解析する。

　　（2-2）前記（2-1）の処理の結果、解析対象の車両ログが、電源オフにより稼働していなかったと考えられるＥＣＵ２０の異常Ａ～Ｄに対応する車両ログである場合には、以降の処理（例えば、（2-3）～（2-6）の処理）をスキップし、前記（ステップ１）に戻って、次の車両ログの解析を行う。つまり、例えば、図１５の一点鎖線で囲まれる範囲の車両ログの分析を省略する。

　　（2-3）次に、攻撃推定用マッチングテーブルを参照し、攻撃推定用マッチングテーブルの列方向（即ち、横方向）のどのＥＣＵ２０（従って、どの層）のセキュリティセンサの異常であるか（即ち、どの列に関する異常であるか）を特定する。

　　（2-4）次に、特定した列について、攻撃推定用マッチングテーブルの行方向（即ち、縦方向）に沿って、異常の有無を照合してゆき、○（即ち、丸）がついた行に達したら、その攻撃経路を攻撃経路候補として記憶する。

　　（2-5）前記（2-4）の処理の実行中に、攻撃起点のＥＣＵ２０（従って、層）、又は、攻撃対象のＥＣＵ２０（従って、層）のいずれかが電源オフだった場合には、異常の有無の照合をスキップする。つまり、例えば、図１５の破線で囲まれる範囲の攻撃の分析は省略する。

　　（2-6）次に、上述した（2-4）～（2-5）の処理を、行方向の末端まで（即ち、攻撃経路の数分）繰り返して実施する。
　　（2-7）前記（ステップ１）に戻り、次の車両ログの照合を行う。

　（ステップ４）次に、攻撃経路の推定結果を出力する。
　従って、車両ログを全件照合した結果、実際の車両ログが、例えば、図１５の攻撃Ａのように、第１層において、異常Ａ、異常Ｃ、異常Ｄと一致する場合（即ち、１００％一致の場合）には、サイバー攻撃が、攻撃起点が0000で、攻撃対象が0x01の攻撃経路であると推定することができる。また、サイバー攻撃が、攻撃Ａであると推定することができる。

　つまり、実際の車両ログの異常情報と異常位置情報の組み合わせのパターン（即ち、実際の異常パターン）が、攻撃推定用マッチングテーブルの各１行分におけるパターン（即ち、予測異常パターン）と一致する場合に、予測異常パターンに対応する攻撃経路や攻撃種別を好適に推定することができる。

　また、例えば、車両ログが、攻撃推定用マッチングテーブルの各１行分のパターンの一部としか一致しない場合には、マッチング度が低いと判断することができる。例えば、３つのうち２つしか一致しない場合には、２／３のマッチング度とみなすことができる。

　さらに、例えば、取得された車両ログによる異常（即ち、実際の異常パターンにおける異常）が、攻撃推定用マッチングテーブルにおいて、異常の位置が第二層、異常の種類が異常Ａ、異常Ｂ、異常Ｃに対応する３個の場合には、攻撃推定用マッチングテーブルの予測異常パターンを参照すると、攻撃種別（又は攻撃経路）として、攻撃Ｂ、攻撃Ｃ、攻撃Ｄが推定される。

　この場合は、マッチング度は、攻撃Ｂが２/３、攻撃Ｃが２/３、攻撃Ｄが３/３（即ち、１００％）であると推定される。

（４）処理内容
　次に、攻撃分析装置１１によって実施される処理内容について、図１６のタイミングチャートに基づいて説明する。

　指標取得部１１２は、車両の車両制御システムＳから車両シチュエーション判定用信号を受信する（Ｓ１１１）。
　異常ログ取得部１１１は、車両の車両制御システムＳから、異常情報及び異常位置情報を含む車両ログを受信する（Ｓ１１２）。

　装置状態推定部１１４は、車両シチュエーション判定条件テーブルを用いて、車両シチュエーション判定用信号に基づいて、車両のシチュエーションを推定する（Ｓ１１３）。

　攻撃推定部１１６では、攻撃推定用マッチングテーブルを用い、異常ログ取得部１１１から得られた車両ログに含まれる異常の種類及び異常の位置の組み合わせと、サイバー攻撃を受けた場合に発生することが予測される複数の予測異常パターンと、を比較することにより（即ち、車両ログに含まれる異常の種類及び異常の位置の組み合わせを、攻撃推定用マッチングテーブルの予測異常パターンと照合することにより）、サイバー攻撃の攻撃経路や攻撃種別を推定する（Ｓ１１４）。

　特に本実施形態では、上述したように、攻撃推定部１１６によって攻撃経路等の推定を行う場合には、当該推定を行う演算範囲を、装置状態推定部１１４によって推定された車両シチュエーションに基づいて電源状態判定用テーブルから電源オフのＥＣＵ２０を特定し、その電源オフのＥＣＵ２０に基づいて、攻撃経路等の推定に不要な処理を省略するようにする。

　つまり、前記図１５の破線で囲む欄のように、電源オフのＥＣＵ２０（従って、層）が、攻撃対象（又は攻撃起点）に含まれる場合には、この攻撃の分析はスキップする。また、例えば、前記図１５の一点鎖線で囲む欄のように、電源オフのＥＣＵ２０（従って、例えば第三層）に配置されるセキュリティセンサの車両ログの分析はスキップする。

　なお、前記電源状態判定用テーブルに示すように、各ＥＣＵ２０の電源のオン、オフの状態は、車両シチュエーションに対応して定まっており、また、図１１に示すテーブルに示すように、各層に対応するＥＣＵ２０は定まっている。

　攻撃推定部１１６で推定された攻撃経路等の推定結果と、装置状態推定部１１４で推定された車両シチュエーションは、マッチング度算出部１１７に出力される。
　マッチング度算出部１１７では、マッチング度を、上述した各種の方法によって算出する（Ｓ１１５）。

　また、車両シチュエーションから車両ログの生成時に電源オフとなっていたＥＣＵ２０を特定する。そして、電源オフとなっていたＥＣＵ２０があれば、マッチング度の算出の際に含めないようにする。

　次に、攻撃経路等の推定結果とマッチング度とを出力部１１８に出力し、出力部１１８から、その分析結果（即ち、攻撃経路等の推定結果とマッチング度）を、攻撃分析装置１１外の所定の装置（例えば、外部サーバ３０の記憶装置等）に出力する。

（５）効果
　（ａ）本実施形態によれば、車両ログに含まれる異常情報及び異常位置情報と、サイバー攻撃を受けた場合に発生することが予測される複数の予測異常パターンと、を比較することにより、サイバー攻撃の攻撃経路及び／又は攻撃種別を推定することができる。

　また、攻撃経路等の推定を行う場合には、当該推定を行う範囲を、車両シチュエーションに基づいて判断するので、車両シチュエーションに応じて必要な演算を選択して実施することができる。これにより、攻撃経路等の推定する際の計算効率を高めることができるので、演算の負荷を軽減することができる。

　詳しくは、本実施形態では、車両シチュエーションから得られたＥＣＵ２０の電源のオン、オフの状態に基づいて、攻撃経路等の推定する際の推定を行う範囲を設定することができる。例えば、電源がオフのＥＣＵ２０の車両ログに関しては、攻撃経路等の推定のための演算を省略することができる。これにより、攻撃経路等を推定する際の計算効率を高めることができるので、演算の負荷を軽減することができる。

　（ｂ）本実施形態では、予測異常パターンは、攻撃起点のＥＣＵ２０及び攻撃対象のＥＣＵ２０に紐付けされている。そして、異常を検知した際の車両シチュエーションにおいて電源オフのＥＣＵ２０に、攻撃起点のＥＣＵ２０又は攻撃対象のＥＣＵ２０が含まれている場合には、電源オフのＥＣＵ２０に紐付けされた予測異常パターンについては、攻撃経路等の推定を行う処理をスキップすることができる。

　（ｃ）本実施形態では、予測異常パターンのうち、異常を検知した際の車両シチュエーションにおいて電源オフのＥＣＵ２０に対応する予測異常パターンについては、攻撃経路等の推定を行う処理をスキップすることができる。

　（ｄ）本実施形態では、攻撃経路等を推定する際に用いる攻撃推定用マッチングテーブルとして、攻撃経路及び／又は攻撃種別と、サイバー攻撃を受けた際に発生することが予測される異常の種類を示す予測異常情報及びサイバー攻撃を受けた際に発生することが予測される前記異常の位置を示す予測異常位置情報と、の関係を示すテーブルを用いることができる。

　従って、実際に取得された異常の種類及び異常の位置の組み合わせ（例えば、実際の異常パターン）に対応する攻撃推定用マッチングテーブル（例えば、異常の種類及び異常の位置の組み合わせが共有化された攻撃推定用マッチングテーブル）の予測異常情報及び予測異常位置情報の組み合わせ（例えば、予測異常パターン）から、サイバー攻撃の攻撃経路や攻撃種別を推定することができる。

　（ｅ）本実施形態では、マッチング度によって、車両ログに含まれる情報と予測異常パターンとの間の類似度を示すことができる。
　（ｆ）本実施形態では、車両シチュエーションとして、市街走行中、所定の速度以上の高速走行中、乗員がある場合の停車中、乗員が無い場合の停車中、自動運転中、走行中のバッテリ残量の所定以下の低下時、所定の速度以下の徐行中、後進中、充電中、故障診断中、前記各種の状態以外のデフォルトの状態など、のうち、少なくとも１種の状態を採用できる。なお、車両シチュエーションとしては、これらの例に限定されるものではなく、車両の状態（例えば、車両の移動状態や使用状態等）を示す各種の車両シチュエーションが挙げられる。

（６）本実施形態の変形例
　以上、本開示の実施形態について説明したが、本開示は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。以下の変形例は、本実施形態は勿論、他の実施形態の変形例とすることができる。

　（２ａ）本実施形態では、サイバー攻撃を受ける電子制御システムＳを搭載した装置として車両を例に挙げたが、それに限定されるものではなく、複数のＥＣＵを備えた任意の電子制御システムに適用することができる。

　例えば、電子制御システムＳは、任意の移動体に搭載される電子制御システムであってもよく、あるいは、移動体ではなく静止体に搭載されるものであってもよい。

　（２ｂ）本実施形態では、外部サーバに攻撃分析装置１１を搭載した例を挙げたが、車両に、攻撃分析装置１１の一部又は全体を搭載するようにしてもよい。
　（２ｃ）本実施形態では、ＥＣＵの共通化を行ったが、共通化を行わなくてもよい。この場合は、例えば図１４の各層に代えて各ＥＣＵを配置した攻撃推定用マッチングテーブルを用いることができる。

　（２ｄ）本開示にて推定される内容としては、サイバー攻撃の攻撃経路及び攻撃種別の少なくとも一方が挙げられる。
　（２ｅ）本開示に記載の攻撃分析装置１１は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサおよびメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。

　あるいは、本開示に記載の攻撃分析装置１１は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。

　もしくは、本開示に記載の攻撃分析装置１１は、一つ乃至複数の機能を実行するようにプログラムされたプロセッサおよびメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。

　また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されてもよい。攻撃分析装置１１に含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、一つあるいは複数のハードウェアを用いて実現されてもよい。

　（２ｆ）上述した攻撃分析装置１１の他、当該攻撃分析装置１１を構成要素とする装置、当該攻撃分析装置１１のコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移有形記録媒体、攻撃分析装置１１の処理方法（例えば、攻撃分析方法）など、種々の形態で本開示を実現することもできる。

　（２ｇ）上記実施形態における１つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、１つの構成要素が有する１つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、１つの構成要素によって実現したり、複数の構成要素によって実現される１つの機能を、１つの構成要素によって実現したりしてもよい。また、上記各実施形態の構成の一部を省略してもよい。また、上記各実施形態の構成の少なくとも一部を、他の実施形態の構成に対して付加または置換してもよい。

（７）本実施形態から把握される発明
　以下、少なくとも本実施形態の開示から把握される発明を列挙する。

（発明１）
　電子制御システム（Ｓ）がサイバー攻撃を受けた際に、前記電子制御システムにおいて発生する異常に基づいて、前記サイバー攻撃を分析する攻撃分析装置（１１）であって、
　前記電子制御システムに含まれる電子制御装置（２０）は、電源状態が個別に制御可能で、前記電子制御システムが搭載された装置の状態を示すシチュエーションに応じて停止又はスリープの状態に変化が可能なものであり、
　前記電子制御システムにおいて前記異常が発生した際に生成される前記異常の種類及び前記異常の位置の情報を含む異常ログを取得するように構成された異常ログ取得部（１１１）と、
　前記異常ログ取得部にて取得した前記異常ログに含まれる情報と、前記サイバー攻撃を受けた場合に発生することが予測される前記異常の組み合わせを示す１又は複数の予測異常パターンと、を比較することにより、前記サイバー攻撃の攻撃経路及び／又は攻撃種別を推定するように構成された攻撃推定部（１１６）と、
　を備え、
　前記攻撃推定部によって前記推定を行う場合には、当該推定を行う演算範囲を、前記装置の前記シチュエーションに基づいて判断するように構成された、
　攻撃分析装置。

（発明２）
　発明１に記載の攻撃分析装置であって、
　前記装置から当該装置の前記シチュエーションを推定可能な指標を取得するように構成された指標取得部（１１２）と、
　前記装置の前記シチュエーションを、前記指標から推定するように構成された装置状態推定部（１１４）と、
　をさらに備え、
　前記攻撃推定部によって前記推定を行う場合には、当該推定を行う演算範囲を、前記装置状態推定部によって推定された前記装置の前記シチュエーションに基づいて判断するように構成された、
　攻撃分析装置。

（発明３）
　発明１に記載の攻撃分析装置であって、
　前記装置の前記シチュエーションから得られた前記電子制御装置の前記電源状態の前記停止又は前記スリープの状態に基づいて、前記推定を行う演算範囲を設定するように構成された、
　攻撃分析装置。

（発明４）
　発明３に記載の攻撃分析装置であって、
　前記電源状態が前記停止又は前記スリープの状態の前記電子制御装置の前記異常ログに関しては、前記予測異常パターンと比較することによって前記推定を行う処理を省略するように構成された、
　攻撃分析装置。

（発明５）
　発明１に記載の攻撃分析装置であって、
　前記予測異常パターンは、前記サイバー攻撃の起点を示す予測攻撃地点の前記電子制御装置に紐付けされており、
　前記異常を検知した際の前記装置の前記シチュエーションにおいて前記停止又は前記スリープの状態である前記電子制御装置に、前記予測攻撃地点の前記電子制御装置が含まれている場合は、前記停止又は前記スリープの状態である前記電子制御装置に紐付けされた前記予測異常パターンについては、前記異常ログと比較することによって前記推定を行う処理を省略するように構成された、
　攻撃分析装置。

（発明６）
　発明１に記載の攻撃分析装置であって、
　前記予測異常パターンは、前記サイバー攻撃の対象を示す予測攻撃対象の前記電子制御装置に紐付けされており、
　前記異常を検知した際の前記装置の前記シチュエーションにおいて前記停止又は前記スリープの状態である前記電子制御装置に、前記予測攻撃対象の前記電子制御装置が含まれている場合は、前記停止又は前記スリープの状態である前記電子制御装置に紐付けされた前記予測異常パターンについては、前記異常ログと比較することによって前記推定を行う処理を省略するように構成された、
　攻撃分析装置。

（発明７）
　発明１に記載の攻撃分析装置であって、
　前記予測異常パターンのうち、前記異常を検知した際の前記装置の前記シチュエーションにおいて前記停止又は前記スリープの状態である前記電子制御装置に対応する前記予測異常パターンについては、前記異常ログと比較することによって前記推定を行う処理を省略するように構成された、
　攻撃分析装置。

（発明８）
　発明１に記載の攻撃分析装置であって、
　前記予測異常パターンが、前記サイバー攻撃を受けた際に発生することが予測される前記異常を示す予測異常情報と、前記サイバー攻撃を受けた際に発生することが予測される前記異常の位置を示す予測異常位置と、を示すように構成されたテーブルを用い、
前記異常ログと比較することにより、前記サイバー攻撃の前記攻撃経路及び／又は前記攻撃種別を推定するように構成された、
　攻撃分析装置。

（発明９）
　発明１に記載の攻撃分析装置であって、
　前記異常ログに含まれる情報と前記予測異常パターンとの間の類似の程度を示すマッチング度を算出するように構成された、
　攻撃分析装置。

（発明１０）
　発明９に記載の攻撃分析装置であって、
　前記異常ログ取得部にて取得した前記異常ログに含まれる情報と、前記サイバー攻撃を受けた場合に発生することが予測される前記予測異常パターンと、を比較し、前記異常ログに含まれる情報と前記予測異常パターンとの一致の程度に基づいて、前記マッチング度を算出するように構成された、
　攻撃分析装置。

（発明１１）
　発明１に記載の攻撃分析装置であって、
　前記装置が車両である場合に、当該車両の前記シチュエーションは、市街走行中、所定の速度以上の高速走行中、乗員がある場合の停車中、乗員が無い場合の停車中、自動運転中、走行中のバッテリ残量の所定以下の低下時、所定の速度未満の徐行中、後進中、充電中、故障診断中、前記各種の状態以外のデフォルトの状態、のうち、少なくとも１種の状態である、
　攻撃分析装置。

（発明１２）
　発明２に記載の攻撃分析装置であって、
　前記指標と前記装置の前記シチュエーションとを対応させたテーブルに基づいて、前記指標から前記装置の前記シチュエーションを求めるように構成された、
　攻撃分析装置。

（発明１３）
　発明１に記載の攻撃分析装置であって、
　前記異常ログ取得部にて取得した前記異常ログに含まれる情報と、前記サイバー攻撃を受けた場合に発生することが予測される前記予測異常パターンと、を対応させたテーブルに基づいて、前記異常ログに含まれる情報から前記サイバー攻撃の前記攻撃経路及び／又は前記攻撃種別を推定するように構成された、
　攻撃分析装置。

（発明１４）
　発明１３に記載の攻撃分析装置であって、
　前記テーブルとして、前記攻撃経路及び／又は前記攻撃種別と、前記サイバー攻撃を受けた際に発生することが予測される前記異常を示す予測異常情報及び前記サイバー攻撃を受けた際に発生することが予測される前記異常の位置を示す予測異常位置と、の関係を示すテーブルを用い、
　前記異常の種類及び前記異常の位置の組み合わせに対応する前記予測異常情報及び前記予測異常位置の組み合わせから、前記サイバー攻撃の前記攻撃経路及び／又は前記攻撃種別を推定するように構成された、
　攻撃分析装置。

（発明１５）
　電子制御システム（Ｓ）がサイバー攻撃を受けた際に、前記電子制御システムにおいて発生する異常に基づいて、前記サイバー攻撃を分析する攻撃分析方法であって、
　前記電子制御システムに含まれる電子制御装置（２０）は、電源状態が個別に制御可能で、前記電子制御システムが搭載された装置の状態を示すシチュエーションに応じて停止又はスリープの状態に変化が可能なものであり、
　前記電子制御システムにおいて前記異常が発生した際に生成される前記異常の種類及び前記異常の位置の情報を含む異常ログを取得し（Ｓ１１２）、
　前記取得した前記異常ログに含まれる情報と、前記サイバー攻撃を受けた場合に発生することが予測される前記異常の組み合わせを示す１又は複数の予測異常パターンと、を比較することにより、前記サイバー攻撃の攻撃経路及び／又は攻撃種別を推定する場合には、当該推定を行う演算範囲を、前記装置の前記シチュエーションに基づいて判断する（Ｓ１１４）、
　攻撃分析方法。

（発明１６）
　電子制御システム（Ｓ）がサイバー攻撃を受けた際に、前記電子制御システムにおいて発生する異常に基づいて、前記サイバー攻撃を分析する攻撃分析装置（１１）で実行可能な攻撃分析プログラムであって、
　前記電子制御システムに含まれる電子制御装置（２０）は、電源状態が個別に制御可能で、前記電子制御システムが搭載された装置の状態を示すシチュエーションに応じて停止又はスリープの状態に変化が可能なものであり、
　前記電子制御システムにおいて前記異常が発生した際に生成される前記異常の種類及び前記異常の位置の情報を含む異常ログを取得し（Ｓ１１２）、
　前記取得した前記異常ログに含まれる情報と、前記サイバー攻撃を受けた場合に発生することが予測される前記異常の組み合わせを示す１又は複数の予測異常パターンと、を比較することにより、前記サイバー攻撃の攻撃経路及び／又は攻撃種別を推定する場合には、当該推定を行う演算範囲を、前記装置の前記シチュエーションに基づいて判断するように構成された（Ｓ１１４）、
　攻撃分析プログラム。

３．実施形態２
　本実施形態は、主として特願２０２２－１５７４３２の記載に基づくものである。
　本実施形態の攻撃分析装置を攻撃分析装置１２とする。

（１）攻撃分析装置１０の全体構成
　図１７を参照して、本実施形態の攻撃分析装置１２を説明する。攻撃分析装置１２は、後述する移動体に設けられた電子制御システムＳに対する攻撃を分析する装置である。攻撃分析装置１２は、エントリポイント候補生成部１２０、攻撃推定部２２０、及び推定結果検証部３２０を備える。以下の実施形態では、攻撃推定部２２０を有する装置を攻撃分析装置と称し、エントリポイント候補生成部１２０、攻撃推定部２２０、及び推定結果検証部３２０をまとめて攻撃分析システムと称する。したがって、図１７は、本実施形態の攻撃分析システム１を示す図でもある。

　以下に説明する本実施形態では、サイバー攻撃を受ける電子制御システムＳは、車両に設けられた車載システムである例を挙げて説明する。また、本実施形態の攻撃分析装置１２は、図１（ｃ）のように、車両の外部に設けられているとする。

（２）電子制御システムＳ及び各種テーブルについて
　図１８を参照して、電子制御システムＳについて説明する。電子制御システムＳは、複数の電子制御装置（以下、ＥＣＵ）から構成される。図１８に示す例では、電子制御システムＳはＥＣＵ－１～５を有しており、それぞれのＥＣＵは車載ネットワークを介して接続されている。

　電子制御システムＳを構成するＥＣＵには、ＥＣＵ内部やＥＣＵが接続されたネットワークを監視するセキュリティセンサが搭載される。セキュリティセンサがＥＣＵ内部又はネットワークに発生した異常を検知すると、セキュリティログを生成して、後述するエントリポイント候補生成部１２０に出力する。以下、セキュリティセンサが生成して出力するログを、セキュリティログと称する。セキュリティログは、セキュリティセンサが検知した異常を示す異常情報と、セキュリティセンサが検知した異常が発生した位置を示す異常位置情報を含む。セキュリティログはさらに、電子制御システムＳを特定する識別情報、異常を検知したセキュリティセンサの識別情報、セキュリティセンサが搭載されたＥＣＵの識別情報、異常を検知した時刻、異常を検知した回数、異常を検知した順番、異常の検知前に受信したデータの内容やＩＰアドレス（すなわち、送信元及び送信先）の情報、等を含んでもよい。

　電子制御システムＳは、無線通信方式又は有線通信方式を用いて外部の接続先に接続される。図１８に示す例では、電子制御システムＳの外部の接続先は、ＡＰ－１～ＡＰ－５から構成されている。外部の接続先としては、例えば、ＨＥＭＳ（Home Energy Management System）、電気スタンド、路側機、非接触充電、他の車両、診断機、及びＯＥＭセンタ等があげられる。

　電子制御システムＳが接続先からサイバー攻撃を受けた場合、攻撃の侵入箇所であるエントリポイントを特定することで、攻撃経路や被害箇所を精度よく推定することができる。図１８では、電子制御システムＳがサイバー攻撃を受けた場合、各ＥＣＵ１～ＥＣＵ５がそれぞれエントリポイントＥＰ１～ＥＰ５となる例を示した。この他、エントリポイントをインターフェースで特定してもよい。各ＥＣＵは物理的なＥＣＵの他、仮想ＥＣＵであってもよい。

　図１９を参照して、エントリポイントの具体例を説明する。
　図１９の右欄に示す外部接続先からの攻撃の場合、中欄に示すインターフェースがエントリポイントであり、当該エントリポイントを備えるＥＣＵが左欄に示されている。同図に示す例では、マルチメディアＥＣＵはインターフェースとして、Ｗｉ－Ｆｉ、Ｂｌｕｅｔｏｏｔｈ（登録商標）及びＵＳＢを備えているため、各インターフェースがそれぞれエントリポイントとなる。
　なお、左欄で示されるＥＣＵをエントリポイントと定義してもよい。あるいは図１９のように、中欄に示すインターフェース及び左欄に示すＥＣＵの組をエントリポイントと定義してもよい。

　図２０は、走行状況・攻撃関係テーブル（“走行状況・異常関係情報”に相当）の一例を示す図である。図２０に示す走行状況・攻撃関係テーブルには、図１８に示した電子制御システムＳにおける、外部の接続先（“接続先情報”に相当）及び当該接続先からの予測される攻撃のエントリポイント（“予測エントリポイント”に相当）と、異常発生時における車両の走行状況、すなわちエントリポイントに対応する走行状況（“予測走行状況”に相当）とが対応付けて保存されている。すなわち、外部の接続先ごとに、当該接続先と接続することができる場合の車両の走行状況が対応付けられている。図２０の例では、各走行状態において接続することができる外部の接続先は、走行状況Ｃ１の場合ＡＰ－１～ＡＰ－５のすべてであり、走行状況Ｃ２の場合ＡＰ－１、ＡＰ－３およびＡＰ－５であり、走行状況Ｃ３の場合ＡＰ－３およびＡＰ－５である。
　ここで、“走行状況”とは、移動体自体の挙動や動作、モードなど、走行時の内部状況の他、移動体の周囲温度や位置、時刻など、走行時の外部状況も含む。

　図２１は、外部の接続先としての、ＨＥＭＳ、電気スタンド、他車両、車両販売店における整備作業用の診断機、及び路側機について、車両の速度による接続可能性の有無を示す図である。つまり、走行状況が車両の“速度”の場合の例である。同図に示す速度は、接続先の接続可能性に応じて区分すれば良いが、例えば、時速０ｋｍを停止、時速０ｋｍより大きく２０ｋｍ未満を低速、時速２０ｋｍ以上を高速とする。なお、接続先の装置の性能に応じて高速に上限を設定してもよい。その場合、高速を複数段階設定してもよい。
　ここで、“速度”とは、単位時間あたりの走行距離で示される狭義の速度の他、単位距離当たりに要する時間、２点間の位置情報と所要時間等、間接的に狭義の速度を特定できる情報であればよい。あるいは、速度の幅でもって定義してもよい。

　走行状況・攻撃関係テーブルを用いることで、異常発生時における車両の走行状況を用いて、外部の接続先およびエントリポイントを特定又は絞り込むことができる。例えば、車両の走行中には電気スタンドに接続することができないため、走行中の車両に異常が生じた場合、電気スタンドからの攻撃の可能性を排除または可能性が低いと評価することができる。なお、車両の速度は、速度情報として取得するほか、位置情報の推移や、車両の走行状態を反映する変速ギアの状態などとして取得することもできる。

　車両の走行状態を温度により区別する場合、例えば車両の周囲の気温や車両を構成する部材の温度とした場合、異常発生時における温度において動作しない接続先をサイバー攻撃の攻撃元から排除することができる。
　車両の走行状態を時間若しくは時刻により区別する場合、異常発生時刻において動作していない接続先を攻撃元から排除することができる。
　車両の走行状態を地理的な位置により区別する場合、異常発生時に走行中の国や州などにより、経済的または法規的に存在しない接続先を攻撃元から排除することができる。
　なお、図２０および図２１に示すように、通常、サイバー攻撃の攻撃元となる外部接続先とエントリポイントとは一対一で対応しているが、エントリポイントが複数の外部接続先をカバーしていてもよい。

　図２０及び図２１の走行状況・攻撃関係テーブルは、図５を用いて説明したシチュエーション情報に対応する。また、走行状況・攻撃関係テーブル中、異常発生時の車両の走行状況は“指標”に相当し、エントリポイントや外部接続先は“シチュエーション”に相当する。つまり、走行状況・攻撃関係テーブルは、入力された走行状況に基づき、走行状況に対応するエントリポイントを推定するために用いられる。

（３）エントリポイント候補生成部１２０の構成
　図２２を参照して、エントリポイント候補生成部１２０を説明する。エントリポイント候補生成部１２０は、入力部１２１、走行状況・攻撃関係情報保存部１２２、エントリポイント候補推定部１２３、及び、出力部１２４を備える。

　入力部１２１（“ログ取得部”、“指標取得部”に相当）は、電子制御システムＳで検出された異常を示すセキュリティログ、及び“異常が発生したとき”の車両の走行状況（“指標”に相当）を取得する。例えば、セキュリティログに含まれる異常発生時を特定するタイムスタンプで示された時刻の走行状況を取得するようにしてもよい。走行状況は、車両内の各種センサやＥＣＵから取得する。

　走行状況・攻撃関係情報保存部１２２は、予測される攻撃のエントリポイントである予測エントリポイントと、予測エントリポイントに対応する予測走行状況との関係を示す走行状況・攻撃関係テーブル（“走行状況・攻撃関係情報”に相当）を保存する保存部である。

　エントリポイント候補推定部１２３（“シチュエーション推定部”に相当）は、走行状況・攻撃関係情報保存部１２２に保存された走行状況・攻撃関係テーブルに基づき、入力部１２１が取得した走行状況において接続可能性がある外部接続先及びエントリポイント候補（“シチュエーション”に相当）を推定する。

　たとえば、図２０の走行状況・攻撃関係テーブルを用いる場合、セキュリティログにおける異常発生時の走行状況がＣ２であるとき、エントリポイント候補推定部１２３は、当該走行状況において電子制御システムＳの接続可能性がある接続先として、ＡＰ－１、ＡＰ３、及びＡＰ－５を特定し、可能性のあるエントリポイント候補として、ＥＰ－１、ＥＰ－３、及びＥＰ－５を特定する。

　出力部１２４は、入力部１２１で取得したセキュリティログ、及びエントリポイント候補推定部１２３により推定されたエントリポイント候補を、後述する攻撃推定部２２０に出力する。

　なお、セキュリティログを入力部１２１から取得することなく、後述の攻撃推定部２２０に直接入力するようにしてもよい。その場合、出力部１２４は、エントリポイント候補を攻撃推定部２２０に出力する。

（４）攻撃推定部２２０の構成
　図２３を参照して、攻撃推定部２２０を説明する。攻撃推定部２２０は、入力部２２１、攻撃・異常関係情報保存部２２２、推定部２２３、マッチング度算出部２２４、及び、出力部２２５を備える。

　入力部２２１は、エントリポイント候補生成部１２０から、セキュリティログ及びエントリポイント候補を取得する。

　攻撃・異常関係情報保存部２２２は、攻撃・異常関係テーブル（“攻撃・異常関係情報”に相当）を保存する保存部である。攻撃・異常関係テーブルは、電子制御システムＳが受ける可能性のある攻撃を示す予測攻撃情報と、サイバー攻撃を受けた場合に電子制御システムにおいて発生することが予測される異常を示す予測異常情報と、予測される異常が発生する電子制御システムＳ内の位置を示す予測異常位置情報との関係を示すテーブルである。

　図２４は、攻撃・異常関係テーブルの一例を示す図である。図２４に示す攻撃・異常関係テーブルでは、攻撃の種別（例えば、攻撃Ａ～攻撃Ｌ）毎に、電子制御システムＳが当該攻撃を受けた場合に生じる異常（“予測異常情報”に相当）と、異常が発生する位置（“予測異常位置情報”に相当）がＥＣＵ－１～ＥＣＵ－５のいずれであるかを示している。図２４に示すように、攻撃を受けた場合、複数の場所で複数の異常が発生することが想定される。したがって、攻撃・異常関係テーブルは、攻撃を受けた場合に生じる複数の異常と、それらの位置との組み合わせを示すものであることが好ましい。

　図２４はさらに、攻撃の種別と、当該攻撃を受けた場合に想定されるエントリポイントとの対応関係を示している。
　本実施形態では、“予測攻撃情報”は、攻撃種別とエントリポイントで構成されるが、その他の情報を含んでもよい。例えば、攻撃起点位置と攻撃対象位置とを含む攻撃経路を含んでいてもよい。もっとも、攻撃経路を含む場合は、エントリポイントの欄を別途設けることなく、攻撃起点位置で代用してもよい。すなわち、攻撃起点位置がエントリポイントを構成するインターフェースやＥＣＵである場合は、これらがエントリポイントとなる。

　例えば、攻撃種別が攻撃Ａである攻撃を受けた場合、電子制御システムＳでは、ＥＣＵ－１において、異常Ａ、Ｃ、Ｄ及びＥが発生し、ＥＣＵ－３において、異常Ａ及びＢが発生することが予測される。また、攻撃Ａの攻撃の起点となるエントリポイントはＥＰ－１であることも予測される。

　推定部２２３は、入力部２２１から入力されたセキュリティログ及び攻撃・異常関係テーブルに基づき、電子制御システムＳが受けた攻撃を推定する。この際、攻撃・異常関係テーブルのうち、入力部２２１から入力されたエントリポイント候補を含む部分を用いて攻撃を推定する。具体的には、エントリポイント候補で絞り込まれた攻撃・異常関係テーブルを用いて、単数又は複数のセキュリティログに含まれる異常情報及び異常位置情報の組み合わせに対応する予測異常情報及び予測異常位置情報の組み合わせを有する攻撃を特定する。組み合わせに対応するとは、組み合わせが一致する、又は類似する組み合わせであることをいう。

　このように、エントリポイント候補で絞り込まれた攻撃・異常関係テーブルを用いれば、セキュリティログとの照合の対象となる予測攻撃情報のコラムの数を削減することができ、攻撃を推定する効率を向上させることができる。
　たとえば、図２０に示す例の場合、異常発生時における走行状況がＣ２であるとき、エントリポイントはＥＰ－１，ＥＰ－３，及びＥＰ－５のいずれかである。そこで、エントリポイントがＥＰ－１，ＥＰ－３，またはＥＰ－５である攻撃Ａ，Ｂ，Ｆ，Ｇ，Ｋ，Ｌのみを分析の対象とする。このように、異常発生時の走行状況に基づいてエントリポイント候補を推定することで、図２４の攻撃・異常関係テーブルの分析対象を当該エントリポイント候補に対応する攻撃に限定することができる。

　なお、攻撃・異常関係テーブルは、エントリポイント候補ごとに作成してもよい。この場合、図２５に示すように、エントリポイントがＥＰ－１、ＥＰ－３及びＥＰ－５の攻撃・異常関係テーブルを選択して、これらのテーブルの中から予測異常情報の組み合わせの攻撃を特定する。

　なお、走行状況に基づいて推定したエントリポイント候補は、攻撃・異常関係テーブルの照合対象を絞り込むために用いる代わりに、推定された攻撃の検証に用いてもよい。検証は、推定結果検証部３２０で行う。

　なお、異常情報及び異常位置情報の組み合わせと全く同じ予測異常情報及び予測異常位置の組み合わせが攻撃・異常関係テーブルに存在しない場合、推定部２２３は、攻撃・異常関係テーブルに含まれる予測異常情報及び予測異常位置の組み合わせの中から、最も近い組み合わせを特定する。そして、最も近い組み合わせを示す攻撃種別を、電子制御システムが受けた攻撃であると推定する。

　なお、最も近い組み合わせが複数（例えば、攻撃Ａ、攻撃Ｂ）存在する場合には、推定部２２３は、電子制御システムが受けた攻撃の種別が攻撃Ａ又は攻撃Ｂのいずれかであると推定してもよい。

　推定部２２３はさらに、異常情報及び異常位置情報の組み合わせと予測異常情報及び予測異常位置情報の組み合わせとの差分から、電子制御システムＳに将来発生する異常や、将来受ける攻撃を推定してもよい。例えば、異常情報が示す異常の数が、予測異常情報が示す異常の数よりも少ない場合、予測異常情報が示す異常のうち、異常情報が示す異常に含まれていない異常が将来的に発生するおそれがある。そこで、推定部２２３は、予測異常情報が示す異常と異常情報が示す異常との差分が、電子制御システムに将来発生する異常であると推定する。このような場合、後述する出力部２２５は、予測異常情報が示す異常と異常情報が示す異常との差分を示す将来異常情報を出力してもよい。

　また、異常情報が示す異常の数が、予測異常情報が示す異常の数よりも少ない場合、異常情報が示す異常が攻撃を受ける前段階で発生する異常であり、将来的に攻撃を受けて更なる異常が発生する可能性がある。そこで、推定部２２３は、将来発生する可能性のある異常を前提に、電子制御システムＳが将来的に受ける可能性がある攻撃を推定する。このような場合、後述する出力部２２５は、攻撃情報に含まれる攻撃種別が、電子制御システムが将来受ける攻撃であることを示す将来攻撃情報を出力してもよい。

　マッチング度算出部２２４は、異常情報及び異常位置情報の組み合わせと予測異常情報及び予測異常位置情報の組み合わせとが全く同じではない場合に、これらの組み合わせのマッチング度を算出する。マッチング度は、例えば、異常情報が示す異常の数と、予測異常情報が示す異常の数との差分を、異常情報又は予測異常情報が示す異常の数で除算した数値によって表される。

　出力部２２５は、推定部２２３が推定した攻撃を示す“攻撃情報”を、後述する推定結果検証部３２０に出力する。攻撃情報はさらに、マッチング度算出部２２４が算出したマッチング度を含んでもよい。

　また、上述したとおり、推定部２２３が、電子制御システムに将来発生する異常や、電子制御システムＳが将来的に受ける可能性がある攻撃を推定した場合には、出力部２２５は将来攻撃情報又は将来異常情報を含む攻撃情報を出力してもよい。

（５）推定結果検証部３２０の構成
　図２６を参照して、推定結果検証部３２０を説明する。推定結果検証部３２０は、攻撃情報取得部３２１、及び検証部３２２を備える。

　攻撃情報取得部３２１は、出力部２２５から出力された攻撃情報を取得する。

　検証部３２２は、攻撃情報に含まれる内容を検証する。例えば、検証部３２２は、攻撃情報に含まれるマッチング度から、攻撃推定部２２０の推定結果の確度を検証する。例えば、検証部３２２は、マッチング度が所定のマッチング度よりも低い場合には、攻撃推定部２２０による推定結果は正しくないと判定する。あるいは、過去又は将来のセキュリティログの推定結果と併せて再度、分析を行うことを攻撃推定部２２０に指示をしてもよい。

　検証部３２２はさらに、マッチング度から、攻撃・異常関係テーブルの確度を検証してもよい。例えば、マッチング度が低い推定結果が連続して発生している場合には、攻撃・異常関係テーブルに含まれる予測異常情報と予測異常位置情報との対応付けが正確ではなく、テーブルの再設定や更新が必要であると判定する。

（６）攻撃分析装置１１の動作
　次に、図２７を参照して、攻撃分析装置１２の動作を説明する。なお、攻撃分析装置１２の動作は、攻撃分析システム１の動作であるとも観念できる。

　エントリポイント候補生成部１２０の入力部１２１は、電子制御システムＳで検出された異常を示すセキュリティログ、及び異常が発生したときの車両の走行状況を取得する（Ｓ１２１）。
　エントリポイント候補推定部１２３は、走行状況・攻撃関係情報保存部１２２に保存している走行状況・攻撃関係テーブルに基づき、Ｓ１２１で取得した走行状況における攻撃のエントリポイントの候補であるエントリポイント候補を推定する（Ｓ１２２）。
　出力部１２４は、セキュリティログと、Ｓ１２２で推定されたエントリポイント候補を出力する（Ｓ１２３）。

　攻撃推定部２２０の入力部２２１は、Ｓ１２３で出力されたセキュリティログとエントリポイント候補を取得する（Ｓ１２４）。
　推定部２２３は、エントリポイント候補を予測攻撃情報に含む攻撃・異常関係情報及びセキュリティログに基づき、電子制御システムが受けた攻撃を推定する（Ｓ１２５）。このとき、マッチング度算出部２２４は、攻撃・異常関係テーブルに保存された予測異常情報及び予測異常位置情報の組み合わせと、セキュリティログに含まれる異常情報及び異常位置情報との組み合わせとに差分がある場合、予測異常情報及び予測異常位置情報と、異常情報及び異常位置情報とのマッチング度を算出する（Ｓ１２６）。
　そして、出力部２２５は、マッチング度を含め、推定された攻撃を示す攻撃情報を出力する（Ｓ１２７）。

　推定結果検証部３２０の攻撃情報取得部３２１は、Ｓ１２７で出力された攻撃情報を取得する（Ｓ１２８）。
　検証部３２２は、攻撃情報を取得すると、攻撃情報に含まれる攻撃推定結果を検証する（Ｓ１２９）。

（７）小括
　以上、本開示の攻撃分析装置１２によれば、電子制御システムが攻撃を受けた場合に、異常発生時における車両の走行状況を用いてエントリポイント候補を推定し、エントリポイント候補に絞って攻撃を推定する。これにより、攻撃の分析を効率化して処理負荷を軽減することが可能になる。
　また、本開示の攻撃分析装置１２によれば、予測される異常の内容とエントリポイントが対応付けられた攻撃・異常関係テーブルを用いて攻撃を推定するのであるが、予めエントリポイント候補で絞った攻撃・異常関係テーブルを用いて推定した場合、本来該当しない予測攻撃情報を予め推定対象から外すことができるため、結果として攻撃の推定精度を高めることができる。
　さらに、予測される異常の内容とエントリポイントが対応付けられた攻撃・異常関係テーブルを用いて攻撃を推定するので、攻撃情報に加えエントリポイントの情報を推定結果として出力することも可能となる。

（８）変形例
　実施形態２の変形例は、エントリポイント候補生成部１２０、及び推定結果検証部３２０の少なくとも一部が、攻撃推定部２２０が設けられる装置とは異なる装置に設けられる構成である。本項では、実施形態２との相違点を中心に説明する。なお、エントリポイント候補生成部１２０、攻撃推定部２２０、及び推定結果検証部３２０の各構成や動作は第２の実施形態と同じであるため、説明は省略する。

　図２８は、変形例１の攻撃分析装置１２を備える攻撃分析システムの一例を示す図である。図２８の例では、攻撃分析装置１２は攻撃推定部２２０のみを備え、エントリポイント候補生成部１２０、及び推定結果検証部３２０は、検証装置２１に設けられる。攻撃分析装置１２及び検証装置２１を併せて、攻撃分析システム２とする。

　図２９は、変形例１の攻撃分析装置１２を説明する図である。図２９に示すとおり、変形例１では、車両の外部に配置されたサーバ装置が攻撃分析装置１２であり、車両には検証装置２１が搭載される。

　この場合、攻撃分析装置１２の入力部２２１は、車両に搭載された検証装置２１から、電子制御システムＳで検出された異常を示すセキュリティログ、及び異常が発生したときの車両の走行状況における攻撃のエントリポイントの候補であるエントリポイント候補を取得する。

　変形例１では、エントリポイント候補生成部１２０から出力されたエントリポイント候補及びセキュリティログは、無線通信ネットワークを介して攻撃推定部２２０に送信される。同様に、攻撃推定部２２０から出力された攻撃情報は、無線通信ネットワークを介して推定結果検証部３２０に送信される。したがって、図２９には図示していないが、攻撃分析装置１２及び検証装置２１は無線通信部及びアンテナを備えてもよく、あるいは、エントリポイント候補生成部１２０の出力部１２４、及び推定結果検証部３２０の攻撃情報取得部３２１が、無線通信部としての機能を有していてもよい。

　攻撃分析システムで実行される処理では、電子制御システムＳが受けたサイバー攻撃を推定する処理、すなわち、攻撃推定部２２０における処理が最も負荷が高い。そこで、サーバ装置が攻撃推定部２２０を有する攻撃分析装置１２を備えることにより、車両における負荷を大幅に低減することが可能となる。

　図３０は、実施形態２の変形例２を示している。変形例２では、攻撃分析装置１２は、攻撃推定部２２０に加えて、エントリポイント候補生成部１２０を備えている。この場合、図２９に示す構成と同様、攻撃分析装置１２はサーバ装置であってもよいが、攻撃分析装置１２は車両に搭載される装置であって、検証装置２１がサーバ装置として実現されてもよい。この場合、攻撃推定部２２０による攻撃推定結果の検証がサーバ装置で行われる。サーバ装置では、複数の電子制御システムにおける攻撃の推定結果を検証するため、例えば、攻撃・異常関係テーブルの再設定や更新が必要かどうかを、他の電子制御システムにおける推定結果と比較して判定することが可能となる。

　また、図３１は、実施形態２の変形例３を示している。変形例３では、攻撃分析装置１２は、攻撃推定部２２０に加えて、推定結果検証部３２０を備えている。そして、エントリポイント候補生成部１２０は、エントリポイント候補生成装置２１に設けられる。変形例３では、図２９と同様の配置、すなわち処理負荷が大きい攻撃推定部２２０及び推定結果検証部３２０を有する攻撃分析装置１２はサーバ装置であることが好ましい。

　以上の変形例は、他の実施形態や変形例にも適用可能である。すなわち、図４において、例えば、指標取得部１０２、シチュエーション情報保存部１０３、及びシチュエーション推定部１０４を車両に、ログ取得部１０１、攻撃・異常関係情報保存部１０５、及び攻撃推定部１０６をサーバ装置に設けるようにしてもよい。

（９）本実施形態から把握される発明
　以下、少なくとも本実施形態の開示から把握される発明を列挙する。

（発明１）
　移動体に設けられた電子制御装置システムに対する攻撃を分析する攻撃分析装置であって、
　前記電子制御システムで検出された異常を示すセキュリティログ、及び前記異常が発生したときの前記移動体の走行状況を取得する取得部（１２１）と、
　予測される攻撃のエントリポイントである予測エントリポイントと、前記予測エントリポイントに対応する予測走行状況との関係を示す走行状況・攻撃関係情報を保存する走行状況・攻撃関係情報保存部（１２２）と、
　前記走行状況・攻撃関係情報に基づき、前記走行状況における攻撃のエントリポイントの候補であるエントリポイント候補を推定するエントリポイント候補推定部（１２３）と、
　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（２２２）と、
　前記エントリポイント候補を前記予測攻撃情報に含む前記攻撃・異常関係情報及び前記セキュリティログに基づき、前記電子制御システムが受けた攻撃を推定する推定部（２２３）と、
　推定された攻撃を示す攻撃情報を出力する出力部（２２５）と、を有する、
　攻撃分析装置（１２）。

（発明２）
　前記走行状況は、前記移動体の速度である、
　発明１記載の攻撃分析装置。

（発明３）
　前記走行状況は、前記移動体の位置、前記移動体の周囲の気温、及び時間若しくは時刻からなる群のうち、一または複数を含む、
　発明１記載の攻撃分析装置。

（発明４）
　前記走行状況・攻撃関係情報は、さらに、前記予測エントリポイントの接続先である接続先情報を有する、
　発明１記載の攻撃分析装置。

（発明５）
　当該攻撃分析装置は、前記移動体の外部に設けられている、
　発明１～４いずれかに記載の攻撃分析装置。

（発明６）
　当該攻撃分析装置は、移動体に搭載されている、
　発明１～４いずれかに記載の攻撃分析装置。

（発明７）
　移動体に設けられた電子制御装置システムに対する攻撃を分析する攻撃分析装置であって、
　前記電子制御システムで検出された異常を示すセキュリティログ、及び前記異常が発生したときの前記移動体の走行状況における攻撃のエントリポイントの候補であるエントリポイント候補を取得する取得部（２２１）と、
　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の対応関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（２２２）と、
　前記エントリポイント候補を前記予測攻撃情報に含む前記攻撃・異常関係情報及び前記セキュリティログに基づき、前記電子制御システムが受けた攻撃を推定する推定部（２２３）と、
　推定された攻撃を示す攻撃情報を出力する出力部（２２５）と、を有する、
　攻撃分析装置（１２）。

（発明８）
　移動体に設けられた電子制御装置システムに対する攻撃を分析する攻撃分析装置で実行される攻撃分析方法であって、
　前記攻撃分析装置は、
　　予測される攻撃のエントリポイントである予測エントリポイントと、前記予測エントリポイントに対応する予測走行状況との関係を示す走行状況・攻撃関係情報を保存する走行状況・攻撃関係情報保存部（１２２）と、
　　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（２２２）と、を有し、
　当該攻撃分析方法は、
　　前記電子制御システムで検出された異常を示すセキュリティログ、及び前記異常が発生したときの前記移動体の走行状況を取得し（Ｓ１２１）、
　　前記走行状況・攻撃関係情報に基づき、前記走行状況における攻撃のエントリポイントの候補であるエントリポイント候補を推定し（Ｓ１２２）、
　　前記エントリポイント候補を前記予測攻撃情報に含む前記攻撃・異常関係情報及び前記セキュリティログに基づき、前記電子制御システムが受けた攻撃を推定し（Ｓ１２５）、
　　推定された攻撃を示す攻撃情報を出力する（Ｓ１２７）、
　攻撃分析方法。

（発明９）
　移動体に設けられた電子制御装置システムに対する攻撃を分析する攻撃分析装置で実行可能な攻撃分析プログラムであって、
　前記攻撃分析装置は、
　　予測される攻撃のエントリポイントである予測エントリポイントと、前記予測エントリポイントに対応する予測走行状況との関係を示す走行状況・攻撃関係情報を保存する走行状況・攻撃関係情報保存部（１２２）と、
　　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（２２２）と、を有し、
　当該攻撃分析プログラムは、
　　前記電子制御システムで検出された異常を示すセキュリティログ、及び前記異常が発生したときの前記移動体の走行状況を取得し（Ｓ１２１）、
　　前記走行状況・攻撃関係情報に基づき、前記走行状況における攻撃のエントリポイントの候補であるエントリポイント候補を推定し（Ｓ１２２）、
　　前記エントリポイント候補を前記予測攻撃情報に含む前記攻撃・異常関係情報及び前記セキュリティログに基づき、前記電子制御システムが受けた攻撃を推定し（Ｓ１２５）、
　　推定された攻撃を示す攻撃情報を出力する（Ｓ１２７）、
　攻撃分析プログラム。

４．実施形態３
　本実施形態の攻撃分析装置を攻撃分析装置１３とする。

（１）攻撃分析装置１３の構成
　図３２は、本実施形態における攻撃分析装置１３の構成を示すブロック図である。攻撃分析装置１３は、ログ取得部１３１，誤操作頻度情報取得部１３２、保存部１３３、偽陽性ログ判定部１３４、攻撃・異常関係情報保存部１３５、攻撃推定部１３６、出力部１３８を備える。

　なお、ログ取得部１３１、誤操作頻度情報取得部１３２、保存部１３３、及び偽陽性ログ判定部１３４で、ログ判定装置２３を構成する。ログ判定装置２３は攻撃分析装置１３の一部として攻撃分析装置１３に含まれていてもよいし、実施形態２の図２９や図３１のように、ログ判定装置２３は車両に搭載され、ログ判定装置２３以外のブロックを有する攻撃判定装置が車両外部のサーバ装置で実現されていてもよい。

　ログ取得部１３１（“ログ取得部”、“指標取得部”に相当）は、ＥＣＵ２０に搭載されたセキュリティセンサが生成したセキュリティログ（“セキュリティログ”、“指標”に相当）を取得する。電子制御システムＳの構成は図２、セキュリティログの内容は図３でそれぞれ説明した通りである。

　攻撃分析装置１３が電子制御システムＳに対し図１（ｃ）の配置を採る場合、ログ取得部１３１は、無線通信方式を用いた通信ネットワークを介してセキュリティログを受信することにより取得する。ログ取得部１３１は、集約された複数のセキュリティログをまとめて取得してもよく、あるいは、生成されたセキュリティログを順次取得してもよい。ログ取得部１３１が生成されたセキュリティログを順次取得する場合には、攻撃分析装置１３は、ログ取得部１３１が取得したセキュリティログを一時的に保存するログ保存部（図示せず）をさらに備えていてもよい。

　偽陽性ログ判定部１３４（“シチュエーション推定部”に相当）は、セキュリティログ（“指標”に相当）が生成された“頻度”に基づいて、ログ取得部１３１が取得したセキュリティログが示す異常の原因がサイバー攻撃（“シチュエーション”に相当）であるか否かを推定する。セキュリティログが示す異常の原因がサイバー攻撃でない場合は、当該セキュリティログは偽陽性ログであると判定する。ここで、偽陽性ログとは、電子制御システムＳが攻撃を受けたことによって発生する異常とは異なる異常を検知して生成されたセキュリティログを指す。
　より具体的には、偽陽性ログ判定部１３４は、セキュリティログが生成された“頻度”に基づいて、ログ取得部１３１が取得したセキュリティログが示す異常の原因が車両のユーザの誤操作（“シチュエーション”に相当）であるか否かを推定する。セキュリティログが示す異常の原因が車両のユーザの誤操作である場合は、当該セキュリティログは偽陽性ログであると判定する。
　なお、上述の通り、セキュリティログが示す異常の原因がサイバー攻撃であるか否かの推定結果（具体的には、ユーザの誤操作であるか否かの推定結果）と、セキュリティログが偽陽性ログであるか否かとは、１対１で対応している。以後の説明では、偽陽性ログ判定部１３４の動作のうち、サイバー攻撃か否かを推定すること（具体的には、ユーザの誤操作であるか否かを推定すること）は記載を省略し、偽陽性ログ判定部１３４は、偽陽性ログか否かの判定を行うとして記載している。
　ここで、“頻度”とは、例えば、セキュリティログが生成される回数、時間、周期等によって示されるものである。

　図３に示すように、セキュリティログは、イベントの発生時刻を有している。そのため、偽陽性ログ判定部１３４は、セキュリティログが有するタイムスタンプに基づいて、セキュリティログが生成された頻度を求めることができる。あるいは、ログ取得部１３１がセキュリティログを受信した時刻でセキュリティログが生成された頻度を求めてもよい。

　偽陽性ログ判定部１３４における偽陽性ログの判定処理では、保存部１３３に保存されている情報を用いる。保存部１３３は、偽陽性ログの判定に用いられる情報を保存する記憶部である。図３３は、保存部１３３に保存されている情報の一例を示す図である。ここには、後述するイベントＩＤと基準頻度との対応関係を示すテーブルが保存されている。

　保存部１３３に保存されているイベントＩＤは、イベントＩＤのうち、電子制御システムＳの“ユーザ”の誤操作によって発生する可能性がある異常に関するイベントの識別情報を示すイベントＩＤである。
　ここで、“ユーザ”とは、電子制御システムの所有者はもちろん、電子制御システムを一時的に使用する者も含む。

　保存部１３３に保存されている基準頻度は、セキュリティログが偽陽性ログであるか否かを判定する基準となる頻度である。図３３に示す例では、基準頻度として期間と回数が保存されているが、これらに限定されるものではない。

　例えば、電子制御システムＳが搭載された車両のユーザがＷｉ－Ｆｉ（登録商標）等の接続に必要なパスワードを誤って入力する、あるいは整備工場やディーラの作業者が誤った認証操作を行う、といった誤操作が行われた場合、セキュリティセンサは、これらの誤操作によって発生した異常を検知してセキュリティログを生成する。別の例では、整備工場やディーラの作業者がＥＣＵ２０に搭載されたソフトウェアの更新を行う際に、プログラムの取り違えをする、あるいは全てのソフトウェアの更新が完了する前に作業を終了させる、といった誤操作が行われた場合、セキュリティセンサは、これらの誤操作によって発生した異常を検知してセキュリティログを生成する。このようなユーザの誤操作によって発生しうる異常に関するイベントは限られている。そこで、ユーザの誤操作によって発生しうる異常に関するイベントを示すイベントＩＤを保存部１３３に保存しておく。そして、偽陽性ログ判定部１３４は、ログ取得部１３１が取得したセキュリティログに含まれるイベントＩＤが、保存部１３３に保存されているイベントＩＤと同じ場合に、セキュリティログが偽陽性ログであるか否かの判定処理を行う。これにより、ユーザの誤操作によって発生する可能性がない異常に関するイベントＩＤを有するセキュリティログについては、偽陽性ログであるか否かの判定処理が行われないため、ログ判定処理に係る処理量を低減することができる。

　具体的には、偽陽性ログ判定部１３４は、セキュリティログが生成された頻度が、保存部１３３に保存されている基準頻度“より”も低い場合に、セキュリティログが示す異常の原因が車両のユーザの誤操作であると推定し、セキュリティログが偽陽性ログであると判定する。
　ここで、“より”とは、比較対象と同じ値を含む場合及び含まない場合の両方が含まれる。

　図３３に示す例では、保存部１３３は、イベントＩＤ（Ａ）のセキュリティログの基準頻度として、時間（例えば、１０ｓ）及び回数（例えば、３回）を保存している。これは、１０ｓの間に生成されるセキュリティログの回数が３回であることを示している。そこで、偽陽性ログ判定部１３４は、セキュリティログが生成された頻度が、１０ｓ間に３回よりも少ない頻度であるか否かを判定する。

　図３４を用いて、セキュリティログが偽陽性ログであるか否かの判定処理を説明する。図３４（ａ）に示す例では、１０ｓの間にセキュリティログが６回生成されており、その頻度は基準頻度よりも高い。そのため、セキュリティログが示す異常の原因がサイバー攻撃であると推定し（つまり、ユーザの誤操作でないと推定し）、図３４（ａ）に示すセキュリティログはいずれも偽陽性ログでないと判定する。これに対し、図３４（ｂ）に示す例では、１０ｓの間にセキュリティログが２回生成されており、基準頻度よりも低い。そのため、キュリティログが示す異常の原因がサイバー攻撃でないと推定し（つまり、ユーザの誤操作であると推定し）、図３４（ｂ）に示すセキュリティログはいずれも、偽陽性ログであると判定する。

　図３４に示す例では、最初のセキュリティログが生成された時刻から１０ｓの間に生成されたセキュリティログの頻度と、基準頻度とを比較している。しかしながら、セキュリティログの頻度は、最初のセキュリティログが生成されてからの頻度に限定されるものではない。例えば、最後のセキュリティログが生成された時刻から遡って１０ｓの間に生成されたセキュリティログの頻度と基準頻度とを比較してもよい。あるいは、それぞれのセキュリティログが生成された時刻から１０ｓの間に生成されたセキュリティログの頻度をそれぞれ算出し、それぞれの頻度と基準頻度とを比較してもよい。

　ユーザが誤操作を繰り返す回数には限りがあるため、ユーザの誤操作によってセキュリティログが生成される頻度はそれほど高くない可能性が高い。これに対し、電子制御システムＳが、例えば総当たり攻撃やＤｏＳ攻撃を受けた場合、非常に高い頻度でセキュリティログが生成されることが想定される。そこで、基準頻度を設定し、セキュリティログが生成された頻度が基準頻度よりも低い場合には、偽陽性ログ判定部１３４はユーザの誤操作によって生成されたセキュリティログ、すなわち、偽陽性ログであると判定する。

　本実施形態では、所定の期間内にセキュリティログが生成された回数をセキュリティログが生成された頻度として説明しているが、これらに限定されるものではない。例えば、セキュリティログが生成される周期を頻度として使用してもよい。例えば、ユーザが操作を行う速度には限界があるため、誤操作を繰り返す周期はそれほど短くない可能性が高い。これに対し、電子制御システムＳが機械的な処理による総当たり攻撃やＤｏＳ攻撃を受けた場合、セキュリティログが生成される周期は極めて短くなる可能性が高い。そこで、セキュリティログが生成される周期を頻度として用いて、セキュリティログが偽陽性ログであるか否かを判定してもよい。

　図３３は、イベントＩＤと基準頻度の対応関係を示すテーブルを例示しているが、イベントＩＤ及び基準頻度には、さらにＥＣＵ－ＩＤが対応付けられて保存されてもよい。例えば、ＥＣＵ２０ａ及びＥＣＵ２０ｃが、同じイベントＩＤ（Ａ）を有するセキュリティログを生成することがある。ところが、異なるＥＣＵにおいて生成されたセキュリティログは、それぞれ異なる異常を検知して生成されるものである。そのため、同じイベントＩＤ（Ａ）を有するセキュリティログであっても、一方のセキュリティログはセキュリティセンサが攻撃によって発生した異常を検知して生成され、他方のセキュリティログは誤操作によって発生した異常を検知して生成されたものである可能性がある。そのため、イベントＩＤと基準頻度に加えて、ＥＣＵ－ＩＤが対応付けられて保存されてもよい。

　また、ログ取得部１３１が取得するセキュリティログには、様々なイベントＩＤを有するセキュリティログが混在している可能性があるが、異なるイベントＩＤを有するセキュリティログは、それぞれ異なる異常を検知して生成されたログである。そのため、偽陽性ログ判定部１３４は、共通のイベントＩＤを有するセキュリティログが生成された頻度が、保存部１３３に保存されているイベントＩＤに関連付けられた基準頻度よりも低いか否かを判定することで、セキュリティログが偽陽性ログであるか否かを判定する。また、保存部１３３にＥＣＵ－ＩＤが保存されている場合には、イベントＩＤに加えて、ＥＣＵ－ＩＤが共通しているセキュリティログが生成された頻度が、保存部１３３に保存されているイベントＩＤ及びＥＣＵ－ＩＤに関連付けられた基準頻度よりも低いか否かを判定することで、セキュリティログが偽陽性ログであるか否かを判定する。

　偽陽性ログ判定部１３４は、判定結果を攻撃推定部１３６に出力する。例えば、偽陽性ログ判定部１３４が偽陽性ログであると判定したセキュリティログに、当該セキュティログが偽陽性ログであることを示すフラグを偽陽性情報として付与して出力する。偽陽性情報は、例えば、図３に示すセキュリティログのコンテキストデータに格納されることで付与されてもよい。このように、セキュリティログに対して偽陽性情報としてフラグを付与することで、攻撃によって生成されたセキュリティログと、ユーザの誤操作によって生成されたセキュリティログとを容易に判別することが可能となる。

　以下に示す実施形態では、偽陽性ログ判定部１３４が、偽陽性ログであると判定されたセキュリティログに対して偽陽性情報を付与する場合を説明しているが、偽陽性ログ判定部１３４が偽陽性ログではないと判定したセキュリティログに対して、偽陽性情報を付与するものであってもよい。この場合の偽陽性情報は、当該情報が付与されたセキュリティログが偽陽性ログではないことを示す情報を示している。

　あるいは、偽陽性ログ判定部１３４は、偽陽性ログであると判定したセキュリティログの識別情報を攻撃推定部１３６に出力してもよい。
　以上の偽陽性ログ判定部１３４の出力によれば、攻撃推定部１３６で攻撃推定に用いないセキュリティログ（すなわち、偽陽性ログ）を識別することができ、必要性の低い攻撃推定を省略することができる。

　誤操作頻度情報取得部１３２は、セキュリティセンサがユーザの誤操作によって発生した異常を検知してセキュリティログを生成した場合に、ユーザが誤操作した“頻度”を示す誤操作頻度情報を取得する。この誤操作頻度情報に基づいて、保存部１３３に保存されている基準頻度が更新される。

　誤操作を行う頻度は、ユーザによって異なる傾向がある。例えば、ユーザａは、１分以内に２、３回の誤操作を行う傾向がある一方、別のユーザｂは、１分以内に１０回以上の誤操作をすることがある。そのため、ユーザａではセキュリティログが偽陽性ログであると判定される一方、ユーザｂではセキュリティログが偽陽性ログであると判定されないことが起こりうる。そこで、ユーザが誤操作をした場合には誤操作頻度情報を取得して、ユーザの誤操作の頻度に基づいて基準頻度を更新することで、ユーザに応じた基準頻度を設定することが望ましい。

　攻撃・異常関係情報保存部１３５は、サイバー攻撃と電子制御システムＳで発生する異常との関係を示す攻撃・異常関係テーブルを保存する。攻撃・異常関係テーブルは、図６で説明した通りであるので、図６及びその説明を引用する。

　攻撃推定部１３６は、ログ取得部１３１で取得したセキュリティログ、及び攻撃・異常関係情報保存部１３５に保存している攻撃・異常関係テーブルに加えて、偽陽性ログ判定部１３４の判定結果に基づき、電子制御システムＳが受けた攻撃を推定する。

　攻撃推定部１３６が、図３５の攻撃・異常関係テーブルを用いる場合を説明する。偽陽性ログ判定部１３４が、0x02の位置で発生した異常Ｂを示すセキュリティログがサイバー攻撃を原因とするものではないとの判定結果を出力した場合、攻撃推定部１３６は、予測異常位置情報が0x02であり、かつ予測異常情報が異常Ｂである場合のパターンに、例えば０．５の重みづけを乗ずる。そして、この修正後の攻撃・異常関係テーブルを攻撃推定に用いることにより、偽陽性ログが発生している場合の攻撃推定のスコアを偽陽性ログが発生していない場合の攻撃推定のスコアよりも低く評価することができる。これにより、偽陽性ログが発生している場合に、サイバー攻撃の攻撃推定の精度を上げることができる。
　なお、重みづけで乗ずる係数を０とした場合は、偽陽性ログをスコアに反映させないことになる。したがって、セキュリティログが偽陽性ログであることが確実である場合は、係数を０とすることが望ましい。

　重みづけで乗ずる係数は、偽陽性ログ判定部１３４の判定結果を量的に評価し、評価結果に基づき係数の値を決めるようにしてもよい。例えば、基準頻度を複数準備し、所定の期間内にセキュリティログが生成された頻度を複数の基準頻度との関係で分類し、分類結果に応じて定められた係数を用いるようにしてもよい。

　なお、攻撃推定部１３６は、攻撃・異常関係テーブルを用いずに、攻撃推定を行わないようにしてもよい。例えば、偽陽性ログ判定部１３４が、0x02で発生した異常Ｂを示すセキュリティログがサイバー攻撃を原因とするものではない偽陽性ログであるとの判定結果を出力した場合、攻撃推定部１３６は、偽陽性ログを用いて攻撃推定を行わないようにしてもよい。

（３）攻撃分析装置１３の動作
　図３６、図３７を参照して、攻撃推定装置１３の動作を説明する。

　ログ取得部１３１は、電子制御システムＳを構成する複数のＥＣＵ２０のそれぞれに搭載されたセキュリティセンサが異常を検知した場合に生成するセキュリティログを取得する（Ｓ１３１）。
　偽陽性ログ判定部１３４は、Ｓ１３１で取得したセキュリティログが偽陽性ログであるか否かを判定する（Ｓ１３２）。具体的には、セキュリティログが生成された頻度に基づいて、セキュリティログが偽陽性ログであるか否かを判定する。Ｓ１３２の具体的なフローは、図３７を用いて後述する。

　Ｓ１３２において偽陽性ログであると判定した場合（Ｓ１３３：Ｙ）、偽陽性ログ判定部１３４は、偽陽性ログであると判定されたセキュリティログに偽陽性情報を付与する（Ｓ１３４）。

　誤操作頻度情報取得部１３２は、ユーザが誤操作した頻度を示す誤操作頻度情報を取得する（Ｓ１３５）。
　Ｓ１３５で取得した誤操作頻度情報に基づいて、保存部１３３は基準頻度を更新する（Ｓ１３６）。

　偽陽性判定部１３４は、偽陽性ログであると判定され、偽陽性情報が付与されたセキュリティログを送信する（Ｓ１３７）。

　攻撃推定部１３６は、偽陽性情報に基づき攻撃・異常関係テーブルを修正する（Ｓ１３８）。そして、攻撃推定部１３６は、修正した攻撃・異常関係テーブルを用いて攻撃推定を行い、出力部１３８は推定された攻撃を示す攻撃情報を出力する（Ｓ１３９）。

　次に、図３７を参照して、Ｓ１３２における、セキュリティログが偽陽性ログであるか否かの判定処理について説明する。
　偽陽性ログ判定部１３４は、セキュリティログが有するイベントＩＤが、保存部１３３に保存されているイベントＩＤと同じであるか否かを判定する（Ｓ２３１）。
　ここで、セキュリティログが有するイベントＩＤが、保存部１３３に保存されているイベントＩＤとは異なる場合（Ｓ２３１：Ｎ）、セキュリティログは偽陽性ログではないと判定する（Ｓ２３２）。

　一方、セキュリティログが有するイベントＩＤが、保存部１３３に保存されているイベントＩＤと同じ場合（Ｓ２３１：Ｙ）、偽陽性ログ判定部１３４はさらに、セキュリティログの頻度が基準頻度よりも低いか否かを判定する（Ｓ２３３）。
　セキュリティログの頻度が基準頻度よりも低い場合（Ｓ２３３：Ｙ）、偽陽性ログ判定部１３４は、セキュリティログが偽陽性ログであると判定する（Ｓ２３４）。
　これに対し、セキュリティログの頻度が基準頻度よりも高い場合（Ｓ２３３：Ｎ）、偽陽性ログ判定部１３４は、セキュリティログが偽陽性ログではないと判定する（Ｓ２３２）。
　そして、偽陽性ログ判定部１３４は、判定結果を出力する（Ｓ２３５）。

（４）小括
　以上、本実施形態によれば、ユーザの誤操作によって生成されたセキュリティログを偽陽性ログであると判定することができる。これにより、セキュリティログを用いて攻撃を分析する攻撃分析装置１３では、偽陽性ログを除く又は偽陽性ログの評価を下げるとともに、偽陽性ログ以外のセキュリティログを用いて攻撃の分析をすることができるため、攻撃の分析精度を高めることができる。

（５）変形例
　本変形例では、実施形態３とは異なる方法を用いて、セキュリティログが偽陽性ログであるか否かを判定する方法を説明する。本実施形態の攻撃分析装置の構成は実施形態３と同じであるため、図３２の構成図を参照して本変形例を説明する。

　本変形例のログ受信部１３１は、セキュリティセンサが異常を検知した場合に生成するセキュリティログに加えて、電子制御システムＳにおいて所定のイベントが成功したことを示すセキュリティログを取得する。以下、異常を検知した場合に生成するセキュリティログと、所定のイベントが成功したことを示すセキュリティログとを区別するために、それぞれ異常セキュリティログ、成功セキュリティログと称する。

　偽陽性ログ判定部１３４は、実施形態３と同様、保存部１３３に保存されている情報を用いて偽陽性ログの判定を行う。図３８は、本実施形態の保存部１３３に保存されているテーブルの一例を示している。図３８に示す保存部１３３には、イベントＩＤ、基準頻度、及び成功セキュリティログのイベントＩＤ（以下、成功イベントＩＤ）の対応関係を示すテーブルが保存されている。

　成功イベントＩＤは、電子制御システムＳのユーザによる誤操作の後、ユーザが正しい操作をしたときに成功する可能性があるイベントの識別情報を示すイベントＩＤである。例えば、電子制御システムＳが搭載された車両のユーザがＷｉ－Ｆｉ（登録商標）の接続に必要なパスワードを誤って入力する、あるいは整備工場やディーラにおいて作業者が誤った認証操作を行う、といった誤操作が行われた後に、正しいパスワード入力や認証操作が行われることが考えられる。このように、正しいパスワード入力や認証操作が行われた場合、イベントが成功したことを示すセキュリティログが生成される。そこで、ユーザの誤操作の後に発生しうるイベントを示す成功イベントＩＤを保存部１３３に保存しておく。そして、偽陽性ログ判定部１３４は、ログ取得部１３１が取得した成功セキュリティログに含まれるイベントＩＤが、保存部１３３に保存されている成功イベントＩＤと同じ場合に、成功セキュリティログよりも前に異常セキュリティログが生成された頻度に基づいて、異常セキュリティログが偽陽性ログであるか否かを判定する。

　なお、図３８の例では、イベントＩＤ（Ａ）及び（Ｃ）には成功イベントＩＤが対応付けられているが、イベントＩＤ（Ｂ）には成功イベントＩＤが対応付けられていない。イベントの種別によって、成功イベントのセキュリティログが取得されない場合もあるため、全てのイベントＩＤに成功イベントＩＤが対応付けられているものではない。そのため、イベントＩＤ（Ｂ）のように成功イベントＩＤが対応付けられていない場合には、実施形態３と同様の方法を用いてセキュリティログが偽陽性ログであるか否かを判定する。

　図３９を用いて、本変形例のセキュリティログが偽陽性ログであるか否かの判定処理を説明する。図３９（ａ）に示す例では、イベントＩＤ（Ｄ）を有する成功セキュリティログが生成された時刻より前の１０ｓ間に、イベントＩＤ（Ａ）を有する異常セキュリティログが５回生成されており、その頻度は基準頻度よりも高い。そのため、図３９（ａ）に示す異常セキュリティログはいずれも偽陽性ログではないと判定する。これに対し、図３９（ｂ）に示す例では、成功セキュリティログが生成された時刻より前の１０ｓ間に異常セキュリティログが２回生成されており、基準頻度よりも低い。そのため、図３９（ｂ）に示す異常セキュリティログはいずれも、偽陽性ログであると判定する。

　なお、図３９（ａ）に示す例では、異常セキュリティログに加えて、成功セキュリティログも偽陽性ログでないと判定するようにしてもよい。また、図３９（ｂ）に示す例では、異常セキュリティログに加えて、成功セキュリティログも偽陽性ログであると判定するようにしてもよい。
　つまり、異常セキュリティログと成功セキュリティログの両方を含むセキュリティログを対象として偽陽性判定を実施するようにしてもよい。

　本変形例の偽陽性ログ判定部１３４はさらに、異常セキュリティログの頻度が基準頻度よりも低い場合であっても、成功セキュリティログの直前に生成された異常セキュリティログについては、偽陽性ログであると判定しなくともよい。ユーザが操作を行うにはある程度の時間を要する。そのため、異常セキュリティログが生成された直後に成功セキュリティログが生成されている、すなわち、異常が発生してから成功イベントが発生するまでの時間が、ユーザが操作を行うのに要する時間よりも短い時間である場合、ユーザの誤操作によって異常が発生したのではなく、機械処理による攻撃によって異常が発生した可能性が高い。そこで、偽陽性ログ判定部１３４は、成功セキュリティログが生成された時刻よりも前の所定の期間に生成された異常セキュリティログは、偽陽性ログであると判定しなくともよい。

　例えば、図４０に示す例では、成功セキュリティログが生成された時刻より前の１０ｓ間に異常セキュリティログは２回生成されており、その頻度は基準頻度よりも低い。ところが、図４０の例では、成功セキュリティログが生成された時刻よりも前の所定の期間（図４０では、１ｓ）に異常セキュリティログが生成されている。そのため、異常セキュリティログのうちＬ１のログは偽陽性ログであると判定されるが、Ｌ２のログは偽陽性ログであると判定されない。

　本変形例の攻撃分析装置１３は、実施形態３の攻撃分析装置１３と同様、図３６に示す各処理を実行する。しかしながら、本変形例の攻撃分析装置１３では、Ｓ１３２における偽陽性ログであるか否かを判定する処理が実施形態３とは異なる。そこで、図４１を用いて、本変形例における偽陽性ログであるか否かの判定処理を説明する。なお、図４１のうち、図３７と共通する処理については、図３７と同じ符号を付している。

　偽陽性ログ判定部１３４は、セキュリティログが有するイベントＩＤが、保存部１３３に保存されているイベントＩＤと同じであるか否かを判定する（Ｓ２３１）。
　ここで、セキュリティログが有するイベントＩＤが、保存部１３３に保存されているイベントＩＤとは異なる場合（Ｓ２３１：Ｎ）、セキュリティログは偽陽性ログではないと判定する（Ｓ２３２）。

　一方、セキュリティログが有するイベントＩＤが、保存部１３３に保存されているイベントＩＤと同じ場合（Ｓ２３１：Ｙ）、偽陽性ログ判定部１３４はさらに、保存部１３３に、イベントＩＤに対応付けられた成功イベントＩＤが保存されているか否かを判定する（Ｓ３３１）。
　保存部１３３にイベントＩＤに対応付けられた成功イベントＩＤが保存されている場合（Ｓ３３１：Ｙ）はさらに、ログ取得部１３１が当該成功イベントＩＤを有する成功セキュリティログを取得しているか否かを判定する（Ｓ３３２）。
　ここで、ログ取得部１３１が成功セキュリティログを取得している場合には、成功セキュリティログより前に生成された異常セキュリティログの頻度が基準頻度よりも低いか否かを判定する（Ｓ２３３）。
　そして、セキュリティログの頻度が基準頻度よりも低い場合（Ｓ２３３：Ｙ）、偽陽性ログ判定部１３４は、セキュリティログが偽陽性ログであると判定する（Ｓ２３４）。
　また、セキュリティログの頻度が基準頻度よりも高い場合（Ｓ２３３：Ｎ）、偽陽性ログ判定部１３４は、セキュリティログが偽陽性ログはないと判定する（Ｓ２３２）。

　一方、Ｓ３３１において、保存部１３３にイベントＩＤに対応付けられた成功イベントＩＤが保存されていない場合（Ｓ３３１：Ｎ）には、実施形態３と同様、異常セキュリティログの頻度が基準頻度より低いか否かを判定する（Ｓ２３３）。
　そして、偽陽性ログ判定部１３４は、判定結果を出力する（Ｓ２３５）。

　以上、本変形例によれば、イベントが成功したことを示すセキュリティログを用いることにより、ユーザの誤操作によって生成されたセキュリティログをより高い精度で偽陽性ログと判定することができる。

５．本開示から把握される発明
　以上の実施形態（実施例及び変形例を含む）に基づき、以下の発明を把握することができる。

（発明１）
　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置であって、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得するログ取得部（１０１）と、
　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標を取得する指標取得部（１０２）と、
　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）と、
　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記指標に基づき、前記電子制御システムが受けた攻撃を推定する攻撃推定部（１０６）と、
　推定された前記攻撃を示す攻撃情報を出力する出力部（１０８）と、を有する、
　攻撃分析装置（１０）。

（発明２）
　前記指標に基づき、前記指標に対応する前記移動体のシチュエーションを推定するシチュエーション推定部（１０４）をさらに有し、
　前記攻撃推定部は、前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記シチュエーションに基づき、前記電子制御システムが受けた攻撃を推定する、
　発明１記載の攻撃分析装置。

（発明３）
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の位置を前記予測異常位置情報又は前記予測攻撃情報として含む部分を攻撃推定に用いない、
　発明１又は発明２記載の攻撃分析装置。

（発明４）
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の異常を前記予測異常情報として含む部分を攻撃推定に用いない、
　発明１～３のいずれかに記載の攻撃分析装置。

（発明５）
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連すると推定される前記電子制御システム内の位置を前記予測異常位置情報又は前記予測攻撃情報として含む部分を攻撃推定に用いる、
　発明１又は２記載の攻撃分析装置。

（発明６）
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連すると推定される前記電子制御システム内の異常を前記予測異常情報として含む部分を攻撃推定に用いる、
　発明１～２、又は５のいずれかに記載の攻撃分析装置。

（発明７）
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の位置を前記予測異常情報又は前記予測異常位置情報として含む部分に対し重みづけを行った前記攻撃・異常関係情報を攻撃推定に用いる、
　発明１～６のいずれかに記載の攻撃分析装置。

（発明８）
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の異常を前記予測異常情報として含む部分に対し重みづけを行った前記攻撃・異常関係情報を攻撃推定に用いる、
　発明１～７のいずれかに記載の攻撃分析装置。

（発明９）
　前記重みづけ（ｗ）として、０≦ｗ＜１の係数を乗ずる、
　発明８記載の攻撃分析装置。

（発明１０）
　前記シチュエーション推定部は、前記セキュリティログが示す前記異常の原因がサイバー攻撃でないかを推定し、前記異常の原因がサイバー攻撃でない場合、前記セキュリティログは偽陽性ログであると判定し、
　前記攻撃推定部は、前記偽陽性ログである前記セキュリティログを用いた攻撃推定を行わない、
　発明１～９のいずれかに記載の攻撃分析装置。

（発明１１）
　前記指標には前記ログ取得部で取得した前記セキュリティログも含まれる、
　発明１～１０のいずれかに記載の攻撃分析装置。

（発明１２）
　前記シチュエーション推定部は、前記指標に基づき、前記移動体の動作及び／又は走行の状況である車両シチュエーションを推定し、前記車両シチュエーションから前記電子制御システムを構成する単数又は複数の各電子制御装置の電源状態を推定し、
　前記攻撃推定部は、前記電源状態に基づいて、前記攻撃・異常関係情報のうち前記攻撃と関連しないと推定される前記電子制御システム内の位置を前記予測異常位置情報又は前記予測攻撃情報として含む部分を攻撃推定に用いない、
　発明１～４いずれかに記載の攻撃分析装置。

（発明１３）
　前記指標は、前記移動体の速度、モード、乗員数、バッテリ電圧、充電状態、及びシフト位置、の少なくとも１つである、
　発明１２記載の攻撃分析装置。

（発明１４）
　前記シチュエーション推定部は、前記指標に基づき、攻撃のエントリポイントの候補であるエントリポイント候補を推定し、
　前記攻撃推定部は、前記攻撃・異常関係情報のうち、前記エントリポイント候補を前記予測攻撃情報として含む部分を攻撃推定に用いる、
　発明１～２、又は５～６のいずれかに記載の攻撃分析装置。

（発明１５）
　前記指標は、前記移動体の速度である、
　発明１４記載の攻撃分析装置。

（発明１６）
　前記指標は、前記移動体の位置、前記移動体の周囲の気温、及び時間若しくは時刻、の少なくとも１つである、
　発明１４又は１５記載の攻撃分析装置。

（発明１７）
　前記シチュエーション推定部は、前記指標としての前記セキュリティログが生成された頻度に基づき、前記セキュリティログが示す異常の原因がサイバー攻撃でないかを推定し、前記異常の原因がサイバー攻撃でない場合、前記セキュリティログは偽陽性ログであると判定し、
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記偽陽性ログである前記セキュリティログが示す前記電子制御システム内の位置における前記セキュリティログが示す異常に対応する前記予測異常情報に対し重みづけ（ｗ）を行った前記攻撃・異常関係情報を攻撃推定に用いる、
　発明１～２、又は７～９のいずれかに記載の攻撃分析装置。

（発明１８）
　前記シチュエーション推定部は、前記指標としての前記セキュリティログが生成された頻度に基づき、前記セキュリティログが示す異常の原因がサイバー攻撃であるか否かを推定し、サイバー攻撃でない場合、前記セキュリティログは前記偽陽性ログであると判定し、
　前記攻撃推定部は、前記偽陽性ログである前記セキュリティログを用いた攻撃推定を行わない、
　発明１～２、又は１０のいずれかに記載の攻撃分析装置。

（発明１９）
　前記シチュエーション推定部は、前記指標としての前記セキュリティログが生成された頻度に基づき、前記セキュリティログが示す異常の原因が前記移動体のユーザの誤操作であるか否かを推定し、ユーザの誤操作である場合、前記セキュリティログは前記偽陽性ログであると判定する、
　発明１７又は１８記載の攻撃分析装置。

（発明２０）
　前記シチュエーション推定部は、前記頻度が基準頻度よりも低い場合、前記セキュリティログが示す異常の原因が前記移動体のユーザの誤操作であると推定する、
　発明１９記載の攻撃分析装置。

（発明２１）
　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置であって、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得するログ取得部（１０１）と、
　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標に基づき、前記指標から推定した前記移動体のシチュエーションを取得するシチュエーション取得部（１０６）と、
　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）と、
　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記シチュエーションに基づき、前記電子制御システムが受けた攻撃を推定する攻撃推定部（１０６）と、
　推定された前記攻撃を示す攻撃情報を出力する出力部（１０８）と、を有する、
　攻撃分析装置（１０）。

（発明２２）
　当該攻撃分析装置は、前記移動体の外部に設けられている、
　発明１～２１のいずれかに記載の攻撃分析装置。

（発明２３）
　当該攻撃分析装置は、移動体に搭載されている、
　発明１～２１のいずれかに記載の攻撃分析装置。

（発明２４）
　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置で実行される攻撃分析方法であって、
　前記攻撃分析装置は、
　　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）を有し、
　前記攻撃分析方法は、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得し（Ｓ１０１）、
　　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標を取得し（Ｓ１０２）、
　　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記指標に基づき、前記電子制御システムが受けた攻撃を推定し（Ｓ１０４）、
　　推定された前記攻撃を示す攻撃情報を出力する（Ｓ１０５）、
　攻撃分析方法。

（発明２５）
　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置で実行可能な攻撃分析プログラムであって、
　前記攻撃分析装置は、
　　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）を有し、
　前記攻撃分析プログラムは、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得し（Ｓ１０１）、
　　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標を取得し（Ｓ１０２）、
　　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記指標に基づき、前記電子制御システムが受けた攻撃を推定し（Ｓ１０４）、
　　推定された前記攻撃を示す攻撃情報を出力する（Ｓ１０５）、
　攻撃分析プログラム。

６．総括
　以上、本開示の各実施形態における攻撃分析装置等の特徴について説明した。

　各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。

　実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。

　各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。

　各実施形態、及び請求の範囲で使用する、第１、第２、乃至、第Ｎ（Ｎは整数）、の用語は、同種の２以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。

　各実施形態は、車両に搭載される電子制御システムに対するサイバー攻撃を分析するための攻撃分析装置を前提としているが、本開示は、請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。

　また、本開示の攻撃分析装置の形態の例として、以下のものが挙げられる。
　部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
　半完成品の形態として、電子制御装置（ＥＣＵ（Electric Control Unit））、システムボードが挙げられる。
　完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ（ＰＣ）、ワークステーション、サーバが挙げられる。
　その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。

　また攻撃分析装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。

　本開示の攻撃分析装置は、特にサーバ側で用いられることにより、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本開示の攻撃分析装置が使用され、本開示の方法が使用され、又は／及び本開示のプログラムが実行されることになる。

　加えて、本開示は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本開示を実現するためのプログラム、及びこれを実行可能な専用又は汎用ＣＰＵ及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。

　専用や汎用のハードウェアの非遷移的実体的記録媒体（例えば、外部記憶装置（例えば、ハードディスク、ＵＳＢメモリ、ＣＤ／ＢＤ等）、又は内部記憶装置（例えば、ＲＡＭ、ＲＯＭ等））に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。

　本開示の攻撃分析装置は、主として自動車に搭載された電子制御システムが受けた攻撃を分析する装置を対象としているが、自動車に搭載されない通常のシステムに対する攻撃を分析する装置を対象としてもよい。

Claims

　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置であって、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得するログ取得部（１０１）と、
　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標を取得する指標取得部（１０２）と、
　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）と、
　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記指標に基づき、前記電子制御システムが受けた攻撃を推定する攻撃推定部（１０６）と、
　推定された前記攻撃を示す攻撃情報を出力する出力部（１０８）と、を有する、
　攻撃分析装置（１０）。
　前記指標に基づき、前記指標に対応する前記移動体のシチュエーションを推定するシチュエーション推定部（１０４）をさらに有し、
　前記攻撃推定部は、前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記シチュエーションに基づき、前記電子制御システムが受けた攻撃を推定する、
　請求項１記載の攻撃分析装置。
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の位置を前記予測異常位置情報又は前記予測攻撃情報として含む部分を攻撃推定に用いない、
　請求項１又は２記載の攻撃分析装置。
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の異常を前記予測異常情報として含む部分を攻撃推定に用いない、
　請求項１～３のいずれかに記載の攻撃分析装置。
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連すると推定される前記電子制御システム内の位置を前記予測異常位置情報又は前記予測攻撃情報として含む部分を攻撃推定に用いる、
　請求項１又は２記載の攻撃分析装置。
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連すると推定される前記電子制御システム内の異常を前記予測異常情報として含む部分を攻撃推定に用いる、
　請求項１～２、又は５のいずれかに記載の攻撃分析装置。
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の位置を前記予測異常情報又は前記予測異常位置情報として含む部分に対し重みづけを行った前記攻撃・異常関係情報を攻撃推定に用いる、
　請求項１～６のいずれかに記載の攻撃分析装置。
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記シチュエーションにおいて前記攻撃と関連しないと推定される前記電子制御システム内の異常を前記予測異常情報として含む部分に対し重みづけを行った前記攻撃・異常関係情報を攻撃推定に用いる、
　請求項１～７のいずれかに記載の攻撃分析装置。
　前記重みづけ（ｗ）として、０≦ｗ＜１の係数を乗ずる、
　請求項８記載の攻撃分析装置。
　前記シチュエーション推定部は、前記セキュリティログが示す前記異常の原因がサイバー攻撃でないかを推定し、前記異常の原因がサイバー攻撃でない場合、前記セキュリティログは偽陽性ログであると判定し、
　前記攻撃推定部は、前記偽陽性ログである前記セキュリティログを用いた攻撃推定を行わない、
　請求項１～９のいずれかに記載の攻撃分析装置。
　前記指標には前記ログ取得部で取得した前記セキュリティログも含まれる、
　請求項１～１０のいずれかに記載の攻撃分析装置。
　前記シチュエーション推定部は、前記指標に基づき、前記移動体の動作及び／又は走行の状況である車両シチュエーションを推定し、前記車両シチュエーションから前記電子制御システムを構成する単数又は複数の各電子制御装置の電源状態を推定し、
　前記攻撃推定部は、前記電源状態に基づいて、前記攻撃・異常関係情報のうち前記攻撃と関連しないと推定される前記電子制御システム内の位置を前記予測異常位置情報又は前記予測攻撃情報として含む部分を攻撃推定に用いない、
　請求項１～４のいずれかに記載の攻撃分析装置。
　前記指標は、前記移動体の速度、モード、乗員数、バッテリ電圧、充電状態、及びシフト位置、の少なくとも１つである、
　請求項１２記載の攻撃分析装置。
　前記シチュエーション推定部は、前記指標に基づき、攻撃のエントリポイントの候補であるエントリポイント候補を推定し、
　前記攻撃推定部は、前記攻撃・異常関係情報のうち、前記エントリポイント候補を前記予測攻撃情報として含む部分を攻撃推定に用いる、
　請求項１～２、又は５～６のいずれかに記載の攻撃分析装置。
　前記指標は、前記移動体の速度である、
　請求項１４記載の攻撃分析装置。
　前記指標は、前記移動体の位置、前記移動体の周囲の気温、及び時間若しくは時刻、の少なくとも１つである、
　請求項１４又は１５記載の攻撃分析装置。
　前記シチュエーション推定部は、前記指標としての前記セキュリティログが生成された頻度に基づき、前記セキュリティログが示す異常の原因がサイバー攻撃でないかを推定し、前記異常の原因がサイバー攻撃でない場合、前記セキュリティログは偽陽性ログであると判定し、
　前記攻撃推定部は、前記攻撃・異常関係情報のうち前記偽陽性ログである前記セキュリティログが示す前記電子制御システム内の位置における前記セキュリティログが示す異常に対応する前記予測異常情報に対し重みづけ（ｗ）を行った前記攻撃・異常関係情報を攻撃推定に用いる、
　請求項１～２、又は７～９のいずれかに記載の攻撃分析装置。
　前記シチュエーション推定部は、前記指標としての前記セキュリティログが生成された頻度に基づき、前記セキュリティログが示す異常の原因がサイバー攻撃であるか否かを推定し、サイバー攻撃でない場合、前記セキュリティログは前記偽陽性ログであると判定し、
　前記攻撃推定部は、前記偽陽性ログである前記セキュリティログを用いた攻撃推定を行わない、
　請求項１～２、又は１０のいずれかに記載の攻撃分析装置。
　前記シチュエーション推定部は、前記指標としての前記セキュリティログが生成された頻度に基づき、前記セキュリティログが示す異常の原因が前記移動体のユーザの誤操作であるか否かを推定し、ユーザの誤操作である場合、前記セキュリティログは前記偽陽性ログであると判定する、
　請求項１７又は１８記載の攻撃分析装置。
　前記シチュエーション推定部は、前記頻度が基準頻度よりも低い場合、前記セキュリティログが示す異常の原因が前記移動体のユーザの誤操作であると推定する、
　請求項１９記載の攻撃分析装置。
　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置であって、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得するログ取得部（１０１）と、
　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標に基づき、前記指標から推定した前記移動体のシチュエーションを取得するシチュエーション取得部（１０６）と、
　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）と、
　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記シチュエーションに基づき、前記電子制御システムが受けた攻撃を推定する攻撃推定部（１０６）と、
　推定された前記攻撃を示す攻撃情報を出力する出力部（１０８）と、を有する、
　攻撃分析装置（１０）。
　当該攻撃分析装置は、前記移動体の外部に設けられている、
　請求項１～２１のいずれかに記載の攻撃分析装置。
　当該攻撃分析装置は、移動体に搭載されている、
　請求項１～２１のいずれかに記載の攻撃分析装置。
　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置で実行される攻撃分析方法であって、
　前記攻撃分析装置は、
　　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）を有し、
　前記攻撃分析方法は、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得し（Ｓ１０１）、
　　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標を取得し（Ｓ１０２）、
　　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記指標に基づき、前記電子制御システムが受けた攻撃を推定し（Ｓ１０４）、
　　推定された前記攻撃を示す攻撃情報を出力する（Ｓ１０５）、
　攻撃分析方法。
　移動体に搭載された電子制御システム（Ｓ）に対する攻撃を分析する攻撃分析装置で実行可能な攻撃分析プログラムであって、
　前記攻撃分析装置は、
　　前記電子制御システムが受ける可能性のある攻撃を示す予測攻撃情報と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報と、前記予測される異常が発生する前記電子制御システム内の位置を示す予測異常位置情報と、の関係を示す攻撃・異常関係情報を保存する攻撃・異常関係情報保存部（１０５）を有し、
　前記攻撃分析プログラムは、
　前記電子制御システムで検出された異常及び前記異常が検出された前記電子制御システム内の位置を示すセキュリティログを取得し（Ｓ１０１）、
　　前記異常が発生したときの前記移動体の内部状態又は／及び外部状態を示す指標を取得し（Ｓ１０２）、
　　前記セキュリティログ、及び前記攻撃・異常関係情報に加えて、前記指標に基づき、前記電子制御システムが受けた攻撃を推定し（Ｓ１０４）、
　　推定された前記攻撃を示す攻撃情報を出力する（Ｓ１０５）、
　攻撃分析プログラム。