WO2024071049A1

WO2024071049A1 - 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

Info

Publication number: WO2024071049A1
Application number: PCT/JP2023/034764
Authority: WO
Inventors: 知範幾世; 万寿三江川; 泰司安部; 浩之宇都宮; 啓悟長柄
Original assignee: 株式会社デンソー
Priority date: 2022-09-30
Filing date: 2023-09-25
Publication date: 2024-04-04

Abstract

車両に対するサイバー攻撃を高い精度で分析することができる技術を提供する。攻撃分析装置（４７）は、前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定するように構成された判定部（４７２，Ｓ１０２）、を備える。

Description

攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

関連出願の相互参照

　本国際出願は、２０２２年９月３０日に日本国特許庁に出願された日本国特許出願第２０２２－１５７９５８号、及び２０２３年７月３１日に日本国特許庁に出願された日本国特許出願第２０２３－１２４７１７号に基づく優先権を主張するものであり、日本国特許出願第２０２２－１５７９５８号の全内容、及び日本国特許出願第２０２３－１２４７１７号の全内容を本国際出願に参照により援用する。

　本開示は、攻撃分析装置、攻撃分析方法、及び攻撃分析プログラムに関する。

　近年、車車間通信や路車間通信のようなＶ２Ｘをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。

　特許文献１には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め設定された異常検出パターンとを照合して、異常に対応する攻撃の種類を特定するセキュリティ装置が開示されている。

特開２０２０－１２３３０７号公報

　本願発明者らは、車両内に構築された電子制御システムで検出された異常を示す実測異常情報と、車両が攻撃を受けた場合に電子制御システムで発生することが予測される異常を示す予測異常情報と、に基づいて、車両に対するサイバー攻撃を分析する技術を、鋭意研究している。この種の技術において、車両に対するサイバー攻撃を、高い精度で分析できることが望ましい。

　本開示の一局面では、車両に対するサイバー攻撃を高い精度で分析することができる技術を提供する。

　本開示の一態様は、車両内に構築された電子制御システムに対する攻撃であって、ネットワークを介した攻撃を分析するように構成された攻撃分析装置であって、判定部、を備える。判定部は、対応情報が、予め設定された攻撃の類型に合致するか否かを判定するように構成され、対象要素が侵害されているか否かを判定するように構成される。対応情報は、電子制御システムのログであるシステムログと、電子制御システムと車両外との通信のログである通信ログと、を対応付けた情報である。また、対象要素は、電子制御システムの構成要素及び電子制御システムのうちの少なくとも一方を表す。

　このような構成によれば、システムログと通信ログとを対応付けた対応情報が、攻撃の類型に合致するか否かによって侵害されているか否かを判定するので、車両に対する攻撃であって、ネットワークを介した攻撃を高い精度で分析することができる。

第１実施形態の攻撃分析システムの構成を示すブロック図である。電子制御システムにおける電子制御装置の配置の一例を示す図である。車両ログＤＢに格納されたデータの一例を示す図である。検査部の構成を示すブロック図である。図５Ａは、第１実施形態の通信検知ログＤＢに格納された通信解析結果テーブルのデータの一例を示す図であり、図５Ｂは、通信検知ログＤＢに格納されたマルウェア解析結果テーブルのデータの一例を示す図である。第１実施形態の分析部の構成を示すブロック図である。予測異常情報の一例を示す図である。予測異常情報の他の一例を示す図である。第１実施形態の攻撃分析処理のシーケンス図である。図１０Ａは、通信データ監視部にて得られる情報の一例を示す図、図１０Ｂは、監視管理情報の一例を示す図、図１０Ｃは、検査部で検査される情報を示す図である。第２実施形態の攻撃分析システムの構成を示すブロック図である。第２実施形態の分析部の構成を示すブロック図である。第２実施形態の攻撃分析処理のシーケンス図である。第２実施形態のログ関連付け処理を示すフローチャートである。第２実施形態のログ関連付け処理のうちの仲介通信判定処理を示すフローチャートの第１部分である。第２実施形態の仲介通信判定処理を示すフローチャートの第２部分である。第２実施形態の通信仲介履歴の一例を示す図である。第２実施形態の機能情報（例えば、通信関連機能）の一例を示す図である。第２実施形態の通信検知ログＤＢに格納された通信解析結果テーブルのデータの一例を示す図である。第２実施形態の侵害判定処理を示すフローチャートである。第２実施形態の侵害判定処理のうちの人為的通信判定処理を示すフローチャートである。第３実施形態の通信検知ログＤＢに格納された通信解析結果テーブルのデータの一例を示す図である。第４実施形態のログ関連付け処理のうちの仲介通信判定処理を示すフローチャートの第１部分である。第４実施形態の仲介通信判定処理を示すフローチャートの第２部分である。第４実施形態の通信仲介履歴の一例を示す図である。第４実施形態の機能情報（例えば、通信関連機能）の一例を示す図である。アプリケーションログの一例を示す図である。第４実施形態の侵害判定処理のうちの人為的通信判定処理を示すフローチャートである。第５実施形態の分析部の構成を示すブロック図である。第５実施形態の攻撃分析処理のシーケンス図である。

　以下、本開示の例示的な実施形態について図面を参照しながら説明する。

　［１．第１実施形態］
　［１－１．構成］
　図１に示す攻撃分析システム１は、車両１０内に構築された電子制御システム２に対する攻撃であって、ネットワークを介した攻撃を分析するシステムである。ネットワークを介した攻撃とは、いわゆるサイバー攻撃を意味している。

　攻撃分析システム１は、電子制御システム２と、車両外装置４と、を備える。

　電子制御システム２は、複数の電子制御装置（以下、ＥＣＵ）を備える。図１に示す例では、電子制御システム２は、ＥＣＵ２ａ～２ｆを備える。ＥＣＵ２ａ～２ｆは、ＣＡＮ（登録商標）やＥｔｈｅｒｎｅｔ（登録商標）を用いた車載ネットワークを介して接続さ
　れている。なお、ＣＡＮは、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋの略称である。

　ＥＣＵ２ａ～２ｆは、それぞれ、監視部３ａ～３ｆを備える。監視部３ａ～３ｆは、ＥＣＵが備えるＣＰＵが実行するプログラムやＥＣＵが接続されたネットワークを監視するセキュリティセンサである。ＥＣＵ２ａ～２ｆは、プログラムに基づく処理を実行する際にシステムログを生成する。システムログは、電子制御システム２のログ、より詳細には電子制御システム２が生成する電子制御システム２に関するログである。システムログには、セキュリティログ、第２実施形態以下で詳述する通信仲介履歴、第４実施形態以下で詳述するアプリケーションログ等が含まれ、後述する通信ログは含まれない。なお、システムログは、車両１０を離れて利用される際に、車両ログとも呼ばれる。

　監視部３ａ～３ｆは、プログラムやネットワークで異常を検出すると、セキュリティログを生成する。セキュリティログには、電子制御システム２で検出された異常を示す情報が記録されており、例えば、異常を検知した時刻、異常が発生した位置を示す異常位置、異常を検知したセキュリティセンサの識別情報等が記録されている。

　図２に示すように、電子制御システム２では、攻撃に対するセキュリティ性を高めるために多層防御が採用されている。多層防御では、攻撃に対するセキュリティ機能を異ならせ、階層的・多層的に設けることで、攻撃を受けた場合に例えば一層目が突破されても、二層目が攻撃を防御ことができる可能性がある。この構成により、電子制御システム２の防御力を高めることができる。本実施形態では、電子制御システム２は、三層の防御層を有する。なお、図２では、電子制御システム２は、ＤＬＣ２ｇを搭載している。ＤＬＣは、Ｄａｔａ　Ｌｉｎｋ　Ｃｏｎｎｅｃｔｏｒの略称である。ＥＣＵ２ｅ、ＥＣＵ２ｆ及びＤＬＣ２ｇが第一層に属し、ＥＣＵ２ｄが第二層に属し、ＥＣＵ２ａ及びＥＣＵ２ｂが第三層に属している。なお、ＥＣＵ２ｃについては、図２では記載を省略している。また、防御層は三層に限定されず、例えば四層以上の防御層を有していてもよい。

　図１に戻り、ＥＣＵ２ｄは、監視部３ｄに加え、分析部３ｇや他のＥＣＵにデータを送信する送信部３ｈを備えていてもよい。分析部３ｇは、電子制御システム２におけるセキュリティログを管理し、車両１０から車両外装置４にセキュリティログを出力する前に、一定の異常な挙動を検知してもよい。また、ＥＣＵ２ｅは、通信部３ｉを備え、通信部３ｉは、後述する通信データ監視部４１に各ＥＣＵのセキュリティログを送信する。また、ＥＣＵ２ｆは、アプリ３ｊを備え、任意のアプリ機能を実行する。

　車両外装置４は、車両１０の外部に設置された計算機（すなわちコンピュータ）装置であり、ＣＰＵ、ＲＯＭ、ＲＡＭ、フラッシュメモリ等を有する周知のコンピュータを中心に構成される。ＣＰＵは、非遷移的実体的記録媒体であるＲＯＭに格納されたプログラムを実行する。当該プログラムが実行されることで、当該プログラムに対応する方法が実行される。なお、車両外装置４は、１つのコンピュータを備えてもよいし、複数のコンピュータを備えてもよい。

　車両外装置４に含まれる各部の機能を実現する手法はソフトウェアに限るものではなく、その一部又は全部の機能は、一つあるいは複数のハードウェアを用いて実現されてもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は、デジタル回路、又はアナログ回路、あるいはこれらの組合せによって実現されてもよい。

　車両外装置４は、通信データ監視部４１と、車両ログ受信部４２と、車両ログＤＢ４３と、検知条件ＤＢ４４と、検査部４５と、通信検知ログＤＢ４６と、分析部４７と、を備える。

　通信データ監視部４１は、例えば、ネットワーク内外のアクセスを代理するプロキシ、又は通過する全てのパケットを収集可能なフルパケットキャプチャ装置として構成される。通信データ監視部４１は、各車両１０と、その車両１０の外部の外部サイト５と、の間の通信を中継、監視することで、その車両１０の通信ログを生成する。通信データ監視部４１がプロキシであり車両１０もプロキシ機能を備える場合、例えば、車両１０のプロキシ機能にて通信データ監視部４１を次の宛先に指定することで車両１０と外部サイト５との通信が通信データ監視部４１を通るように構成できる。また、通信データ監視部４１がフルパケットキャプチャ装置である場合、例えば、車両１０に備わるファイアウォールの転送ポリシー設定により、車両１０と外部サイト５との通信が通信データ監視部４１を通るように構成できる。なお、通信ログは、車両外装置４が生成するログであって、電子制御システム２と車両１０外の外部サイト５との間の通信に関するログである。通信ログには、例えば図１０Ａに示すように、通信時刻、通信元（ＩＰアドレスを含む）、通信先（ＩＰアドレス及びＵＲＬを含む）、通信内容などが記録されている。

　　通信データ監視部４１は、通信ログとは別に、例えば図１０Ｂに示すような監視管理情報を取り扱う。監視管理情報は、例えば車両ログＤＢ４３に格納される。監視管理情報には、例えば、車両ＩＤ、通信の開始時刻、終了時刻、通信元のＩＰアドレス、通信元の機器等の情報が含まれる。

　監視管理情報は、例えば、ＥＣＵ２ｅの起動時や通信部３ｉが使用するIPアドレスの変更時等に、車両１０から車両外装置４へ能動的に情報の通知を行うことで取得される。通信データ監視部４１がプロキシである場合、監視管理情報は通信開始時の認証情報や車両構成管理情報により取得及び生成することもできる。

　車両ログ受信部４２は、各車両１０からセキュリティログを受信し、車両ログＤＢ４３に登録する。

　車両ログＤＢ４３は、各車両１０から収集したセキュリティログを保持するデータベースである。図３に示すように、車両ログＤＢ４３には、車両ＩＤ、検知時刻、検知場所、センサＩＤが紐付けられたデータが格納されている。

　検知条件ＤＢ４４は、検査部４５の構造解析部４５１にて使用される情報を保持するデータベースである。例えば、検知条件ＤＢ４４には、脅威情報、シグネチャ、振る舞いパターン等が記憶されている。脅威情報とは、既知の悪性な通信先やファイルハッシュ値である。シグネチャとは、悪性の通信データ、ファイルデータ、プログラム機能を示すパターン情報である。振る舞いパターンとは、悪性挙動痕跡・マルウェアなど悪性のファイルの振る舞いのパターンを示す情報である。

　検査部４５は、通信ログを解析し、悪性の通信先、及び悪性の通信内容を特定する。検査部４５が解析に利用する通信ログは、例えば、図１０Ｃに示すように、図１０Ａに示す通信ログと、図１０Ｂに示す監視管理情報とから、必要な情報を抽出した情報である。この情報には、例えば、車両ＩＤ、通信時刻、通信元の機器、通信先（ＩＰアドレス及びＵＲＬを含む）、通信データの内容（種別）が含まれうる。

　図４に示すように、検査部４５は、構造解析部４５１と、通信先解析部４５２と、通信内容解析部４５３と、を備える。

　構造解析部４５１は、構造解析部４５１や通信先解析部４５２にて解析すべき情報を通信ログから抽出する。具体的には、構造解析部４５１は、ＵＲＬの構造を解析し、ＩＰアドレスやドメイン名を抽出したり、通信内容の構造を解析し、通信先解析部４５２にて解析すべきデータやファイルを抽出したりする。

　通信先解析部４５２では、悪性の通信先を特定する。具体的には、通信先解析部４５２は、通信ログに記録された通信先や構造解析部４５１にて抽出された通信先が、検知条件ＤＢ４４に登録されている悪性の通信先と一致するか否かを判定する。悪性の通信先として、例えば、ＩＰアドレス、ドメイン、ＵＲＬなどが登録されている。また、通信ログの通信先が、通信内容解析部４５３で悪性と判定されたファイルの通信先と一致するか否かも判定する。

　通信内容解析部４５３は、悪性の通信内容を特定する。具体的には、通信内容解析部４５３は、構造解析部４５１にて抽出されたデータやファイルに対して、表層解析、静的解析、動的解析を行い、解析結果が、検知条件ＤＢ４４に登録されている内容と一致するか否かを判定する。

　表層解析では、ファイル自体が悪性であるかの情報やファイルのメタ情報を収集する。

　静的解析では、マルウェアのプログラムコードに具備されている機能や特徴的なバイト列の情報を収集する。動的解析では動作しない潜在的な機能も対象となる。

　動的解析では、プログラムコードが実際に動作した場合にどのような痕跡が残るのか、どのような通信が発生するのかの情報を収集する。プログラムコードを実際に動作させて振る舞いを解析する。

　通信検知ログＤＢ４６は、通信先解析部４５２又は通信内容解析部４５３にて解析された通信ログを保持するデータベースである。以下、通信先解析部４５２又は通信内容解析部４５３にて検知条件に合致すると判定された通信ログを、通信検知ログとも呼ぶ。通信検知ログＤＢ４６には、通信解析結果テーブルと、マルウェア解析結果テーブルと、が格納されている。通信解析結果テーブルには、図５Ａに示すように、車両ＩＤ、通信時刻、通信元、通信先、検知理由、通信内容、マルウェアＩＤが紐付けられたデータが格納されている。マルウェア解析結果テーブルには、図５Ｂに示すように、マルウェアＩＤ、コンテキストタイプ、コンテキストが紐付けられたデータが格納されている。

　図６に示すように、分析部４７は、ログ関連付け部４７１と、侵害判定部４７２と、攻撃・異常関係テーブル保存部４７３、推定部４７４と、出力部４７５と、を備える。

　ログ関連付け部４７１は、車両ログＤＢ４３に格納されたログと、通信検知ログＤＢ４６に格納されたログと、の対応付けを行う。本実施形態では、ログ関連付け部４７１は、以下の処理により各ログの対応付けを行い、対応付けたログである対応情報を侵害判定部４７２に出力する。

　まずログ関連付け部４７１は、通信検知ログＤＢ４６から、通信時刻が所定の時間枠Ｔ１の範囲内であるログを抽出する。また、ログ関連付け部４７１は、車両ログＤＢ４３から、検知時刻が所定の時間枠Ｔ１の範囲内であるログを抽出する。なお、時間枠Ｔ１とは、所定の時間毎に区切った、複数の時間の範囲のうちの１つの範囲である。

　次にログ関連付け部４７１は、以下の観点により各ログを関連付ける。

　［Ａ１］通信検知ログＤＢ４６の車両ＩＤと、車両ログＤＢ４３の車両ＩＤと、が一致していること。

　［Ａ２］通信検知ログＤＢ４６の通信元・通信先と、車両ログＤＢ４３の検知場所と、が一致していること。

　［Ａ３］通信検知ログＤＢ４６の通信時刻と、車両ログＤＢ４３の検知時刻と、が所定の時間枠Ｔ２以内であること。なお、時間枠Ｔ２とは、時間枠Ｔ１とは異なる時間の範囲であって、例えば数秒単位の時間の範囲であり、時間枠Ｔ１よりも小さい値である。

　以上のように、通信検知ログとセキュリティログが同期するように対応付けられる。

　侵害判定部４７２は、対応情報が、予め設定された、攻撃の類型に合致するか否かを判定する。侵害判定部４７２は、対応情報毎に判定を行う。具体的には、侵害判定部４７２は、複数の攻撃の類型のうちのいずれかに合致するかによって、電子制御システム２における、異常が生じた位置を特定する。そして、該異常が生じた位置が攻撃により侵害された位置であるか、又は、攻撃により侵害された可能性が高い位置であるかを分類可能である。つまり、侵害判定部４７２は、対応情報を分析し、通信元のＥＣＵが侵害されている確度である侵害確度を判定する。侵害確度には、侵害された可能性が高いと判定する場合と、侵害されたと判定する場合と、の２つの確度が含まれる。

　なお、複数の攻撃の類型には、通信先に関する攻撃の類型及び通信内容に関する攻撃の類型の少なくとも一方が含まれうる。通信先に関する攻撃の類型には、ＩＰアドレス、ドメイン名、ＵＲＬなどの通信先自体を示す情報や、Ｃ＆Ｃサーバのような通信先の種別を示す情報が含まれうる。通信内容に関する攻撃の類型には、例えば、図５Ｂに示すような、送信データや受信データなどの通信内容自体を示す情報や、マルウェアのダウンロードといった通信内容の種別を示す情報が含まれうる。また、通信以外のマルウェアの機能も含まれうる。通信以外のマルウェアの機能としては、例えば、セキュリティセンサの機能を無効化させるような、車両にとって有害なマルウェアの作動内容に関する情報が含まれうる。なお、セキュリティセンサには、セキュリティソフトウェアを含んでもよい。

　本実施形態では、侵害判定部４７２は、以下の場合に、通信元のＥＣＵが侵害されたと判定する。

　［Ｂ１］ユーザインタラクションに応じた処理を行わないＥＣＵからマルウェアをダウンロードする通信が発生している場合。

　［Ｂ２］ＥＣＵが送信した送信データが悪性と判定された場合。

　［Ｂ３］動的解析時に確認された挙動がＥＣＵにおいて発生していることが、対応情報から確認された場合。例えば、Ｃ＆Ｃサーバへコールバック通信をするなど、マルウェア感染後の通信が記録されている場合や、不審なＩＤを指定したＣＡＮメッセージが記録されている場合が該当する。

　また、侵害判定部４７２は、以下の場合に、通信元のＥＣＵが侵害された可能性が高いと判定する。

　［Ｂ４］ＥＣＵが受信した受信データが悪性と判定された場合。

　［Ｂ５］ＥＣＵが悪性と判定された通信先と通信をした場合。

　なお、通信元のＥＣＵが、侵害された場合及び侵害された可能性が高い場合の両方に該当する場合には、侵害されたと判定される。図５Ａ及び図５Ｂをみると、例えば、通信解析結果テーブルの１行目で、ＥＣＵ－１が悪性サイトへアクセスしているとの記録があるため、ＥＣＵ－１は侵害されている可能性が高い場合に該当する。また、通信解析結果テーブルの２行目及び３行目によると、ＥＣＵ－１は、マルウェア解析結果テーブルの１行目に記録されている、マルウェアＡの解析結果で得られた通信先Ｃと通信している。よって、ＥＣＵ－１は、侵害された場合にも該当する。この場合、侵害された場合が優先され、ＥＣＵ－１は、侵害されたと判定される。

　攻撃・異常関係テーブル保存部４７３は、攻撃の種別毎に、攻撃を受けた場合に電子制御システム２で発生することが予測される異常の組み合わせを示す予測異常情報を保持する。図７及び図８に示す予測異常情報では、攻撃の種別毎に、電子制御システム２が該当の攻撃を受けた場合に生じる異常と、異常が発生する位置と、が示されている。図７及び図８に示すように、攻撃を受けた場合、複数の位置において異常が発生することが想定される。予測異常情報では、さらに、攻撃の種別と、攻撃を受けた場合に想定される攻撃の起点及び攻撃の対象と、の対応関係も示している。なお、図７及び図８において、上図が攻撃・異常関係テーブル保存部４７３に保持されている予測異常情報であり、下図が推定部４７４により変更されたあとの予測異常情報である。

　例えば、攻撃の種別が攻撃Ａである攻撃を受けた場合、電子制御システム２では、第一層に位置するＥＣＵ－１において、異常Ａ及び異常Ｃが発生することが予測される。また、攻撃Ａの攻撃の起点は、０ｘ００が示す位置であり、攻撃の対象は０ｘ０１が示す位置である。なお、攻撃の起点と攻撃の対象とにおいて、０ｘ００は車両外を示し、０ｘ０１～０ｘ０５はそれぞれＥＣＵ－１～ＥＣＵ－５を示している。

　推定部４７４は、実測異常情報と、予測異常情報と、の類似度を判定することにより、攻撃の種別を推定する。実測異常情報とは、セキュリティログに基づき生成された、実際に検出された異常の組み合わせを示すデータである。具体的には、実測異常情報は、図７及び図８の予測異常情報の異常の内容と同様の項目を有し、該当位置に実際に異常が検出されたことを示すセキュリティログがあれば１、なければ０として表したデータ列である。攻撃の種別を推定するとは、攻撃経路を推定するとも観念できる。予測異常情報のテーブルの各行に示される「攻撃を受けた場合に発生することが予測される異常の位置」が攻撃経路を構成すると観念できるためである。

　ここで推定部４７４は、実測異常情報と、予測異常情報と、の類似度を判定する前に、対応情報を用いることにより、予測異常情報を変更する。

　本実施形態では、推定部４７４は、以下の処理を行うことにより、予測異常情報を変更する。

　［Ｃ１］侵害された可能性が高いと判定されたＥＣＵに対応するテーブルエントリの係数を所定の数だけ増やす。例えば、図７のように、ＥＣＵ－３が侵害された可能性が高いと判定された場合、ＥＣＵ－３に発生することが予測される異常Ａ及び異常Ｂの係数をプラス１し、１から２に変更する。

　［Ｃ２］侵害されたと判定されたＥＣＵに対応するテーブルエントリの係数を所定の数だけ増やす。又は、侵害されたと判定されたＥＣＵと同じ層に位置するＥＣＵに対応するテーブルエントリの係数を所定の数に減らす。例えば、図７のように、ＥＣＵ－１が侵害されたと判定された場合、ＥＣＵ－１と同じ層に位置するＥＣＵ－２に発生することが予測されていた異常Ａ及び異常Ｃの係数をゼロにする。これは、第一層において、ＥＣＵ－２ではなくＥＣＵ－１が攻撃の侵入口であると特定されたことを意味する。

　また、例えば、図８の予測異常情報を用いると、ＥＣＵ－１が侵害されたと判定された場合、ＥＣＵ－１と同じ層に位置するＥＣＵ－２に発生することが予測されていたＨＩＤＳ異常及び認証異常の係数をゼロにする。

　［Ｃ３］侵害されたと判定されたＥＣＵ又はＥＣＵが接するネットワークにおいて、感染したマルウェアと一致する挙動がセキュリティログに記録されている場合、対応するテーブルエントリのうち、当該セキュリティログを記録したセキュリティセンサのテーブルエントリの係数を増やす。例えば、図５Ａ及び図５Ｂの通信検知ログを含む対応情報に基づき、図８の予測異常情報を変更する場合を説明する。図５Ｂのマルウェア解析結果テーブルによると、マルウェアＡは、ＣＡＮ－ＩＤＳにより検知される可能性があるＣＡＮメッセージを送信する機能を具備している。よって、図８の予測異常情報において、侵害されたと判定されたＥＣＵ－１と隣接するＣＡＮバスの異常を検知するＥＣＵ－３のＣＡＮ－ＩＤＳ異常の係数のうち、ＥＣＵ－１に係る異常の係数がゼロよりも大きくなっている行において、ＥＣＵ－３のＣＡＮ－ＩＤＳ異常の係数をプラス１し、１から２に変更する。

　推定部４７４は、上記の処理を行い、係数を変更した予測異常情報を用いて、攻撃の種別を推定する。本実施形態では、実測異常情報と、予測異常情報と、を比較し、組み合わせがもっとも近いテーブルの行を特定する。具体的には、実測異常情報のデータ列をベクトルで表現したものと、予測異常情報のデータ列をベクトルで表現したものと、の内積を算出し、予測異常情報のベクトルにおいて０よりも大きい値になっている要素の数で内積を割った結果が、最も高い値となった予測異常情報のテーブルの行を抽出する。

　推定部４７４はさらに、攻撃の種別を推定することに加えて、攻撃の起点及び攻撃の対象を推定してもよい。予測異常情報は、攻撃の種別と、攻撃の起点及び攻撃の対象と、を対応付けて保存しているため、推定部４７４は、予測異常情報を用いて攻撃の起点及び攻撃の対象を推定することが可能である。なお、ここで、侵害判定部４７２により侵害されたと判定されたＥＣＵについては、推定部４７４の結果によらず、被害を受けた位置としてみなしてもよい。図８の例をみると、例えば、実測異常情報が、攻撃Ｄの行と最も類似度が高かった場合、ＥＣＵ－１からＥＣＵ－３に向けて攻撃Ｄが行われたと推定することができる。このように、攻撃の起点及び攻撃の対象を推定すれば、攻撃の経路も推定することができる。

　出力部４７５は、推定部４７４より推定された攻撃の種別を、攻撃に対して対策を講じる攻撃対策装置（図示せず）に出力する。

　［１－２．処理］
　車両外装置４の分析部４７が実施する攻撃分析処理について、図９を参照して説明する。

　まず、Ｓ１０１で、ログ関連付け部４７１は、車両ログＤＢ４３からセキュリティログと、通信検知ログＤＢ４６から通信検知ログと、を取得する。そして、ログ関連付け部４７１は、セキュリティログと、通信検知ログと、を対応付け、対応付けたログである対応情報を侵害判定部４７２に出力する。

　続いて、Ｓ１０２で、侵害判定部４７２は、対応情報を分析し、通信元のＥＣＵの侵害確度を判定する。侵害判定部４７２は、侵害確度を含む判定結果を推定部４７４に出力する。

　続いて、Ｓ１０３で、推定部４７４は、攻撃・異常関係テーブル保存部４７３に保持されている予測異常情報を取得し、対応情報についての判定結果を用いて予測異常情報を更新する。

　続いて、Ｓ１０４で、推定部４７４は、セキュリティログに基づき実際に検出された異常の組み合わせを示す実測異常情報と、Ｓ１０３で更新された予測異常情報と、の類似度を判定することにより、攻撃の種別を推定する。推定部４７４は、推定した攻撃の種別を出力部４７５に出力する。

　続いて、Ｓ１０５で、出力部４７５は、攻撃の種別を攻撃対策装置に出力する。

　［１－３．効果］
　以上詳述した第１実施形態によれば、以下の効果が得られる。

　（１ａ）車両外装置４は、車両１０内に構築された電子制御システム２に対する攻撃であって、ネットワークを介した攻撃を分析するように構成される。車両外装置４は、分析部４７を備える。分析部４７は、システムログと通信ログとを対応付けた対応情報が、予め設定された攻撃の類型に合致するか否かを判定するように構成され、対象要素が侵害されているか否かを判定するように構成される。

　このような構成によれば、対応情報が、攻撃の類型に合致するか否かによって侵害されているか否かを判定するので、車両１０に対する攻撃であって、ネットワークを介した攻撃を高い精度で分析することができる。

　（１ｂ）上記実施形態では、対応情報が、予め設定された、攻撃の類型に合致するか否かを判定する構成を例示した。対応情報は、セキュリティログと、通信検知ログとが対応付けられた情報である。このような構成によれば、セキュリティログに加えて、実際に異常を発生させた原因である攻撃コードやマルウェアの特徴を含む通信検知ログも加味して攻撃の類型に合致するか否かを判定できる。よって、セキュリティログのみを用いて攻撃の類型に合致するか否かを判定する構成と比較して、車両に対するサイバー攻撃を高い精度で分析することができる。

　（１ｃ）上記実施形態では、推定部４７４が、侵害判定部４７２により判定された対応情報についての判定結果を用いて予測異常情報を更新し、更新された予測異常情報と、実測異常情報と、の類似度を判定することにより、攻撃の種別を推定する構成を例示した。このような構成によれば、予測異常情報を更新せずにそのまま用いる場合と比較して、実際の攻撃の傾向を加味することができる。よって、車両に対するサイバー攻撃を高い精度で分析することができる。

　（１ｄ）上記実施形態では、検査部４５が、通信ログを解析し、悪性の通信先、及び悪性の通信内容を特定する構成を例示した。このような構成によれば、実際に異常を発生させた原因である通信先や通信内容を加味してサイバー攻撃を分析することができる。

　（１ｅ）上記実施形態では、侵害判定部４７２が、複数の攻撃の類型のうちのいずれかに合致するかによって、通信元のＥＣＵの侵害確度を分類可能である構成を例示した。このような構成によれば、侵害確度に応じて、例えば、予測異常情報を変更する処理を異ならせることができる。具体的には、侵害されたと判定されたＥＣＵについてのテーブルエントリの係数の増加率と、侵害された可能性が高いと判定されたＥＣＵについてのテーブルエントリの係数の増加率と、を異ならせることにより、より信頼性の高い予測異常情報を生成することができる。

　（１ｆ）上記実施形態では、セキュリティログに含まれる異常が発生した時刻と、通信検知ログに含まれる通信の時刻と、に基づき、通信検知ログとセキュリティログとが同期するように対応付けられる構成を例示した。このような構成によれば、比較的時刻の近いログ同士を対応付けることができるため、無関係の通信検知ログとセキュリティログとが対応付けられてしまう可能性を低減できる。

　（１ｇ）上記実施形態では、予測異常情報は、攻撃の種別毎に、攻撃を受けた場合に電子制御システム２において異常が発生することが予測される位置を係数で表現した情報であり、係数が変更されることにより、予測される異常の組み合わせを変更可能である構成を例示した。このような構成によれば、係数により、予測される異常の組み合わせの確からしさを表現することができる。また、係数をベクトル化して類似度を算出することにより、容易に類似度を見える化することもできる。

　（１ｈ）上記実施形態では、電子制御システム２は三層構造を有しており、推定部４７４が、異常が発生することが予測されるＥＣＵと同じ階層に位置する他のＥＣＵについては、侵害されていないと推定する構成を例示した。このような構成によれば、異常が発生することが予測されるＥＣＵについて攻撃の侵入口であることがより明確になり、より信
　頼性の高い予測異常情報を生成することができる。

　（１ｉ）上記実施形態では、車両外装置４が攻撃分析装置として車両１０の外部に設置される構成を例示した。このような構成によれば、無線通信ネットワークを介してセキュリティログを攻撃分析装置が受信するため、攻撃分析装置が車両１０内に搭載される場合と比較して、車両１０側の処理負荷を軽減することができる。

　［２．第２実施形態］
　［２－１．第１実施形態との相違点］
　第２実施形態以下の実施形態は、基本的な構成は第１実施形態と同様であるため、相違点について以下に説明する。なお、第１実施形態と同じ符号は、同一の構成を示すものであって、先行する説明を参照する。

　第２実施形態では、通信仲介部３ｍ，３ｎ、及び機能情報ＤＢ４８を更に備える点で、第１実施形態と相違する。通信仲介部３ｍ，３ｎは、車両内の通信を仲介するように構成される。また、第２実施形態では、攻撃・異常関係テーブル保存部４７３、及び推定部４７４が不要である点で、第１実施形態と相違する。なお、第２実施形態では、推定部４７４が実行する処理も不要とされる。また、第２実施形態では、車両外装置４の車両ログ受信部４２は、各車両１０から通信仲介履歴を受信し、車両ログＤＢ４３に登録する。

　［２－２．構成］
　第２実施形態は、図１１に示すように、第二層に属するＥＣＵ２ｄが通信仲介部３ｍを備え、第一層に属するＥＣＵ２ｅが通信仲介部３ｎを備える。なお、第一層に属するＥＣＵ２ｆが通信仲介部３ｐを更に備えてもよく、また、車両外装置５ａを更に備えてもよい。車両外装置５ａは、スマートフォンとして構成されてもよい。

　通信仲介部３ｍ，３ｎは、他のＥＣＵであるＥＣＵ２ａ～２ｃ等が希望する通信を仲介し、更に他のＥＣＵであるＥＣＵ２ｅ等の通信部３ｉを介して車両外との通信を実施するように構成される。

　機能情報ＤＢ４８は、図１１に示すように、例えば、車両外装置４に備えられる。機能情報ＤＢ４８は、車両１０における各ＥＣＵ２ａ～２ｆ等の通信に関する機能としてどのような機能を有するか（例えば後述する機能情報）、が格納されるデータベースである。通信に関する機能には、後述する通信先指定機能や通信仲介機能、加えて、通信プロトコル、通信速度等に関する情報が含まれうる。

　ログ関連付け部４７１は、図１２に示すように、車両ログＤＢ４３に格納されたログと、通信検知ログＤＢ４６に格納されたログと、機能情報ＤＢ４８に格納された情報と、の対応付けを行う。本実施形態では、車両ログＤＢ４３に格納されたログとして、車両内での通信仲介履歴が含まれる。この場合、車両ログＤＢ４３に格納されたログには、セキュリティセンサのログが含まれる必要はない。

　つまり、本実施形態は、車両１０のセキュリティセンサのログを用いない構成である。このため、セキュリティセンサを用いて異常を検知できなかった場合であっても、通信検知ログが取得できればその結果から通信元が侵害されていると判定できる。なお、センサを用いて異常を検知できなかった場合には、車両１０のセキュリティセンサが故障した場合、セキュリティセンサの設計に不具合がある場合、或いは攻撃手法が高度化された場合などが含まれる。

　［２－３．処理］
　車両外装置４の分析部４７が実施する攻撃分析処理について、図１３に示すシーケンス、並びに、図１４、図１５Ａ、及び図１５Ｂ（以下、図１４～図１５Ｂ）に示すフローチャートを参照して説明する。

　まず、Ｓ１０１で、ログ関連付け部４７１は、車両ログＤＢ４３から得られる通信仲介履歴と、通信検知ログＤＢ４６から得られる通信検知ログと、機能情報ＤＢ４８から得られる機能情報と、を取得する。そして、ログ関連付け部４７１は、通信仲介履歴と、通信検知ログと、機能情報と、を対応付け、対応付けたログである対応情報を侵害判定部４７２に出力する。なお、第１実施形態では、車両内で発生した異常に関する対応情報を出力したが、第２実施形態では、車両内で発生した異常に関する情報を含まない可能性がある対応情報を出力する。

　Ｓ１０１の詳細は、図１４～図１５Ｂのフローチャートで示される。図１４～図１５Ｂは、車両外装置４の分析部４７が実施するログ関連付け処理を示すフローチャートである。なお、ログ関連付け処理では、一例として機器単位で判定することを開示しているが、この構成に限らない。例えば、機器上で動作するアプリケーション単位で記録・判定をしてもよい。

　ログ関連付け処理では、図１４に示すように、分析部４７は、まず、Ｓ２０１で、車両ＩＤが同じであり、かつ所定時間（例えば時間枠Ｔ１）内のログを各ＤＢ４３，４６，４８から取得し、関連付けを実施する。この処理では、まず、通信検知ログ、図１６に示す通信仲介履歴、及び図１７に示す機能情報（例えば通信関係機能）を取得する。

　通信仲介履歴には、図１６に示すように、ＥＣＵ識別子、提供機能種別、仲介の開始時刻、仲介の終了時刻、通信元、通信先等の情報が含まれる。つまり、通信仲介履歴は、該当の識別子のＥＣＵにて、どのような種別の通信仲介機能にて、どこから（通信元）からどこへ（通信先）への通信の仲介を、いつから（開始時刻）からいつまで（終了時刻）提供したのかを示す情報である。

　また、機能情報には、図１７に示すように、ＥＣＵ識別子、通信先指定機能の有無、通信仲介機能の提供の有無等の情報が含まれる。なお、通信先指定機能は、ベンダー以外の者（例えば、ユーザ等）によって通信先指定が可能な機能を示す。

　特に、ベンダーには、メーカー、サプライヤ、及び販売者のうちの何れかを含む。また、通信先指定機能には、例えばブラウザのようにユーザが通信先を指定できるアプリケーション、メーラーのように第３者が通信先を指定できるアプリケーション等が含まれる。これらのアプリケーションが搭載されている場合には、その機器について、機能「有」が対応付けられる。本機能がある場合、ユーザの操作の結果として意図せず悪性な通信先と通信する可能性が生じる。

　また、通信仲介機能とは、例えば、Ｗｉ－Ｆｉ（登録商標）のアクセスポイントのように他デバイスの通信を仲介する機能、プロキシのように他のＥＣＵやアプリケーションの通信を仲介する機能等が該当する。本機能がある場合、悪性な通信先との通信が発生したとしても別デバイスや別ＥＣＵによる通信が原因である可能性が高いと判定できる。

　続いて、分析部４７は、図１４に示すＳ２０３で、関連付けられたログがあるか否かを判定する。ここでのログは、例えば、図１０Ｃで示したような情報を検査した結果である、通信検知ログである。関連付けられたログがなければ、本処理は終了する。また、Ｓ２０３で関連付けられたログがあれば、本処理はＳ２０５に移行し、分析部４７は、仲介通信判定処理を実施する。

　仲介通信判定処理は、通信元のＥＣＵに通信仲介機能があるか否かを判定し、必要に応じて通信元の機器を特定する処理である。仲介通信判定処理では、図１５Ａ及び図１５Ｂに示すように、分析部４７は、Ｓ２２１で、通信検知ログ（例えば図５Ａのログ）に記載されている通信元（以後、該当の通信元と称する場合がある）に通信仲介機能があるか否かを判定する。

　該当の通信元に通信仲介機能がない場合、本処理は後述するＳ２２７に移行する。また、該当の通信元に通信仲介機能がある場合、本処理はＳ２２３に移行する。続いて、分析部４７は、Ｓ２２３で、通信仲介履歴（図１６）を参照する。続いて、Ｓ２２５で、通信検知ログに記載されている通信時刻に該当する該当時間帯に該当の通信元が通信検知ログに記載されている通信先と同一の宛先への通信を仲介したことの仲介履歴（以後、該当の仲介履歴と略する場合がある）があるか否かを判定する。

　Ｓ２２５で該当の仲介履歴がなければ、本処理はＳ２２７に移行する。この場合、分析部４７は、Ｓ２２７で、通信検知ログに記載されている通信内容の通信は、該当の通信元とは別の機器による通信ではない、すなわち通信仲介機能を用いた通信ではないと判定し、仲介通信判定処理を終了する。

　また、Ｓ２２５で該当の仲介履歴があれば、本処理はＳ２２９に移行する。この場合、分析部４７は、Ｓ２２９で、該当の通信元が仲介した通信の通信元（以下、車両内で仲介した通信の通信元と略する場合がある）が別の車両内機器（すなわち車両１０内の機器であって、現状認識されている通信元とは別の機器）であるか否かを判定する。なお、図１６の例では、該当の通信元ＥＣＵ１が仲介した通信の通信元は、ＥＣＵ６である。この例では、ＥＣＵ３によって仲介された通信であってＥＣＵ６が通信元である通信を、ＥＣＵ１が仲介したことが、通信仲介履歴に示されているからである。

　車両内で仲介した通信の通信元が別の車両内機器であれば、本処理はＳ２３１に移行する。この場合、分析部４７は、Ｓ２３１で、通信検知ログに記載されている通信内容の通信は他の車両内機器の通信であると判定し、仲介通信判定処理を終了する。また、Ｓ２２９で、車両内で仲介した通信の通信元が別の車両内機器でなければ、本処理はＳ２３３に移行する。この場合、分析部４７は、Ｓ２３３で、車両内で仲介した通信の通信元が車両外機器（例えばスマートフォン等の車両外装置５ａ等）であるか否かを判定する。

　車両内で仲介した通信の通信元が車両外機器であれば、本処理はＳ２３５に移行する。この場合、分析部４７は、Ｓ２３５で、通信検知ログに記載されている通信内容の通信は車両外機器の通信と判定し、仲介通信判定処理を終了する。また、Ｓ２３３で、車両内で仲介した通信の通信元が車両外機器でなければ、本処理はＳ２３７に移行する。この場合、分析部４７は、Ｓ２３７で、通信検知ログに記載されている通信内容の通信の出元が不明であると判定し、仲介通信判定処理を終了する。

　仲介通信判定処理が終了すると、本処理は図１４に戻り、Ｓ２０７に移行する。分析部４７は、Ｓ２０７で、車両内で仲介した通信の通信元が車両外機器であると仲介通信判定処理で判定されたか否かを判定する。車両内で仲介した通信の通信元が車両外機器であれば、本処理はＳ２０９に移行する。分析部４７は、Ｓ２０９で、通信検知ログに示されている通信内容の通信の出元を該当の通信仲介履歴に記載の通信元に設定し、Ｓ２１１に移行する。

　また、Ｓ２０７で、車両内で仲介した通信の通信元が車両外機器でなければ、本処理はＳ２１１に移行する。この場合、分析部４７は、Ｓ２１１で、車両内で仲介した通信の通信元が他の車両内機器であると仲介通信判定処理で判定されたか否かを判定する。車両内で仲介した通信の通信元が他の車両内機器であれば、Ｓ２１３に移行する。この場合、分析部４７は、Ｓ２１３で、通信検知ログに記載されている通信内容の通信の出元を該当の通信仲介履歴に記載の通信元に設定し、ログ関連付け処理を終了する。また、Ｓ２１１で、車両内で仲介した通信の通信元が他の車両内機器でなければ、仲介通信判定処理を終了する。

　なお、上記の通信判定処理で、Ｓ２０９又はＳ２１３の処理が実施された場合には、分析部４７は、例えば図１８に示すように、通信解析結果テーブル（即ち、対応情報に含まれる通信検知ログ）を書き換える。図１８に示す通信解析結果テーブルは、図５Ａで示したテーブルにおいて、通信元として記載されていたＥＣＵ１との表記が、ＥＣＵ６に書き換えられている。つまり、通信の仲介を車両内で行うことで、見かけ上の通信元であったＥＣＵ１が、実際の通信元であるＥＣＵ６に書き換えられる。

　次に、図１３に戻り、Ｓ１０２で、侵害判定部４７２は、対応情報を分析し、通信元のＥＣＵの侵害確度を判定する。侵害判定部４７２は、侵害確度を含む判定結果（例えば推定した攻撃の種別）を出力部４７５に出力する。

　Ｓ１０２の詳細は、図１９、図２０のフローチャートで示される。図１９、図２０は、車両外装置４の分析部４７（例えば侵害判定部４７２）が実施する侵害判定処理を示すフローチャートである。侵害判定処理は、対応情報毎に実施される。侵害判定処理では、図１９に示すように、Ｓ２６１で、分析部４７は、通信元の侵害判定を実施する。この処理では、実際の通信元に対する侵害判定を実施する。

　侵害判定の手順は、第１実施形態と同様に、通信元の通信の内容や通信先の情報を含む対応情報が、予め設定された複数の攻撃の類型のいずれかに合致するか否かを判定すること、及び、複数の攻撃の類型のいずれかに合致する場合は、いずれの攻撃の類型に合致するかに応じて通信元の侵害確度を判定すること、を含む。通信元の侵害確度には、通信元は侵害された可能性が高い、及び、通信元が侵害されている、という２つの分類が含まれる。なお第２実施形態はセキュリティログを用いない構成であるから、第２実施形態の侵害判定では、第１実施形態で例示した複数の攻撃の類型のうち、セキュリティログを用いないで判定を実施可能な類型を用いる。

　そのため、第１実施形態で記載の［Ｂ３］の「動的解析時に確認された挙動がＥＣＵにおいて発生していることを対応情報から確認」のうち、不審なＩＤを指定したＣＡＮメッセージが記録されていることの確認を要するものは、第２実施形態では実施しない。第２実施形態では、第１実施形態で記載の［Ｂ１］～［Ｂ５］におけるＥＣＵを通信元と読み替える。その理由は、第２実施形態では、後述のＳ２６５の判定の存在から示されるように、Ｓ２６１における通信元は、ＥＣＵである可能性に加えて、スマートフォンなどの車両外機器である可能性も前提としているためである。

　また第２実施形態では、［Ｂ１］を、マルウェアをダウンロードする通信が通信元から発生している場合、を含むように、第１実施形態と比べて広義に、定義する。このように広義に定義する理由は、第２実施形態では、後述のＳ２６７での人為的通信判定がなされるためである。

　続いて、Ｓ２６３で、分析部４７は、通信元が侵害された可能性があるか否かを判定する。侵害された可能性がある場合は、対応情報が、予め設定された複数の攻撃の類型のいずれかに合致すると判定された場合であり、「侵害された」と分類された場合と、「侵害された可能性が高い」と分類された場合とが含まれる。通信元が侵害された可能性がなければ、本処理は終了する。また、通信元が侵害された可能性があれば、本処理はＳ２６５に移行する。

　続いて、Ｓ２６５で、分析部４７は、通信元が車両外機器であるか否かを判定する。通信元が車両外機器であれば、本処理はＳ２７３に移行する。そして、Ｓ２７３で、分析部４７は、車両は侵害されていないと判定し、侵害判定処理を終了する。

　また、Ｓ２６５で、分析部４７は、通信元が車両外機器でなければ、本処理はＳ２６７に移行する。続いて、Ｓ２６７で、分析部４７は、人為的通信判定処理を実施する。人為的通信判定処理は、通信元からの通信が人為的な通信の可能性があるか否かを判定する処理である。

　人為的通信判定処理では、図２０に示すように、Ｓ２８１で、分析部４７は、通信元のＥＣＵに通信先指定機能があるか否かを判定する。通信先指定機能がなければ、本処理はＳ２８３に移行する。続いて、Ｓ２８３で、分析部４７は、人為的な通信ではないと判定し、人為的通信判定処理を終了する。

　また、Ｓ２８１で、通信先指定機能があれば、本処理はＳ２８５に移行する。続いて、Ｓ２８５で、分析部４７は、人為的な通信の可能性ありと判定し、人為的通信判定処理を終了する。

　人為的通信判定処理が終了すると、本処理は図１９に戻り、Ｓ２６９に移行する。続いて、Ｓ２６９で、分析部４７は、人為的な操作による通信である（即ち、人為的な通信の可能性がある）と判定されたか否かを判定する。

　人為的な操作による通信であると判定されていれば、侵害判定処理は終了する。また、人為的な操作による通信でないと判定されていれば、本処理はＳ２７１に移行する。続いて、Ｓ２７１で、分析部４７は、通信元が侵害されたと判定し、侵害判定処理は終了する。

　次に、図１３に戻り、Ｓ１０５で、出力部４７５は、攻撃の種別を攻撃対策装置に出力する。なお、本実施形態では、図９で示したＳ１０３、Ｓ１０４の処理を省略することができる。

　［２－４．効果］
　以上詳述した第２実施形態によれば、前述した第１実施形態の効果（１ａ）を奏し、さらに、以下の効果を奏する。

　（２ａ）第２実施形態の構成では、システムログは、電子制御システム２内で電子制御システム２外との通信を仲介した履歴を含み、分析部４７は、通信検知ログの通信の発生元を履歴から特定した上で対象要素が侵害されているかを判定する。分析部４７は、通信の通信元であるＥＣＵがその通信先をベンダー以外が指定できない電子制御装置である場合に、ＥＣＵ等の対象要素が侵害されている確度が高いと判定する。

　例えば、電子制御システム２が、図１に示すＥＣＵ２ｃとしてのＥＣＵ６を送信元とする通信を行う場合、ＥＣＵ６は、ＥＣＵ２ｄ及びＥＣＵ２ｅを経由して、外部サイトにアクセスする。この際の通信内容は、車両外装置４で監視され、前述のログ関連付け処理が実施される。ログ関連付け処理では、図１８に示すように、送信元がＥＣＵ６であることが認識される。そして、図１９に示す侵害判定処理によって、通信元が侵害された可能性があり（Ｓ２６３でＹＥＳ）、通信元が車両外機器でなく（Ｓ２６５でＮＯ）、かつ人為的通信でない（Ｓ２６９でＮＯ）場合に、ＥＣＵ６が侵害されていると判定される。

　よって、通信を仲介した構成であっても、良好に車両１００が侵害されたことを判定できる。

　［３．第３実施形態］
　［３－１．構成］
　第３実施形態は、電子制御システム２がスマートフォン等の車両外装置５ａによる通信を中継し、この通信が悪性の通信である可能性がある場合に、適切に車両が侵害されたか否かを判定できる構成を提供する。

　第３実施形態は、図１１に示すように、第一層に属するＥＣＵ２ｅが通信仲介部３ｎを備え、ＥＣＵ２ｆが通信仲介部３ｐを備える。また、スマートフォンとして構成された車両外装置５ａを備える。なお、第二層に属するＥＣＵ２ｄが通信仲介部３ｍを備えてもよい。また、第３実施形態では、車両外装置４の車両ログ受信部４２は、第２実施形態と同様に、各車両１０から通信仲介履歴を受信し、車両ログＤＢ４３に登録する。

　［３－２．処理］
　本実施形態での処理は、第２実施形態と同様である。

　［３－３．効果］
　以上詳述した第３実施形態によれば、前述した第１実施形態の効果（１ａ）を奏し、さらに、以下の効果を奏する。

　（３ａ）例えば、電子制御システム２が、図１１に示すスマートフォンとしての車両外装置５ａを送信元とする通信を行う場合、車両外装置５ａは、ＥＣＵ２ｆ及びＥＣＵ２ｅを経由して、外部サイトにアクセスする。この際の通信内容は、車両外装置４で監視され、前述のログ関連付け処理が実施される。ログ関連付け処理では、分析部４７は、スマートフォンとして構成された車両外装置５ａからの通信が悪性の通信である可能性があると判定した場合、例えば図２１に示すように、通信解析結果テーブルを書き換える。

　図２１に示す通信解析結果テーブルは、図５Ａで示したテーブルにおいて、通信元として記載されていたＥＣＵ１との表記が、スマートフォンＡに書き換えられている。つまり、通信の仲介を行うことで、見かけ上の通信元であったＥＣＵ１が、実際の通信元であるスマートフォンＡに書き換えられる。この結果、送信元がスマートフォンとしての車両外装置５ａであることが認識される。

　そして、図１９に示す侵害判定処理では、通信元が侵害された可能性があり（Ｓ２６３でＹＥＳ）、通信元が車両外機器である（Ｓ２６５でＹＥＳ）、と処理が進行し、この場合、車両は侵害されていないと判定される。悪性の通信の通信元はスマートフォンであり、車両及び車両の構成要素ではないためである。

　つまり、本実施形態では、分析部４７は、通信の通信元が車両外装置５ａである場合に、対象要素が侵害されていない可能性が高いと判定するように構成される。

　このような構成によれば、車両外装置５ａが存在する場合であっても、車両１００が侵害されているか否かを適切に判定することができる。

　［４．第４実施形態］
　［４－１．構成］
　第４実施形態では、車両ログに、アプリケーションログ（図２５参照）を含む。アプリケーションログには、ＥＣＵ上で作動するアプリケーション（例えば、ＥＣＵ２ｆのアプリ３ｊ）に関するログであり、通信元の通信先指定機能のあるアプリケーションに関するログが含まれうる。なお、本実施形態では、車両ログにセキュリティセンサのログが含まれなくてもよい。

　また、第４実施形態では、車両外装置４の車両ログ受信部４２は、各車両１０から通信仲介履歴、及びアプリケーションログを受信し、車両ログＤＢ４３に登録する。また、第４実施形態の構成は、第３実施形態の構成（図１１参照）と同様の構成を適用できる。

　［４－２．処理］
　本実施形態での通信仲介履歴は、例えば、図２３に示される。なお、図２３中の「－」については、合致するか否かの判定対象外である。通信仲介履歴は、時刻、通信元、通信
　先等を通信ログに記載されたものと比較することで、通信仲介の実施有無を、精度良く判定可能にするために利用される。

　本実施形態では、図２４に示すように、ＥＣＵ２についての、通信先指定機能が「有」、通信仲介機能が「有」に設定される。

　第４実施形態のログ関連付け処理のうちの仲介通信判定処理（図１４のＳ２０５参照）は、図２２Ａ及び図２２Ｂのフローチャートに示すように実施される。

　仲介通信判定処理では、Ｓ２２３で、分析部４７は、通信仲介履歴（図１６）を参照した後、Ｓ３０１に移行する。Ｓ３０１で、分析部４７は、通信先指定機能がある通信元が通信仲介履歴に含まれているか否かを判定する。通信先指定機能がある通信元がなければ、本処理は前述のＳ２２５以下に移行する。通信先指定機能がある通信元があれば、本処理はＳ３０３に移行する。なお、図１６の例では、通信仲介履歴に含まれている通信元は、ＥＣＵ３及びＥＣＵ６である。

　続いて、Ｓ３０３で、分析部４７は、アプリケーションログを参照する。アプリケーションログは、ＥＣＵのアプリケーションがどこに対して通信をしたのかを示すログである。アプリケーションログは、例えば、図２５に示すように、ＥＣＵを識別するＥＣＵ識別子、そのＥＣＵに搭載されているアプリケーションの種別、そのアプリ―ケーションの通信の開始時刻と終了時刻と通信先（例えばＵＲＬ）等とを含む。Ｓ３０３で、分析部４７は、通信仲介履歴に含まれている通信元であって通信指定機能がある通信元に該当するＥＣＵ識別子のＥＣＵに搭載されたアプリケーションがどこに対して通信をしたのかを示すアプリケーションログを参照する。

　続いて、Ｓ３０５で、分析部４７は、通信検知ログに記載されている通信時刻に該当する時間帯におけるアプリケーションログにて該当通信先への通信履歴があるか否かを判定する（以下、Ｓ３０５の第１判定という）。該当通信先とは、通信検知ログに記載されている通信先、即ち通信仲介履歴に含まれる通信先である。なお、図２３のＥＣＵ２の通信仲介履歴のように、通信先が記録されていない通信仲介履歴もあり得る（図２３の通信先「―」参照）。この場合、Ｓ３０５で分析部４７は、通信先を判定対象外とした第２判定を実施する。詳しくはＳ３０５で分析部４７は、通信検知ログに記載されている通信時刻に該当する時間帯におけるアプリケーションログがあるか否かを判定する第２判定を実施する。Ｓ３０５の第１判定及び第２判定の少なくとも一方で肯定判定がなされると、本処理はＳ３０７に移行する。Ｓ３０５の第１判定及び第２判定の少なくとも一方で肯定判定がなされなかった場合、本処理は前述のＳ２２５以下に移行する。続いて、Ｓ３０７で、分析部４７は、通信検知ログに記載の通信内容の通信は、通信仲介履歴に含まれている通信元であって通信指定機能がある通信元である車両内機器の通信と判定し、仲介通信判定処理を終了する。

　また、本実施形態でのログ関連付け処理のうちの人為的通信判定処理では、図２６に示すような処理を実施してもよい。

　仲介通信判定処理では、Ｓ３２１で、分析部４７は、通信元に通信先指定機能があるか否かを判定する。通信先指定機能がなければ、本処理はＳ２８３に移行する。続いて、Ｓ２８３で、分析部４７は、人為的な通信ではないと判定し、人為的通信判定処理を終了する。

　また、Ｓ３２１で、通信先指定機能があれば、本処理はＳ２８５に移行する。続いて、Ｓ２８５で、分析部４７は、人為的な通信の可能性ありと判定し、人為的通信判定処理を終了する。

　［４－３．効果］
　以上詳述した第４実施形態によれば、前述した第１実施形態の効果（１ａ）を奏し、さらに、以下の効果を奏する。

　（４ａ）本実施形態では、図１１に示す電子制御システム２のＥＣＵ２ｆ上にて、スマートフォンである車両外装置５ａを送信元とする通信を仲介する通信仲介部３ｐと、ＥＣＵ２ｆを送信元とする通信を行うアプリ３ｊが動作している。そして、図２３のように通信仲介部３ｐにてスマートフォンの通信先が記録されていない場合においても、図２５のようにアプリ３ｊのアプリケーションログが記録されている。このような構成によれば、アプリケーションログを利用して、通信の発生元を区別することができる。

　これにより、スマートフォンが悪性通信の発生元である場合、車両は侵害されていないと判定される。スマートフォンは車両及び車両の構成要素ではないためである。

　また、アプリ３ｊが悪性通信の元であり、通信先指定機能が「無」である場合には、車両が侵害されていると判定される。これは、人為的に通信先を指定できないにも関わらず悪性通信が発生したということを示しており、当該通信が攻撃により侵害されたことで発生した通信である可能性が高いためである。

　［５．第５実施形態］
　［５－１．構成］
　第５実施形態の基本的な構成は第１実施形態と第２実施形態とを組み合わせた構成である。すなわち、図２７、図２８に示すように、第５実施形態では、機能情報ＤＢ４８を備え、ログ関連付け部４７１は、通信検知ログ、車両ログ（セキュリティログ、通信仲介履歴）、及び機能情報を用いてログ関連付け処理を実施する。また、侵害判定部４７２は、対応情報及び機能情報を用いて侵害判定処理を実施する。また、第５実施形態では、車両外装置４の車両ログ受信部４２は、各車両１０から通信仲介履歴、及びセキュリティログを受信し、車両ログＤＢ４３に登録する。

　本実施形態では、ログ関連付け部４７１は、前述の［Ａ１］～［Ａ３］に加えて、以下の観点により各ログを関連付けてもよい。

　［Ａ４］仲介通信であること。この場合、通信仲介履歴に基づいて仲介通信であるか否かが判定される。仲介通信である場合、通信元を該当の通信仲介履歴に記載の通信元に変更する。

　また、本実施形態では、侵害判定部４７２は、ログ関連付け部４７１から受領したログについて以下の処理を行い、通信元ＥＣＵやＶＭ（Virtual　Machine）についての侵害判定を実施する。侵害判定では、例えばすでに述べた判定に加えて、下記のように判定する。

　・マルウェアをダウンロードする通信が発生しているＥＣＵやＶＭについて侵害された可能性が高いと判定する。

　・「侵害された可能性が高い」場合について、通信先指定機能が提供されていないＥＣＵやＶＭからの通信である場合、当該ＥＣＵやＶＭが侵害されたと判定する。

　・通信元が車両外機器である場合には車両は侵害されていないと判定する。

　［５－２．効果］
　以上詳述した第５実施形態によれば、前述した第１実施形態の効果（１ａ）を奏し、さらに、以下の効果を奏する。

　（５ａ）通信が仲介されている場合、通信が仲介されていない場合の両方において、良好に車両１００が侵害されたことを判定できる。

　［６．対応関係］
　本実施形態では、車両外装置４が攻撃分析装置の一例に相当し、セキュリティログが異常ログの一例に相当し、分析部４７（例えば侵害判定部４７２）が判定部の一例に相当する。

　［７．他の実施形態］
　以上、本開示の実施形態について説明したが、本開示は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。

　（７ａ）上記実施形態では、車両外装置４が攻撃分析装置として車両１０の外部に設置される構成を例示した。しかし攻撃分析装置は、車両１０の内部に設置されてもよい。このような構成によれば、攻撃分析装置が車両１０の外部に設置される場合と比較して、より迅速にセキュリティログを攻撃分析装置が受信できる。

　（７ｂ）上記実施形態では、侵害判定部４７２が、侵害された場合及び侵害された可能性が高い場合を判定する構成を例示した。しかし、侵害判定部４７２が判定する侵害確度は、他のパターンを含んでいてもよい。例えば、仮に、検査部４５により、通信ログに異常がないと判定された場合、侵害判定部４７２は、侵害がなかったと判定してもよい。

　（７ｃ）上記実施形態では、検査部４５の通信先解析部４５２が通信先解析を行い、検査部４５の通信内容解析部４５３が通信内容解析を行い、悪性の通信先、及び悪性の通信内容を特定する構成を例示した。しかし、検査部４５は、悪性の通信先、及び悪性の通信内容の少なくとも一方を特定する構成であってもよい。つまり、検査部４５は、通信先解析及び通信内容解析の一方のみを実行する構成であってもよい。

　（７ｄ）上記実施形態における１つの構成要素が有する機能を複数の構成要素として分散させたり、複数の構成要素が有する機能を１つの構成要素に統合したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加、置換等してもよい。

　（７ｅ）上記実施形態では、車両１０にて記録した通信仲介履歴を車両ログ受信部４２が受信して通信元を特定する構成を例示した。しかし、車両１０が車両外と通信をする際に用いる通信プロトコルが通信仲介履歴を通信データに含めることができるプロトコルである場合には、通信データに含まれる通信仲介履歴を通信データ監視部４１が受信してもよい。例えば、通信データ監視部４１がプロキシであり、車両１０がＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）プロトコルを用いて車両外と通信する仕様である場合、ＨＴＴＰプロトコルにて規定されているＸＦＦ（Ｘ－Ｆｏｒｗａｒｄｅｄ－Ｆｏｒ）ヘッダーに通信元を記載し、通信データ監視部４１にてそれを参照することで通信元を特定できるように構成してもよい。

　（７ｆ）本開示は、前述した攻撃分析装置の他、当該攻撃分析装置を構成要素とするシステム、当該攻撃分析装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した媒体、攻撃分析方法など、種々の形態で実現することができる。

　［本明細書が開示する技術思想］
　［項目１］
　車両（１０）内に構築された電子制御システム（２）に対する攻撃であって、ネットワークを介した前記電子制御システムに対する攻撃を分析するように構成された攻撃分析装置（４７）であって、
　前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類
　型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定するように構成された判定部（４７２，Ｓ１０２）、
　を備える攻撃分析装置。

　［項目２］
　項目１に記載の攻撃分析装置であって、
　前記システムログは、前記電子制御システム内で前記電子制御システム外との通信を仲介した履歴を含み、
　前記判定部は、前記通信ログの通信の発生元を前記履歴から特定した上で前記対象要素が侵害されているかを判定する
　ように構成された攻撃分析装置。

　［項目３］
　項目１又は項目２に記載の攻撃分析装置であって、
　前記判定部は、前記通信の通信元である電子制御装置がその通信先をベンダー以外が指定できない電子制御装置である場合に、前記対象要素が侵害されている確度が高いと判定する
　ように構成された攻撃分析装置。

　［項目４］
　項目１から項目３までの何れか１項に記載の攻撃分析装置であって、
　前記判定部は、前記通信の通信元が車両外機器である場合に、前記対象要素が侵害されていない可能性が高いと判定する
　ように構成された攻撃分析装置。

　［項目５］
　項目１から項目４までの何れか１項に記載の攻撃分析装置であって、
　前記システムログは、前記電子制御システムで検出された異常を示す異常ログを含み、
　前記異常ログに基づき生成された、実際に検出された前記異常の組み合わせを示す実測異常情報と、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムで発生することが予測される異常の組み合わせを示す予測異常情報と、の類似度を判定することにより、前記攻撃の種別を推定するように構成された推定部（４７４，Ｓ１０３，Ｓ１０４）、
　を更に備え、
　前記予測異常情報は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報を用いることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。

　［項目６］
　項目１から項目５までの何れか１項に記載の攻撃分析装置であって、
　前記通信ログを解析し、悪性の通信先、及び悪性の通信内容の少なくとも一方を特定するように構成された検査部（４５）を更に備え、
　前記対応情報の前記通信ログには、悪性の通信先、及び悪性の通信内容の少なくとも一方が含まれる、攻撃分析装置。

　［項目７］
　項目１から項目６までの何れか１項に記載の攻撃分析装置であって、
　前記判定部は、前記対応情報が、複数の前記攻撃の類型のうちのいずれかに合致するかによって、前記電子制御システムにおける、異常が生じた位置を特定し、該異常が生じた位置が前記攻撃により侵害された位置であるか、又は、前記攻撃により侵害された可能性が高い位置であるかを分類可能である、攻撃分析装置。

　［項目８］
　項目５を引用する、項目１から項目７までの何れか１項に記載の攻撃分析装置であって、
　前記異常ログと、前記通信ログと、は、前記異常ログに含まれる異常が発生した時刻と、前記通信ログに含まれる通信の時刻と、に基づき、同期するように対応付けられる、攻撃分析装置。

　［項目９］
　項目５を引用する、項目１から項目８までの何れか１項に記載の攻撃分析装置であって、
　前記予測異常情報は、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムにおいて異常が発生することが予測される位置を係数で表現した情報であり、
　前記予測異常情報は、前記係数が変更されることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。

　［項目１０］
　項目５を引用する、項目１から項目９までの何れか１項に記載の攻撃分析装置であって、
　前記電子制御システムは複数の電子制御装置を備え、かつ、前記複数の電子制御装置を予め準備された複数の階層のうちの何れかに対応付けた階層構造を有しており、
　前記推定部は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報が示す、異常が発生することが予測される電子制御装置と同じ階層に位置する他の電子制御装置については、侵害されていないと推定する、攻撃分析装置。

　［項目１１］
　車両（１０）内に構築された電子制御システム（２）に対する攻撃であって、ネットワークを介した攻撃を分析する攻撃分析方法であって、
　前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定すること（４７２，Ｓ１０２）、
　を含む攻撃分析方法。

　［項目１２］
　車両（１０）内に構築された電子制御システム（２）に対する攻撃であって、ネットワークを介した攻撃を分析するように構成されたコンピュータに、
　前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定する機能（４７２，Ｓ１０２）、
　を実現させるための攻撃分析プログラム。

Claims

　車両（１０）内に構築された電子制御システム（２）に対する攻撃であって、ネットワークを介した前記電子制御システムに対する攻撃を分析するように構成された攻撃分析装置（４７）であって、
　前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定するように構成された判定部（４７２，Ｓ１０２）、
　を備える攻撃分析装置。
　請求項１に記載の攻撃分析装置であって、
　前記システムログは、前記電子制御システム内で前記電子制御システム外との通信を仲介した履歴を含み、
　前記判定部は、前記通信ログの通信の発生元を前記履歴から特定した上で前記対象要素が侵害されているかを判定する
　ように構成された攻撃分析装置。
　請求項１又は請求項２に記載の攻撃分析装置であって、
　前記判定部は、前記通信の通信元である電子制御装置がその通信先をベンダー以外が指定できない電子制御装置である場合に、前記対象要素が侵害されている確度が高いと判定する
　ように構成された攻撃分析装置。
　請求項１又は請求項２に記載の攻撃分析装置であって、
　前記判定部は、前記通信の通信元が車両外機器である場合に、前記対象要素が侵害されていない可能性が高いと判定する
　ように構成された攻撃分析装置。
　請求項１に記載の攻撃分析装置であって、
　前記システムログは、前記電子制御システムで検出された異常を示す異常ログを含み、
　前記異常ログに基づき生成された、実際に検出された前記異常の組み合わせを示す実測異常情報と、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムで発生することが予測される異常の組み合わせを示す予測異常情報と、の類似度を判定することにより、前記攻撃の種別を推定するように構成された推定部（４７４，Ｓ１０３，Ｓ１０４）、
　を更に備え、
　前記予測異常情報は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報を用いることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。
　請求項５に記載の攻撃分析装置であって、
　前記通信ログを解析し、悪性の通信先、及び悪性の通信内容の少なくとも一方を特定するように構成された検査部（４５）を更に備え、
　前記対応情報の前記通信ログには、悪性の通信先、及び悪性の通信内容の少なくとも一方が含まれる、攻撃分析装置。
　請求項５又は請求項６に記載の攻撃分析装置であって、
　前記判定部は、前記対応情報が、複数の前記攻撃の類型のうちのいずれかに合致するかによって、前記電子制御システムにおける、異常が生じた位置を特定し、該異常が生じた位置が前記攻撃により侵害された位置であるか、又は、前記攻撃により侵害された可能性が高い位置であるかを分類可能である、攻撃分析装置。
　請求項５又は請求項６に記載の攻撃分析装置であって、
　前記異常ログと、前記通信ログと、は、前記異常ログに含まれる異常が発生した時刻と、前記通信ログに含まれる通信の時刻と、に基づき、同期するように対応付けられる、攻撃分析装置。
　請求項５又は請求項６に記載の攻撃分析装置であって、
　前記予測異常情報は、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムにおいて異常が発生することが予測される位置を係数で表現した情報であり、
　前記予測異常情報は、前記係数が変更されることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。
　請求項５又は請求項６に記載の攻撃分析装置であって、
　前記電子制御システムは複数の電子制御装置を備え、かつ、前記複数の電子制御装置を予め準備された複数の階層のうちの何れかに対応付けた階層構造を有しており、
　前記推定部は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報が示す、異常が発生することが予測される電子制御装置と同じ階層に位置する他の電子制御装置については、侵害されていないと推定する、攻撃分析装置。
　車両（１０）内に構築された電子制御システム（２）に対する攻撃であって、ネットワークを介した攻撃を分析する攻撃分析方法であって、
　前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定すること（４７２，Ｓ１０２）、
　を含む攻撃分析方法。
　車両（１０）内に構築された電子制御システム（２）に対する攻撃であって、ネットワークを介した攻撃を分析するように構成されたコンピュータに、
　前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定する機能（４７２，Ｓ１０２）、
　を実現させるための攻撃分析プログラム。