...

2012年度 自動車の情報セキュリティ動向に関する調査 報告書

by user

on
Category: Documents
33

views

Report

Comments

Transcript

2012年度 自動車の情報セキュリティ動向に関する調査 報告書
2012 年度
自動車の情報セキュリティ
動向に関する調査
3
世 界 各 国 で 進 む 自 動 車 の 情 報 セ キ ュリテ ィ
2013 年 3 月
技術本部
セキュリティセンター
i
目次
図目次 ....................................................................................................................................... iii
略語 ........................................................................................................................................... iv
1
はじめに .............................................................................................................................. 1
2
国内外の自動車情報セキュリティの動向 .......................................................................... 2
欧州の自動車情報セキュリティの動向 .............................................................................................. 2
2.1
2.1.1
EVITA プロジェクトの HSM 評価試験結果 ............................................................................. 2
2.1.2
PRESERVE プロジェクトの動向 ................................................................................................ 4
2.1.3
自動車組込みセキュリティ会議「escar 2012」 ....................................................................... 7
米国の自動車情報セキュリティの動向 ............................................................................................ 10
2.2
2.2.1
SAE のセキュリティ関連活動 .................................................................................................. 10
2.2.2
米国運輸省 Safety Pilot (SAFETY PILOT)............................................................................... 11
2.2.3
CyberAuto チャレンジ .............................................................................................................. 13
2.2.4
TCG の活動.................................................................................................................................. 13
日本国内の自動車情報セキュリティの動向 .................................................................................... 14
2.3
2.3.1
自動車の情報セキュリティに関する活動 ............................................................................... 14
2.3.2
OBD-II を活用する製品の例 ..................................................................................................... 16
2.3.3
「オートパイロットシステムに関する検討会」 ................................................................... 17
3
自動車情報セキュリティの脅威の事例 ............................................................................ 18
Hitag2 イモビライザーキーの脆弱性問題 ...................................................................................... 18
3.1
3.1.1
Hitag2 イモビライザーキーの認証鍵を 5 分程度で解読 ...................................................... 18
3.1.2
FPGA による、低消費電力で高速なパスワード解読 ........................................................... 19
3.2
OBD-II 経由で一部旧車種のスマートキーを複製できてしまう問題 .............................................. 19
3.3
Bluetooth 実装に多数の脆弱性がある問題 ................................................................................... 20
4
自動車におけるネットワーク接続の動向 ......................................................................... 21
4.1
車載 Ethernet ................................................................................................................................... 21
4.2
車載機向け HTML5 ワークショップ ................................................................................................ 21
4.3
oneM2M ........................................................................................................................................... 22
4.3.1
ITU の国際電気通信規則(ITR)改正 .......................................................................................... 22
ii
図目次
図 2-1 PRESERVE – V2X セキュリティアーキテクチャ ......................................................................... 5
図 2-2 OVERSEE のセキュリティモデル................................................................................................... 9
図 2-3 米国「SAFETY PILOT」のイメージ ........................................................................................... 12
図 2-4 DriveMate 用の OBD-II アダプターと iPhone アプリの例 ....................................................... 16
iii
略語
本書では以下の略語を使用する。一部は社団法人自動車技術会・基準キーワード 1を参照して
いる。
略語
A2DP
名称
Advanced Audio Distribution Profile
AES
Advanced Encryption Standard
API
Application Programming Interface
ASIC
C2C-CC
Application Specific Integrated Circuit
CAR 2 CAR Communication Consortium
CAN
Controller Area Network 1
ECU
Electronic Control Unit 1
EmSys WG
Embedded Systems Work Group
ESC
Electronic Stability Control2
ETSI
European Telecommunications Standards Institute
EU
EVITA
European Union
E-safety Vehicle Intrusion proTected Applications
FP7
Seventh Framework Programme
FPGA
Field-Programmable Gate Array
GM
General Motors
HIS
Hersteller Initiative Software
HSM
Hardware Security Module
HTML
HyperText Markup Language
IEEE
The Institute of Electrical and Electronics Engineers, Inc.
IP
Internet Protocol (IP 接続), Intellectual Property (IP)
IPA
Information-technology Promotion Agency, Japan
ISO
International Organization for Standardization
ITS
Intelligent Transport System 1
ITU
International Telecommunication Union
JSAE
JSSEC
Society Automotive Engineers of Japan: 自動車技術会
Japan Smartphone Security Forum
社団法人自動車技術会基準キーワード
https://tech.jsae.or.jp/rireki/keyword.pdf
2 ESC 普及委員会
http://www.esc-jpromo-activesafety.com/
1
iv
略語
LAN
LF
名称
Local Area Network
Low Frequency
NHTSA
National Highway Traffic Safety Administration
NIST
National Institute of Standards and Technology
OBD-II
OVERSEE
On Board Diagnosis-II 1
3
Open VEhiculaR SEcurE platform
PC
Personal Computer
PKI
Public Key Infrastructure
PRECIOSA
PRESERVE
PRivacy Enabled Capability In co-Operative systems and Safety
Applications
Preparing Secure Vehicle-to-X Communication Systems
RFID
Radio Frequency IDentification
RITA
The Research and Innovative Technology Administration
SAE
Society of Automotive Engineers
SHE
Secure Hardware Extension
STRIDE
TC
TCG
TCP/IP
TPM
USDOT
Spoofing, Tampering, Repudiation, Information Disclosure, Denial of
Service, Elevation of Privilege
Technical Committee: 専門委員会
Trusted Computing Group
Transmission Control Protocol/Internet Protocol
Trusted Platform Module
United States Department of Transportation
V2I
Vehicle to Infrastructure
V2V
Vehicle to Vehicle
V2X
Vehicle to X
W3C
The World Wide Web Consortium
WG
Working Group
国土交通省「安全 OBD」
http://www.mlit.go.jp/kisha/kisha07/09/090914_2_.html
3
v
1 はじめに
2012 年は「ぶつからないクルマ」が相次いで発売され、高速道路での自動運転を目指した「オ
ートパイロットシステムに関する検討会」も国土交通省により設置された。ITS (Intelligent
Transport System)と自動車のソフトウェアに対する期待はますます高まっており、その信頼に
対応するためのセキュリティ対策の重要性はセーフティの実現と同じレベルで高まっている。
また、自動車の外部とのインタフェースである OBD-II を活用したスマートフォンアプリは燃
費管理などのエコドライブ支援の機能や、スピード超過警報や前方の衝突警報など、多様化・高
機能化している。その一方でスマートフォンに関するインシデント件数は 2012 年に急増し、相
次いでスマートフォンに関するセキュリティガイドラインが公開される4状況にある。まさに自
動車の情報セキュリティは現在、荒波の中にあると言える。
本調査は、自動車の情報セキュリティ対策の普及啓発を推進するために、昨年度に引き続き自
動車の情報セキュリティの動向や対策について、主にネットワーク接続手法と持込み機器に関す
る調査検討を行い、その結果を自動車に関連する開発者向けの報告書としてとりまとめることを
目的とする。今年度は、昨年度調査5とテクニカルウォッチ6で整理した動向を踏まえた上で、自
動車の情報セキュリティに関する動向の調査を行った。
スマートフォン&タブレットの業務利用に関するセキュリティガイドライン, JSSEC, 2011-12-14
http://www.jssec.org/news/20111214.html
スマートフォン プライバシー ガイド, 総務省, 2012-07
http://www.soumu.go.jp/main_content/000168377.pdf
アンドロイド スマートフォン プライバシー ガイドライン by タオソフトウェア (安心なアプリケーションを
提供するために), タオソフトウェア, 2012-10-11, http://www.taosoftware.co.jp/android/android_privacy_policy/
Android アプリのセキュア設計・セキュアコーディングガイド 2012 年 11 月 1 日版, JSSEC, 2012-11-01
http://www.jssec.org/news/20121119_securecoding.html
5「2011 年度 自動車の情報セキュリティ動向に関する調査」報告書の公開、~ネットワーク化・オープン化の進
む自動車にセキュリティを~, IPA, 2012-05-31, http://www.ipa.go.jp/security/fy23/reports/emb_car/index.html
6 IPA テクニカルウォッチ: 「自動車の情報セキュリティ」に関するレポート」~必要性が高まる自動車の情報セ
キュリティ~, IPA, 2012-05-31, http://www.ipa.go.jp/about/technicalwatch/20120531.html
4
1
2 国内外の自動車情報セキュリティの動向
本章では、欧州、米国及び国内における自動車情報セキュリティの動向を報告する。
2.1 欧州の自動車情報セキュリティの動向
本節では欧州の自動車情報セキュリティの動向を報告する。
2.1.1 EVITA プロジェクトの HSM 評価試験結果
欧州の EVITA プロジェクト(以下、EVITA と記述)は、FPGA (Field-Programmable Gate Array)
で実装した HSM (Hardware Security Module)ハードウェアセキュリティモジュールの評価試験
の結果をまとめて 2011 年 11 月に報告会を開催、活動を終了した。その後 2012 年に、EVITA が
開発した HSM の評価試験の報告が公開されているため、一部を紹介する。
2.1.1.1
HSM と低レベルドライバのファジング試験
EVITA が公開した”D4.4.2 Test Results”7では、FPGA で開発した HSM に対する試験結果がま
とめられており、この中で HSM に対してファジング試験(問題を引き起こしそうなデータを大
量に送り込み、その応答や挙動を監視することで未知の脆弱性を検出する検査手法)を行ったこ
とが報告されている。EVITA では FPGA で実装したハードウェアと、これを利用するためのド
ライバソフトウェアが同時に開発されているが、評価試験ではハードウェアとドライバの両方に
ついてファジング試験が行われた。
EVITA のファジング試験では、ハードウェアである HSM と低レベルドライバに対し、脆弱
性試験を行うために別々のファジングエンジンを開発している。HSM に対しては同じ FPGA 上
に搭載された PowerPC を、組込み Linux(ELDK: Embedded Linux Development Kit8)で駆動し
てファジングを実行している。低レベルドライバに対しては Infineon のマルチコア型車載マイ
コンである TriCore TC1797/MCAL を利用して、ファジングデータを注入している。マイコンに
対してマイコンでファジングを行う手法は一般的なソフトウェア製品の手法に比べると独特なも
のとなっている。
7
EVITA - Deliverable D4.4.2: Test Results, 2012-02-15
http://www.evita-project.org/Deliverables/EVITAD4.4.2.pdf
8 Embedded Linux Development Kit (ELDK), XILINX, http://wiki.xilinx.com/installing-eldk
2
2.1.1.2
EMVY RPC のセッション認証対策
EVITA セキュリティ仕様を利用する際は、BMW 社の車載システム開発フレームワークであ
る「EMVY」を利用する。EMVY 上では RPC (Remote Procedure Call)のようなクライアント・
サーバ間通信が利用されているが、EMVY の RPC ではサービスを呼び出すクライアントのセッ
ションがなりすまされる脆弱性があったという。そのため EVITA では認証チケットを利用して
セッションを保護する機能を追加している。
2.1.1.3
システムレベル検証 - 性能評価
EVITA ではシステムレベルの検証として、MATLAB Simulink を使って CAN バスの性能評価
を行っている。MATLAB Simulink はモデル化されたコンポーネントを GUI (Graphical User
Interface)でつなぎあわせることで簡単にシミュレーションによる評価・試験を行うツールであ
る9。内部では CAN バス上のハードウェアレベルでの通信が模擬されるため実機に近い評価が
可能である。
2.1.1.4
動的試験 - 侵入検知
侵入検知は未知の脆弱性への攻撃を防御する方法のひとつとして、特に制御系への侵入経路と
なる機能を一時停止させる、フェールセーフのために重要であるとしている。EVITA では侵入
検知を行うため、複数の EVITA 対応 ECU (Electronic Control Unit)上で動作する EMVY クライ
アントからログを集めて監視するソフトウェア・ウォッチドッグ(SWD: Software Watchdog)を
開発した。SWD は収集したログから異常なイベントと振る舞いを検出し、特定の通信や機能を
停止させるなどの保護対応を行う。
EVITA では実証実装として、プローブとフィルタを実装し、毎秒でイベントを収集する試験
を行っている。なお、実証実装時は UNIX OS 上に実装しており、HSM とは連携していない。
2.1.1.5
EVITA の成果と今後の課題
EVITA では車載 LAN のセキュリティ仕様の API (Application Programming Interface)を仕様
化し、FPGA への実装を実現し、EMVY フレームワークによる試験環境を開発した。その結果、
保護されたメッセージ交換の機能と性能について良好な試験結果を得たが、製品として採用する
ための洗練されたレベルではなく、あくまで研究目的での成果と位置づけている。今後は、特定
の通信バス向けの製品化のための正式な試験と、既存の部品との通信時の脆弱性検証を行う必要
があるとしている。また、EVITA ではセキュアブートについて必須の機能であるとしているが、
EVITA プロジェクトにおいては試験が行われず、今後の課題としている。
9
MATLAB Simulink, http://www.mathworks.co.jp/products/simulink/
3
2.1.2 PRESERVE プロジェクトの動向
EVITA で開発した HSM を ASIC (Application Specific Integrated Circuit)として実装して量産
化・低価格化し、公開鍵インフラ(PKI: Public Key Infrastructure)と連携した実証試験を行うの
が PRESERVE プロジェクト(以下、 PRESERVE と記述)である。PRESERVE の総予算は 544 万
ユーロ、そのうち 385 万ユーロを欧州の研究開発予算である FP710から助成されている。活動予
定は 2011 年 1 月から 2014 年 12 月まで。実作業にあたるプロジェクトパートナーは Twente 大
学(蘭)
、escrypt 社(独)
、フラウンホーファー研究所(独)
、スウェーデン KTH ストックホル
ム社(典)
、ルノー社(仏)
、Trialog 社(仏)である。諮問機関であるアドバイザリーボードに
は、アウディ社(独)
、BMW 社(独)
、ダイムラー社(独)、デンソー社(日)
、インフィニオン
社(独)
、フォルクスワーゲン社(独)と、ドイツの主要自動車メーカーが中心に参加している。
米国からも、サポートメンバーとして、路車間・車車間通信を利用したセーフティ機能の研究
開発を行う団体である CAMP VSC3(Crash Avoidance Metrics Partnership, Vehicle Safety
Communications 3)コンソーシアムが参加している。CAMP VSC3 は後述する米国 SAFETY PILOT
実験で主要な役割を果たしている。
2.1.2.1
V2X セキュリティアーキテクチャ(VSA)
PRESERVE の最初の成果は、これまでの EU’s Seventh Framework Programme for Research
(FP7)での自動車関連セキュリティ研究開発活動における SeVeCom、EVITA PRECIOSA の成果
をとりこんだ、V2X セキュリティアーキテクチャ(VSA:V2X Security Architecture)である。V2X
は自動車と何か(Vehicle to X)の略で路車間・車車間通信の意味である。主要な成果のひとつは互
換レイヤ(convergence layer)で、通信スタックと車載セキュリティサブシステムの間で通信 API
を提供するレイヤである。
図 2-1 では左下左から 2 列目にある。
互換レイヤはフランス
「Score@F11」
などのような V2X 通信機能で他社製品と相互運用するためのインタフェースとなっている。な
お、Score@F はフランスの研究開発プロジェクトで、路車間・車車間通信によってセーフティを
向上させることを目標にしている。
10
FP7: EU’s Seventh Framework Programme for Research
http://ec.europa.eu/research/fp7/index_en.cfm
11 SCORE@F, ITS World 2012, http://2012.itsworldcongress.com/zone/ExhibitorList/Exhibitor/8633/SCOREF
4
図 2-1 PRESERVE – V2X セキュリティアーキテクチャ
2.1.2.2
フィールド運用試験
PRESERVE では、小規模なフィールド運用試験から開始し、大規模な組み合わせ型のフィー
ルド運用試験、フランスの V2X プロジェクト「Score@F」との合同試験、という順番で数年にわ
たり試験を行う予定である。
2.1.2.3
PRESERVE の普及活動
PRESERVE は世界標準への普及活動として、欧州と米国の ITS 向けのセキュリティ標準仕様
を調和させる活動(ハーモナイゼーション)も行っており、USDOT (United States Department of
Transportation : 米国運輸省)や IEEE などを含む EU-US ITS Cooperation HTG Harmonization
Task Group (EU-US HTG)に参加している。欧州側の上位にあたる組織は欧州の C2C-CC (CAR 2
CAR Communication Consortium)
12
12
、 標 準 化 に つ い て は 欧 州 ETSI (European
C2C-CC: CAR 2 CAR Communication Consortium, http://www.car-to-car.org/
5
Telecommunications Standards Institute)13となっている。欧州では欧州委員会による M/453 指令
により、2013 年までに ITS の標準化を行う目標がある。
14
欧米協調の EU-US HTG については 2012 年 11 月 15 日にワークショップが開催され15、活動
状況が報告されている16。欧州と米国の間では、別々に定義された ITS 向けセキュリティ標準仕
様の間で相互接続可能にするための調和活動を行ってきたが、100 件前後の細かな仕様の食い違
いの問題があり、そのうち半分程度が中から高のレベルで問題があったと報告している。具体的
には、セキュリティ API がどのソフトウエアスタックから呼び出されるのかの不整合や、公開
鍵インフラ(PKI)を利用するときに 5 年以上など長期間の証明を行うことがあるか、といった課
題が指摘されている。そのため HTG としては EU と US 間での標準仕様の統一には至っていな
い状況である。
なお、日本を含めた地域間でのメッセージの比較と違いについては JARI の報告が詳しい17。
また、EU-US HTG に関する経緯と動向、日本、韓国を含めた協力関係については JSAE の資料18
が詳しい。今後も PRESERVE による仕様の世界統一化活動は継続されていくものと見られるた
め、注意が必要である。
13
ETSI: European Telecommunications Standards Institute, http://www.etsi.org/
EC M/453: STANDARDISATION MANDATE ADDRESSED TO CEN, CENELEC AND ETSI
IN THE FIELD OF INFORMATION AND COMMUNICATION TECHNOLOGIES TO SUPPORT
THE INTEROPERABILITY OF CO-OPERATIVE SYSTEMS FOR INTELLIGENT TRANSPORT
IN THE EUROPEAN COMMUNITY, EU, 2009-10-06
http://ec.europa.eu/enterprise/sectors/ict/files/standardisation_mandate_en.pdf
15 “International ITS Harmonization Workshop”, EU-US HTG と PRESERVE 共催、2012-11-15
http://www.preserve-project.eu/harmonization-workshop
16 EU-US HTG 活動報告集, EU-US HTG1&3, 2012-11-15
https://www.dropbox.com/s/e1z0uuxubr0znhi/HTG1%263_Reports.zip
17 路車・車車協調システムの統合化に向けて, JARI, 鈴木 尋善, 2012-10-06
http://www.jari.or.jp/resource/pdf/JRJ/JRJ20121006_q.pdf
18 「ITS 標準化動向」
、JSAE, 2012-11-30, http://www.jsae.or.jp/01info/its/doc121130.zip
ISO TC204 WG14 Convenor, WG14 分科会長, 赤津洋介, 日産自動車
http://www.its-jp.org/wp-content/uploads/2011/03/1-2-3-akatsu.pdf
14
6
2.1.3 自動車組込みセキュリティ会議「escar 2012」
「escar (Embedded Security in Cars)」19は毎年ドイツで開催されている、自動車向けの組込み
セキュリティ関連の国際会議である。2012 年は 10 回目の開催(会場はベルリン)で会期は 2 日
間、参加者は約 100 名であった。参加者は半分以上がドイツ国内から、その他は欧州、米国、韓
国、日本などからの参加で、日本からは約 10 名の参加があった。
2.1.3.1
Bosch 社による基調講演
Bosch 社は「Internet of Things」の視点から自動車のセキュリティの考え方を提示していた20。
現在、ネットワークにつながる機器は家から電話、モノへと普及し、全てがインターネットに繋
がる社会が実現しつつあるとしている。その中で自動車も同じようにインターネットに繋がるモ
ノのひとつとして、信頼性と安全性を考える必要があるとしている。このとき、セーフティとセ
キュリティは互いを実現するために不可分であると指摘している。
2.1.3.2
キャタピラー社による基調講演
ショベルカーや鉱山運搬車など建設機械を開発・販売しているキャタピラー社からは、自動車
の情報セキュリティの典型的な課題が具体的に示されていた21。建設機械も自動車と同じように
電子制御化されており、多機能であるため CAN バスや Ethernet を利用して車載システムのネ
ットワーク化が進んでいる。その一方、建設機械は継続して 20 年以上使用することや、使用現
場で頻繁に修理するため、自動車と同じセキュリティ上の脅威が存在している。現実に存在して
いる脅威の例として、米国のホームランドセキュリテイ省が 2007 年に行った、発電用のディー
ゼルエンジンを破壊に至らせる運転実験22を紹介している。
キャタピラー社は自動車のセキュリティの課題について、パソコンとは異なる組込みセキュリ
ティ特有の課題として、脆弱性が発見されると数百以上の機器について対応しなければならない
困難さや、外部の公開鍵インフラ(PKI)に常時依存することはできない点を指摘している。また、
PKI についてはキャタピラー社の場合、製品寿命が 20 年以上に及ぶため、証明書の有効期間及
び無効化の考え方を取り入れることは容易ではなく、別の考え方が必要だとしている。
その上でキャタピラー社では、現在のプラットフォームに追加型のセキュリティ技術か、根本
的なセキュリティ技術を採用したプラットフォームへの移行が必要であるとまとめた。
19
escar: Embedded Security in Cars, https://www.escar.info/
20
Automotive Security in the Internet of Things and Services (IoTS), 10th escar, Dr. Klaus Dieterich, Bosch,
2012-11-28
https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/Dieterich_Bosch_Keynote_Presentation.pdf
21 Earth Moving Security Vision, PWBierdeman, Caterpillar, 2012-11-28
https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/Caterpillar_Keynote_Presentation.pdf
22 Can Your Generator Be Hacked?, DATA CENTER KNOWLEDGE, Rich Miller, 2007-09-27
http://www.datacenterknowledge.com/archives/2007/09/27/can-your-generator-be-hacked/
7
2.1.3.3
DIAMONDS プロジェクト
ドイツ・ドルニエコンサルティング社23から、高いセキュリティを必要とするシステムにおけ
る、モデルベースのセキュリティ試験の手法とツールの開発を行う「DIAMONDS プロジェク
ト」24の紹介があった25。
DIAMONDS プロジェクトは欧州の研究開発助成プログラムである EUREKA26の一部である、
情報技術関連の ITEA2 (Information Technology for European Advancement)27に属している。
DIAMONDS プロジェクトではセキュリティ試験を開発の早い段階で自動的に行うため、モデ
ルベースの試験と監視を行う方法を目指している。その結果、設計段階から脆弱性を発見し、セ
キュリティに対応するための効率的なシステム設計が可能だとしている。また、本プロジェクト
の対象としては、産業向けに、銀行、交通、通信などのマルチドメインのセキュリティに対応す
るとしている。
DIAMONDS プロジェクトのようにセキュリティ試験を自動化・機械化することは、設計期間
の短縮のほか、第三者によって漏れや間違いを検証することも容易にすると考えられる。
23
Dornier Consulting GmbH, http://www.dornier-consulting.com
24
DIAMONDS Project, http://www.itea2-diamonds.org/
A case study report on security testing of Bluetooth functionality in an automotive environment, Dornier
Consulting, 2012-11-29
https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/Dornier_Presentation.pdf
26 EUREKA, http://www.eurekanetwork.org/
27 ITEA2: Information Technology for European Advancement, http://www.itea2.org/
25
8
2.1.3.4
OVERSEE プロジェクト
OVERSEE プロジェクト28は FP7 の交通系セキュリティプロジェクトのひとつである。車載シ
ステム上で複数のメーカーの複数のアプリケーションをひとつのマルチコアボード上で共存させ
るため、仮想マシンを利用して実行環境を分割しながら、ポリシー制御を適用することでセキュ
リティを提供する。
図 2-2 OVERSEE のセキュリティモデル
図 2-2 は OVERSEE の入出力管理を示す図29である。図の右上で、複数のアプリケーションが
同じハイパーバイザー上の仮想マシンである
「ユーザーパーティション」
として実行されている。
これらアプリケーションが図の下にあるハードウェアを経由して入出力を行う場合、必ず図の左
上にある入出力管理のポリシーモジュール(Policy Module)を経由して許可または遮断される形
でセキュリティが提供される。
OVERSEE プロジェクトは 2012 年 12 月に最終発表を行い終了した。この成果は前述の
PRESERVE に引き継がれて ASIC 上に実装されている。
28
OVERSEE Project (Open Vehicle Secure Platform), https://www.oversee-project.com/
OVERSEE - A Secure and Open In-Vehicle IT Platform, Hakan Cankaya, escrypt, 2012-11-28
https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/ESCRYPT_OVERSEE_Presentation.pdf
29
9
2.2 米国の自動車情報セキュリティの動向
本節では米国の自動車情報セキュリティの動向を報告する。米国で活動する関係者によると、
全般的に、米国では自動車情報セキュリティに関する活動が目立つようになってきたとのことで
ある。
2.2.1 SAE のセキュリティ関連活動
SAE (自動車技術会, SAE International)では 2011 年 2 月から自動車の情報セキュリティに関す
る活動グループが立ち上がり、2012 年 11 月現在、
”SAE Motor Vehicle Council, Electrical Systems
Group (TEVEES18)”という委員会で活動している。ここでは escar 2012 で GM (General Motors)
社が発表した SAE 活動報告の内容を紹介する。
TEVEES18 では、車載の電子システムのセキュリティを対象に、システムへの侵害の発見・回
避し、その被害を受けたとしても軽減するための方法を検討している。当委員会では自動車情報
セキュリティと航空関連のセキュリティ専門家を招いて発表会を行うなどして、情報共有を行っ
ている。また、委員会では自動車・道路・交通関連の情報共有分析センター(ISAC: Information
Sharing and Analysis Center)30との連携も行っている。
委員会では 2 つのサブ委員会を立ち上げている。1 つは自動車のセキュリティガイドラインと
リスク評価のタスクフォース(TEVEES18A)である。もうひとつは車載電子機器のセキュリティ
タスクフォース(TEVEES18B)である。
2.2.1.1
SAE TEVEES18A - セキュリティ評価手法
TEVEES18A では、車載システムに関連したセキュリテイリスクの評価手法に注目しており、
EVITA リスク評価手法31、NIST (National Institute of Standards and Technology) SP 800-53 手法
、Microsoft STRIDE 脅威モデル手法33が検討されている。最終的には脅威の区分を元にリスク
32
評価手法とセキュリティ要件のガイドラインを提案する予定である。
2.2.1.2
SAE TEVEES18B – ECU ハードウェアセキュリティ
TEVEES18B では、特にセキュリティの影響が大きい ECU についてハードウェアでセキュリ
ティに対応する方法について検討している。
候補として HIS の SHE、EVITA の HSM、TCG (Trusted
Computing Group)の TPM (Trusted Platform Module)が検討されている。
30
31
National Council of ISAC, http://www.isaccouncil.org/
EVITA Deliverable 2.3, EVITA Project, 2009-12, http://evita-project.org/Deliverables/EVITAD2.3.pdf
32
NIST SP 800-53 Rev. 4, 2012-02-28, http://csrc.nist.gov/publications/PubsSPs.html
STRIDE: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege.,
Microsoft, 2006, http://msdn.microsoft.com/ja-jp/magazine/cc163519.aspx
33
10
2.2.1.3
SAE のセキュリティ関連活動の背景
米国においては自動車の情報セキュリティが必要であるとされる背景に、議会による規制であ
る MAP-21 (Moving Ahead for Progress in the 21st Century Act)があるとしている。MAP-21 で
は NHTSA (National Highway Traffic Safety Administration)に対し 2014 年までに電子的なセー
フティ標準の検討が要請されており34、これが事実上自動車の情報セキュリティを必須としてい
ると考えられている。
SAE には USDOT と、USDOT に属する研究機関である RITA(The Research and Innovative
Technology Administration)35、RITA の一部門である Volpe Center36もリエゾンとして参加して
おり、毎年 1 月には米国自動車業界と米国政府の情報交換を行う会議37を開催している。
米国 SAE と日本の JSAE との間では活動について全体的に情報交換を行っているが、日本の
多くのメーカーに向けた、世界的な情報セキュリティ技術に関する情報交換を今後拡充してく必
要があると考えられる。
2.2.2 米国運輸省 Safety Pilot (SAFETY PILOT)
「SAFETY PILOT」38は USDOT が行う車車間通信を利用したフィールド運用試験である。
USDOT 傘下の研究機関「RITA (The Research and Innovative Technology Administration)」39の
研究プロジェクトのひとつで、ミシガン大学交通研究所・人的要因部門 (The University of
Michigan Transportation Research Institute, Human Factors Division)がプロジェクトを進めてい
る。実施期間は 2011 年 8 月から 2014 年 2 月までである。SAFETY PILOT では、路車間通信を
使って運転者に周囲の警告や交通標識を知らせることで安全運転を実現しつつ、運転者への効果
を検証する。フィールド運用試験に使われる自動車、トラック、バスは合計 2,800 台以上40、車
載機と路側機はあわせて約 20 機種を投入し、複数メーカーと複数機種の間での相互運用性も試
験する41。
34
H.R. 4348: MAP-21, Govtrack.us/Civic Impulse, LLC, 2012-04-16
http://www.govtrack.us/congress/bills/112/hr4348
35 RITA: The Research and Innovative Technology Administration, http://www.rita.dot.gov/
36 Volpe Center, http://www.volpe.dot.gov/
37
“SAE 2013 Government/Industry Meeting, Technical & Business Session”, SAE, 2012
http://www.sae.org/servlets/techSession?EVT_NAME=GI&GROUP_CD=SPEC&SCHED_NUM=199952&REQUES
T_TYPE=SESSION_LIST
38 “Connected Vehicle Safety Pilot Program”, NHTSA, 2012-08-21, http://www.safercar.gov/ConnectedVehicles/
“Connected Cars Hit the Road in Safety Pilot Program”, PC Magazine, 2012-08-22
http://www.pcmag.com/article2/0,2817,2408774,00.asp
39 RITA: The Research and Innovative Technology Administration, http://www.rita.dot.gov/
40
“SAFETY PILOT MODEL DEPLOYMENT”, UMTRI, 2011
http://www.umtri.umich.edu/content/SafetyPilot_brochure_v3.pdf
41 “Safety Pilot”, 米国 RITA, 2012-11-21, http://www.its.dot.gov/safety_pilot/
11
図 2-3 米国「SAFETY PILOT」のイメージ
SAFETY PILOT ではセキュリティとプライバシーについても評価の対象となっている。RITA
による ITS 業界向けのセミナー資料では、セキュリティのため V2I (Vehicle to Infrastructure, 路
車間通信)には双方向通信を利用するが、V2V (Vehicle to Vehicle, 車車間通信)には一方向通信だ
けを使う方法が示されている42。また、米国 SAE の 2012 年プレゼン資料43などによれば、SAFETY
PILOT では IEEE 1609.244で標準化された電子証明書技術が採用され、CAMP VSC3 による電子
証明書の検証回数を削減する”Verify-On-Demand”などの工夫45が導入されているもようである。
42
“USDOT ITS Research Program”, RITA, 2012-05--01
http://www.pcb.its.dot.gov/t3/s120501/s120501_row.pdf
“What is the Connected Vehicle Research Program? Status and Span”, JPO T3 Webinar archives”, 2012-05-01
http://www.pcb.its.dot.gov/t3/s120501/s120501_res_prog_intro.asp
43 Presentations from the 2012 Event, “Crash Avoidance II”, SAE, 2012
http://www.sae.org/events/gim/presentations/2012/
44 ITS Standards Fact Sheets, IEEE 1609 - Family of Standards for Wireless Access in Vehicular Environments
(WAVE), RITA, http://www.standards.its.dot.gov/fact_sheet.asp?f=80
45オーランド ITS 世界会議報告
http://www.its-jp.org/wp-content/uploads/2011/11/IS09-Security-for-Cooperative-Mobility.pdf
12
2.2.3 CyberAuto チャレンジ
2012 年 8 月、メリーランド州にあるエイバーディーン米国陸軍試験場で、高校生・大学生が
参加して自動車へのサイバー攻撃を実験するワークショップ「CyberAuto Challenge」が開催
された46。主催は技術革新を支援する非営利団体「Battelle47」である。
会場では、指導者として米国国防省、米国運輸省の担当者のほか、自動車メーカー3 社から
技術者が参加していた。このイベントは今後も継続される予定で、自動車の情報セキュリティ
に関する新しい人材育成の場として機能すると見られる。
2.2.4 TCG の活動
TCG (Trusted Computing Group)48は、信頼できるプラットフォーム・インフラを構築するた
め、ハードウェア、ソフトウェアの業界標準仕様を策定し、普及活動を行っている国際的な業界
団体である。具体的には情報通信機器向けにソフトやデータの検証・証明機能を提供する TPM
(Trusted Platform Module)など仕様がある。2012 年 3 月にはトヨタ自動車が TCG に新規加盟し、
TCG 内で自動車を含む組込み機器向けの検討を行う「EmSys WG (Embedded Systems Work
Group)」で自動車向けユースケース等を展開・検討している。
2012 年 11 月に東京で行われた、TCG 日本支部主催第 4 回 TCG 公開ワークショップ49では、
TCG 理事会社で EmSysWG 共同議長でもある富士通から、車載向けの TPM の可能性などにつ
いて講演があった。このワークショップでは TPM の可能性について、
「ARM は Android 搭載
機器で利用されており、スマートフォンなどでの活用が期待されること」や「車載機器のソフト
ウェア更新(リモートメンテナンス)において、更新すべきソフトウェアの特定とコード検証、お
よび一連の作業ログの証拠保存・担保について TPM を活用することができること」が報告され
ている。こうした機能を利用した運用が、自動車のように広く普及するためには、政府機関等の
ガイドライン整備も必要になると TCG では指摘しており、このとき TPM は世界標準の一つで
ある ISO (International Organization for Standardization, 国際標準化機構)標準化が完了してい
ること が強みであるとしている。
TPM については、必ずしもハードウェアとしてチップが実装される必要はなく、ソフトウェ
アとしてセキュアな実行環境で実現したり、計測と検証の機能が分割されることがあったり、仮
想的に実現することもあるなど、様々な適用可能性があるため配慮が必要である。
46
CyberAuto Challenge Helps Expose Car Security Flaws, TechNewsDaily, 2012-08-17
http://www.technewsdaily.com/6109-cyberauto-challenge-car-security.html
47 Battelle, http://www.battelle.org/
48
TCG: Trusted Computing Group, http://www.trustedcomputinggroup.org/
第 4 回 TCG 公開ワークショップ, TCG 日本支部, 2012-11
http://www.trustedcomputinggroup.org/jp/jrfworkshop/jrfworkshop
49
13
2.3 日本国内の自動車情報セキュリティの動向
2.3.1 自動車の情報セキュリティに関する活動
2.3.1.1
IPA における自動車情報セキュリティの検討
IPA では「2011 年度 自動車の情報セキュリティ動向に関する調査」50と、IPA テクニカルウ
ォッチ「自動車の情報セキュリティ」に関するレポート51を公開した。この中で、スマートフォ
ンの普及と自動車のインターネット接続、車載機器間のオープン化、これに伴いネットワーク経
由で自動車が外部から攻撃を受ける可能性が高まっていることを指摘している。
2012 年 10 月に開催された ITS 関連の世界的な会議である「ITS 世界大会 2012」52では自動車
の情報セキュリティに関する専門のセッション53が初めて設けられ、escrypt 社、IPA を含む 5
名が発表を行った。ITS 世界大会はほとんどの内容が利用に関する展示・発表だが、今後セキュ
リティに関する情報提供もあわせて展開する必要があるだろう。
2.3.1.2
JSAE 及び JEITA による標準化活動
自動車技術会(JSAE: Society of Automotive Engineers of Japan)は 2010 年から情報セキュリテ
ィに関する標準化を目指して「セキュリティ標準化企画小委員会」で検討を行っている。2012
年 12 月現在、当委員会では SAE 内部で利用可能なガイドラインを整備しているとのことである。
JSAE では ITS 関連の国際的な標準化活動に日本の業界団体の代表としても参加しており、担
当している「ITS 標準化委員会」は自動車、道路、通信、消費者などの委員 27 名で構成されて
いる54。
また、電子情報技術産業協会(JEITA: Japan Electronics and Information Technology Industries
Association )55が担当している ISO TC204 (Technical Committee, 専門委員会)では、自動車本体
の標準化を担当する ISO TC22 とのリエゾン活動が行われており、そうした中で持ち込み機器と
自動車本体のインタフェース標準である ISO 13185 などが検討されている56。
「2011 年度 自動車の情報セキュリティ動向に関する調査」報告書の公開、~ネットワーク化・オープン化の
進む自動車にセキュリティを~, IPA, 2012-05-31
http://www.ipa.go.jp/security/fy23/reports/emb_car/index.html
51 IPA テクニカルウォッチ「自動車の情報セキュリティ」に関するレポート, IPA, 2012-05-31
http://www.ipa.go.jp/about/technicalwatch/20120531.html
52 ITS World Congress 2012, 2012-10-22, http://2012.itsworldcongress.com/
53 Cybersecurity and the impacts on the Intelligent Transportation System, ITS World Congress, 2012-10-25
http://2012.itsworldcongress.com/zone/Timetable/Event/178
54 2012 年度ITS標準化委員会
委員・関係者名簿、JSAE、2012-08-27, http://www.jsae.or.jp/01info/org/its/its.pdf
55 JEITA: 一般社団法人 電子情報技術産業協会, http://www.jeita.or.jp/
56 Nomadic Device*の自動車関連活用並びに関連標準化動向, JARI, 2012-06-27, “3.
携帯機 携帯機器・自動 携 動
50
14
ISO TC204 と、WG17 Nomadic Device は今車載システムとスマートフォンなどとのインタフ
ェースとして、さらに自動車の車外やインターネットと接続するための通信インタフェースとし
て諸団体が関与を強めており、セキュリティ的にも重要な標準化活動だと考えられる。
2.3.1.3
ITS Japan がセキュリティガイドラインを更新
「ITS 情報通信システム推進会議」(ITS Forum)57は ITS 普及促進のため研究開発と標準化を進
める業界団体である。ITS Forum は 2011 年 4 月に車車間・路車間通信の運用システムと、通信
システムについてセキュリティガイドラインを公開し、2012 年に通信システムについてセキュ
リティガイドラインの更新版を公開58している。
ITS Forum のセキュリティガイドラインは、車車間・路車間通信のしくみと利用想定が詳しく
紹介されており、わかりやすい。ガイドラインの検討手順は、モデルの定義、サービスの特定、
脅威の分析を行い、
これに必要なセキュリティ対策を提示する順である。
セキュリティ対策には、
米国の IEEE 1609.2 を利用した PKI 方式も含まれており、
国際的な協調に配慮されている。
また、
車車間、路車間、運用管理の 3 形態についてセキュリティ対策が提示されており、運用管理まで
含めた網羅性がある。
2012 年の更新では「付録」に以下の情報が追加されている。
(1) 共通鍵アルゴリズム適用時の鍵管理について
(2) リプレイ攻撃について
(3) 路情報(間)への攻撃と対策例
(4) セキュリティ情報の格納・更新・設定変更を行うプリミティブの検討
ただし、ITS Forum のセキュリティガイドラインは仕様として規定されていない部分を補完し
たものと見られるため今後、標準仕様としてどのように進めるか注目が必要だと考えられる。
2.3.1.4
日本におけるフィールド運用試験
トヨタ自動車は「ITS 実験場」59として 3.5 ヘクタールの広大な敷地で 700MHz 帯の電波を利
用できる実験場をトヨタ・東富士研究所(静岡県裾野市)に設置した。ITS 実験場では一般道路
と信号機などを含む市街地を再現し、安全運転支援システムや環境システムの研究開発を加速さ
せるとしている。今後、自動運転などを含め ITS をより積極的に活用した新しい応用を実現する
ために重要な役割を持つと考えられる。
車連携関連の国際標準化”, http://www.jari.or.jp/resource/pdf/H23jigyo/20120627-7.pdf
57 ITS 情報通信システム推進会議, http://www.itsforum.gr.jp/
運転支援システムに関するセキュリティガイドライン, ITS FORUM RC009 1.1 版, ITS Forum, 2012-04-25
http://www.itsforum.gr.jp/Public/J7Database/p41/p41.pdf
59 ITS 技術の早期実用化をめざし、
「ITS 実験場」を新設【トヨタ自動車】, JSAE, 2012-11-12
http://guide.jsae.or.jp/topics/44144/
58
15
2.3.2 OBD-II を活用する製品の例
2.3.2.1
カーメイト「ドライブメイト・コネクト DX500」
カーメイト社は無線 LAN 型の OBD-II アダプター製品「ドライブメイト・コネクト DX500」
と、これとセットで利用するスマートフォンアプリを開発・販売している。カーメイトではスマ
ートフォン用のアプリ「DriveMate(ドライブメイト)シリーズ」60として、ドライブレコーダー、
衝突警報、エコ運転支援などのアプリを 10 種類以上提供している。
図 2-4 DriveMate 用の OBD-II アダプターと iPhone アプリの例
カーメイト社へのヒアリングによれば、セキュリティについて現在できるかぎりの配慮を行っ
ているとのことである。例えばドライブメイトで DX500 に同時に接続できる端末は 1 台に限ら
れている。また、DX500 を通じて OBD-II と交換するデータは CAN メッセージとは別の専用形
式に変換しており、CAN バスに対する干渉は難しくなっているとのことである。
カーメイト社のような情報セキュリティへの取り組みは、今後他のメーカーやサービス事業者
にも普及を図るための先例となると考えられる。
60
DriveMate, カーメイト, http://www.drivemate.jp/
16
2.3.2.2
テクトム「CAR~Wi」
テクトム社は ODB-II ポートに装着する「車両情報取得用無線 LAN 端末『CAR~Wi』
」の販
売を 2012 年から開始した61。CAR~Wi は OBD-II から取得した情報を利用したアプリケーショ
ンのメーカーが開発に利用するツールとなっており、その一例として SDV ソリューションズ社
が安全運転支援を行うサービス「CiEMS」62を発売している。
この事例のように、OBD-II ポートを経由した車載システムの情報を活用したビジネスが今後
も加速するものと考えられ、セキュリティ対策への配慮が求められる。
2.3.3 「オートパイロットシステムに関する検討会」
2012 年は「ぶつからないクルマ」を掲げた自動車製品が相次いで登場している。米国 Google
社は自動運転車を開発・試験しているが、2012 年 9 月には米国カリフォルニア州で自動運転車
が公道を走行できる法案が署名されている63。こうした中、日本の国土交通省は 2020 年代初頭
までに自動運転を実用化するため、
「オートパイロットシステムに関する検討会」を開催してい
る64。
自動運転についてはその機能とセーフティを実現するためにソフトウェアとネットワークが必
須であり、同時にセキュリティへの対応が不可欠となる。自動運転は段階的に機能が追加されて
実現されると見られるが、
こうしたステップごとにセキュリティ対応が必要になると考えられる。
車両情報取得用無線 LAN アダプター「CAR~Wi®」, テクトム, http://www.techtom.co.jp/CAR-Wi.html
ニュースリリース, テクトム, 2011-11-30, http://www.techtom.co.jp/archive/car_wi_press.html
62 CiEMS, http://www.ciems.jp/
63 Google の自動運転カー、カリフォルニア州の公道での運転が可能に, ITmedia, 2012-09-26
http://www.itmedia.co.jp/news/articles/1209/26/news064.html
64 2020 年代初頭に自動車の自動運転を実用化、国土交通省が検討会, 日経 Automotive Technology, 2012-06-27
http://www.nikkei.com/article/DGXNASFK27023_X20C12A6000000/
オートパイロットシステムに関する検討会, 国土交通省, 2012-06-27
http://www.mlit.go.jp/road/ir/ir-council/autopilot/index.html
61
17
3 自動車情報セキュリティの脅威の事例
本章では、自動車情報セキュリティに関して、実際に発生した事例や研究者による実証に基づ
く脅威について調査を行った結果を示す。
3.1 Hitag2 イモビライザーキーの脆弱性問題
3.1.1 Hitag2 イモビライザーキーの認証鍵を 5 分程度で解読
2012 年 8 月、第 21 回 USENIX Security で「Hitag2」というイモビライザーキーの認証鍵が 5
分ほどで解読できる問題について発表が行われた65。
Hitag2 は 1990 年代に開発された、RFID タグを利用してエンジン始動の許可を制御するイモ
ビライザーである。専用の暗号方式で、48 ビットの鍵を認証と暗号化に使っている。発表では、
Hitag2 の脆弱性を応用し、認証手順のデータを 1 分間収集して、5 分間試せば鍵の解読が可能で
あることの報告とデモが行われている。
脆弱性の検証は RFID システムの試験を行うための Proxmark III ボード66を利用して、スマー
トキーと車載イモビライザーの間の電波を盗聴して解読し、正しいキーになりすます形となって
いる。Proxmark III には HF/LF 帯の電波の符号化・復号化を処理するための FPGA と、フレー
ム処理を行うマイコンなどが搭載されており環境が整っているが、一般利用者から見れば攻撃を
行う難易度はやや高い。
この論文に対する NXP セミコンダクタ社のコメント67によれば、この方法で自動車を盗むに
は、旧型の Hitag2 であること、個別の自動車のドアを開く必要や、その自動車の鍵に無線通信
する必要があることなど 10 のステップを満たさなければならないことを挙げ、一定の難易度が
あることを示している。
また、2009 年以降は AES ベースの製品を提供しているとのことである。
この問題に対する利用者の対策としては、自動車の鍵を他人が触れないようにすること、ドア
を施錠すること、ハンドルをロックすること、などがある。自動車メーカーによる製品への対策
としては、
「専用暗号化方式ではなく AES などを利用する」
「乱数生成器を改良する」などの点
が指摘されている。
65
Gone in 360 Seconds: Hijacking with Hitag2, 21st USENIX Security Symosium, Radboud University Nijmegen,
2012-08-08
[ビデオ] https://www.usenix.org/conference/usenixsecurity12/gone-360-seconds-hijacking-hitag2
[スライド資料] http://www.cs.usfca.edu/~ejung/courses/683/presentations/hitag3.pptx
66 A Test Instrument for HF/LF RFID, Proxmark 3, 2009-02, http://cq.cx/proxmark3.pl
67 Statement by NXP Semiconductors on the research results of Radboud University Nijmegen, the Netherlands,
on vulnerabilities of NXP’s vehicle immobilizer chipset Hitag2, NXP, 2012-08-07
http://www.nxp.com/news/statement-by-nxp-semiconductors-on-the-research-results-of-radboud-university-nijm
egen.html
18
3.1.2 FPGA による、低消費電力で高速なパスワード解読
Hitag2 の脆弱性については BlackHat 2012 でも FPGA を利用して 50 秒で認証鍵を解読したと
の報告がある68。この手法も一般利用者から見れば攻撃の難易度はやや高く、対策も前述したも
のと同じではあるが、FPGA による高速なパスワード解読について指摘されている。
汎用的なパスワードリカバリー(パスワード解読)ソフトを販売する ELCOMSOFT 社によれば69、
現在高速なパスワード解読を提供しているグラフィックチップを利用した並列計算よりも、FPGA
を利用したほうが数倍以上高速で、消費電力は 10 分の 1 以上低くコンパクト化が可能であると
指摘している。この理由として、グラフィックチップはパスワード解読処理に最適化されていな
いが、FPGA はパスワード解読専用にハードウェア処理を最適化できるためだとしている。今後、
攻撃者の能力を想定する場合には注意が必要である。
3.2 OBD-II 経由で一部旧車種のスマートキーを複製
できてしまう問題
2012 年 4 月、電子ロック式の自動車の合鍵を作る「イモビライザーテスター」と呼ばれる機
械が悪用され、自動車が盗まれる被害が日本で報じられた70。
イモビライザーテスターの正規品は数十万円で販売されているが71、中国製の類似品が数万円
で販売されているという。盗まれる自動車はいったんドアを開けられ、OBD-II ポートにイモビ
ライザーテスターを接続されたあと、合鍵が追加されている模様である。
イモビライザーテスターを OBD-II に接続するだけで合鍵を作製できるのは数年前以上の旧型
の車種に限られ、最近の機種については ECU を分解し、ECU 上の特定チップの情報を書き換え
る必要がある72。なお、イモビライザーテスターを悪用した合鍵追加による被害は BMW の一部
旧車種などで海外でも報告されており73範囲が広い。
利用者の対応としては、ハンドルロックを利用するなどの対応が必要である。
68
Pico Computing Sponsors Black Hat USA 2012 - Company to Demonstrate HITAG2 Vulnerability, Pico
Computing, 2012-07-02, http://www.picocomputing.com/pdf/PR_Pico_BH_HITAG2.pdf
69 Accelerating Password Recovery: the Addition of FPGA, ELCOMSOFT, 2012-07-17
http://blog.crackpassword.com/2012/07/accelerating-password-recovery-the-addition-of-fpga/
70 自動車診断ツールが盗難に悪用, SBD Japan, 2012-05-01
http://www.sbdjapan.co.jp/jpnews/post/news_release_automobile_diagnostic_tool_J.aspx
71 AD100 Pro , ADVANCED DIAGNOSTICS
http://www.advanced-diagnostics.co.uk/htm/Product-AD100Pro-Main.php
72 イモビライザー用合鍵作成業者(複数), 2012, http://www.keytechone.com/blog/?cat=13
http://www.heart-lock.com/immobilizer/immobilizer.htm
http://homepage3.nifty.com/lockdoctorkobe/lockdoctor_autoimobi.html
73 Watch Hackers Steal A BMW In Three Minutes, JALOPNIK, 2012-07-06
http://jalopnik.com/5923802/watch-hackers-steal-a-bmw-in-three-minutes
19
3.3 Bluetooth 実装に多数の脆弱性がある問題
2011 年度の本調査報告・付録編74で、Codenomicon (コードノミコン)社によるファジング結果
と車載向け Bluetooth 製品に多数の脆弱性がある問題を紹介した。この問題に関連するデモを示
すビデオが 2012 年 2 月に動画サイトに公開されていた75。
ビデオでは、Bluetooth の A2DP (Advanced Audio Distribution Profile)テスト一式を実行しよ
うとしたが、
テスト用の Bluetooth 機器を接続しようとするとペアリング対象の一覧に”/dev/zero”
という名前の機器名が表示されたあと、車載機がハングアップする。ビデオによれば、車載機は
再起動させても復旧することがないという。Bluetooth の A2DP はモノラルまたはステレオの音
声データを伝送するプロファイルで、Bluetooth 車載機ではハンズフリーシステム用に搭載され
ているのが普通である。
Codenomicon 社の報告では、車載機のうち多くの Bluetooth 製品に基本的な脆弱性が多数含
まれていると指摘している。脆弱性が発見されたプロトコルスタックや対策方法については
Codenomicon 社のホワイトペーパー「Fuzzing Bluetooth」76を参照されたい。
参考に、このビデオとは別の、攻略系のセキュリティ会議である GrrCON 201277での指摘も紹
介する。自動車のほかにバスや航空機を含むセキュリティについて攻略を行う視点で講演、発表
を行っている Chris Roberts 氏によれば、オスロ市街地に駐車してあったタクシーの車列で、
Bluetooth の PIN を解読して接続し、特定の CAN バスメッセージを送ってタクシーのトランス
ミッションをニュートラルに投入させられるという78。
「2011 年度 自動車の情報セキュリティ動向に関する調査」報告書の公開, IPA, 2012-05-31
http://www.ipa.go.jp/security/fy23/reports/emb_car/
75 Fuzzing the latest cars with Bluetooth - Porsche Volvo Kenwood Alpine, mannyg08, 2012-02-06
http://www.youtube.com/watch?v=3ONDIoMYedI
2012 Audi Q5 MMI Fuzz Testing – Crashing, mannyg08, 2011-11-01
http://www.youtube.com/watch?v=J7qokDWnmro
76 Fuzzing Bluetooth, Codenomicon, 2011-09-19
http://www.codenomicon.com/resources/whitepapers/2011-bluetooth-fuzzing.shtml
77 GrrCON – Archives, MidWest InfoSec, LLC., 2012, http://grrcon.org/archive/
78 GrrCON 2012 - Chris Roberts - By Land, By Sea, By Air, GrrCON 2012, 2012-11-18
http://www.youtube.com/watch?v=H0F2J_Xh6MA
74
20
4 自動車におけるネットワーク接続の動向
4.1 車載 Ethernet
車載 Ethernet の MAC レイヤ仕様を標準化する AVnu Alliance では、次期バージョンで車載
の制御系でも利用できる仕様を 2014 年以降に策定する模様である79。2011 年 3 月にトヨタ、ル
ネサス、NEC エンジニアリング、ブロードコムが公開した AVB システムプロファイルへの要求
仕様80では、Ethernet レベルでのセキュリティ関連機能の例として以下のものが示されている。
(1) ポート単位のアクセス制御方式である IEEE 802.1X。鍵管理の仕様は IEEE 802.1X-2010 で追
加されている
(2) Ethernet の MAC レベルでの暗号化方式である IEEE 802.1AE (MACSec または LinkSec)
(3) ハードウェアで保護された機器の鍵である IEEE 802.1AR
(4) 別の Ethernet セグメント、特にセキュアではないセグメントとのブリッジ: IEEE 802.1Q
これらは例であるが、Ethernet の MAC レベルでこうしたセキュリティ機能を利用できること
は、リアルタイムに対応する車載システム開発のためには非常に有用であると考えられる。ただ
し路車間通信や車車間通信では、自動車の車外に車載 Ethernet の通信が延長されるとは限られ
ないため、これらセキュリティ機能の応用範囲に注意が必要である。
4.2 車載機向け HTML5 ワークショップ
HTML (HyperText Markup Language)の標準化を行っている W3C (The World Wide Web
Consortium)が車載機の HTML5 対応を見据えて、「Web and Automotive ワークショップ」81を
ローマで開催した。プログラム委員には、トヨタ ITC、BMW、QNX、ACCESS、KDDI など自
動車業界と携帯電話業界の企業が参加した。HTML5 は最新の Web ブラウザ機能の標準で、3D
やビデオを含むグラフィック機能、メッセージ交換、スレッド、ローカルストレージなど豊富な
機能を持っている。そのためユーザーインターフェースに限らず車載機の間での機能連携に利用
される可能性も持っており、セキュリティ的にも重要である。
このワークショップではセキュリティに関して API 関連でテーマの一つとして掲げられてい
た。セキュリティに関する発表は見当たらないが、参加者の立場表明では半分以上がセキュリテ
車載 Ethernet の基礎知識(上)データリンク層でリアルタイム性とフェールセーフを確保, 日経エレクトロニ
クス, 2012-08-31, http://itpro.nikkeibp.co.jp/article/COLUMN/20120828/418782/
80 Requirements for Automotive AVB System Profiles, Junichi Takeuchi, 2011-03-15
http://www.avnu.org/files/static_page_files/9F0A4E3F-1D09-3519-ADBA4F0C747D7640/Contributed%20Automot
ive%20Whitepaper_April%202011.pdf
81 Web and Automotive Workshop, W3C, 2012-11-14, http://www.w3.org/2012/08/web-and-automotive/
79
21
ィを求めているなど82関心は高い。
今後、車載機も携帯電話やスマートフォンとともに HTML5 に対応する可能性は高い。そのよ
うな環境でどのようにしてセーフティを保護しつつ、利便性を実現してゆくか、十分な配慮が必
要である。
4.3 oneM2M
oneM2M83は 2012 年 7 月に設立された、マシン間通信(M2M: Machine to Machine)を世界的に
標準化する組織で、世界の主な通信関連の標準化組織 7 団体を中心に各国で対応が進められてい
る。主な団体は日本の ARIB、TTC、欧州 ETSI、中国 CCSA、米国 ATIS、TIA、韓国 TTA であ
る。現在は各団体が M2M の標準案を持ち寄って検討している模様である84。
関係者によれば、oneM2M では一般的な M2M 仕様の中で自動車の通信も扱う動きとのこと
である。なお、セキュリティについては WG4 で Dragan Vujcic 氏が担当している。関連する提
案としては ETSI からの資料に、3GPP 系の携帯電話端末に利用される端末機器認証で、oneM2M
が用意するルート鍵に従う方法が見られ85、OMA の 3GPP 携帯電話のアプリケーション標準に
含まれる仕様も提案されている模様である。
自動車についてはプローブ情報のように状態を示すデータの収集のほか、制御や情報コンテン
ツの提供などの機能もあるため、他の M2M と同じように扱えるか検討する必要がある。しかし
oneM2M は自動車の通信についても標準化しようとする面もあるため、今後の活動に注意が必
要だと考えられる。
4.3.1 ITU の国際電気通信規則(ITR)改正
電気通信に関する国連の専門機関である ITU (International Telecommunication Union, 国際
電気通信連合)において、 各国政府を法的に拘束する国際電気通信規則 (ITR: International
Telecommunication Regulations)が 2012 年 12 月に改正された86。主な改正内容は以下のとおり
である。
82
Workshop Papers, W3C, 2012-11-14, http://www.w3.org/2012/08/web-and-automotive/papers.html
83
OneM2M, http://www.onem2m.org/press/oneM2M%20Launch%20Release.pdf
http://www.ttc.or.jp/j/std/committee/wg/onem2m/
84 oneM2M 第 1 回技術総会及び第 2 回運営委員会会合報告, 日本 ITU 協会, 2012-11
http://www.ituaj.jp/04_re/itu_journal/latest/2012_11-15oneM2M.pdf
85 8. M2M Architecture Description - ETSI, oneM2M, 2012-11-27
ftp://ftp.onem2m.org/Meetings/REQ/2012-11-27/oneM2M-REQ-2012-0053R01-ETSI_M2M_Architecture_Introduct
ion_-_Remote_Entity_Management.DOC
86 国際電気通信連合(ITU)2012 年世界国際電気通信会議(WCIT-12)の結果, 総務省, 2012-12-15
http://www.soumu.go.jp/menu_news/s-news/01tsushin06_02000042.html
国家によるネット遮断が正当化される――ITR 改正、日本など 55 カ国が署名拒否, INTERNET Watch, 2012-12-17
http://internet.watch.impress.co.jp/docs/news/20121217_579155.html
22
(1) ネットワーク・セキュリティの確保、スパム拡散防止等について規定
(2) 携帯電話の海外ローミング料金の透明性向上、海外ローミング料金の競争の促進
(3) ITU によるインターネットへの取組、関与の強化
今回 2012 年の ITR 改正については日米欧などの 55 カ国が、インターネットのコンテンツ規
制や検閲、遮断等の規制強化につながりかねないとして署名していない。それ以外の 89 カ国は
署名を行ったため、日米欧以外の地域で改正 ITR が 2015 年以降適用されると見られる。アジア
については中国、シンガポール、インドネシア、ベトナム、マレーシアなどが署名している 87。
ITR による影響は国家的な要請によるものであるため、自動車のセキュリティ対策が損なわれ
る場合は、相当のセーフティ機能やソフトウェア機能も停止または削除するなど、適切な配慮が
必要になると考えられる。
87
WCIT 2012: Signatories of the Final Acts: 89 (in green), ITU, 2012-12-14
http://www.itu.int/osg/wcit-12/highlights/signatories.html
23
Fly UP