スマートカーに込めるセキュリティソリューションベンダーの想い

IT・IT製品TOP > Key Conductors > 金 ドクス(ペンタセキュリティシステム株式会社) > スマートカーに込めるセキュリティソリューションベンダーの想い
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

スマートカーに込めるセキュリティソリューションベンダーの想い

ネットワークセキュリティ 2016/09/28

 今回のコラムは、最近話題になっているスマートカーセキュリティに関するものだ。

 「情報セキュリティ企業なのに、なぜスマートカー?」と思うかもしれないが、この問題は自動車業界でも、セキュリティ業界からも話題になっていたものである。スマートカーセキュリティに関する認識が変化してほしいという気持ちで、コラムを書いた。

 2015年7月、米Wiredは、スマートカーに潜んでいる脆弱性に関する記事を出した(参考:https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/Hackers)。Remotely Kill a Jeep on the Highway-With Me in IT」という動画とともに公開され、かなりの反響を呼んだ。IoT(internet of Things、モノのインターネット)のさまざまな新技術への世間の関心と恐れを背景に、世界の多くの人々が普段意識せずに使っているモノをターゲットにするハッキングについて議論が巻き起こった。

 IoTという今一番ホットなアイテムは産業を大きく発展させていくことは間違いなく、世の中は以前になく進歩を遂げていくことになるだろう。ただ、このIoTに対してのハッキングへの脅威は、ただものではない。

 当社は、かれこれ19年以上セキュリティソリューション分野で活動しているが、IoT技術を取り入れた、いわゆるスマートカーを研究・生産する自動車メーカーに、セキュリティの側面で認識しておいてほしいことがある。競合他社より一刻も早くスマートカーを世に放ち、マーケットをリードしたいという思いは分かるが、そのスマートカーに潜んでいるセキュリティの問題を、一度熟考していただきたい。

 Wiredの記事を執筆したアンディ・グリーンバーグ(Andy Greenberg)はテック専門記者で、NSA研究・セキュリティの専門家であるチャーリー・ミラー(Charlie Miller)とクリス・ヴァラセク(Chris Valasek)の要請を受け、実験に参加することになったわけだ。

 まず、ミラーとヴァラセクは、実験対象となる自動車のECU(Electronic Control Unit、電子制御装置)をターゲットに、16キロ離れている別の自動車の後部座席からハッキングを成功させた。動画はこの一部始終を収めている。対象となったジープのSUV「チェロキー」は、FCA(フィアットクライスラーオートモービルズ)の無線通信システムである「Uconnect」を活用していた。

 Uconnectは、それが開発された2013年以来、47万台の自動車に実装されている。自動車が販売されるにつれハッキングも増加しており、その成功率も同様に増加傾向にあるのだ。このようなハッキングに著名な自動車メーカーのブランドも被害を受けている。例えば、トヨタ、フォード(Ford)、そして最近、何かと話題のテスラ(Tesla)なども――だ。

スマートカーのハッキング手法は?

 Wiredのハッキング実験では自動車の心臓部とはかけ離れているエアコンディショナー、オーディオシステムをターゲットにしているが、実はアクセルとブレーキまでもが狙い撃ちできるという。

 おそらく、ハッキングの切り口としては、自動車のCCU(Communication Control Unit、コンピュータ調整ユニット)とCAN(Controller Area Network、車両内のデバイスとECUの通信ネットワーク)を利用した試みだったはずだ。CANにアクセスできれば、当然ながらECUへのアクセスも可能になる。

 次のイメージを見ると明瞭だが、どのように自動車にアクセスし攻撃を仕掛けるのかが確認できる。今回のハッキング実験の対象となった自動車には3つのセキュリティ対策が欠けていたと思う。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

1.CCUのセキュリティの不備

 スマートカーのCCUは、コンピュータ、またはWebサイトに置き換えて考えると分かりやすい。コンピュータやWebサイトはハッキングの対象になると同じく、スマートカーの自動車システム(Webアプリケーションと同様)もセキュリティに不備があると攻撃されるのである。 

2.ECUのアクセス制御プロセス(暗号化鍵とルール)の不備

 Webサイトのセキュリティにある程度知見のある方なら、SSL認証書と公開鍵・秘密鍵についてもよくご存じだと思うが、暗号化はハッカーたちがデータにアクセスすることを防ぐためにデータが転送される前に施す。しかし、ECUのアクセス制御がなければ、ハッカーらはシステムにアクセスして自動車をコントロールすることができるのだ。

3.ECUにてSecure Boot、Secure Flashingのようなセキュリティプロセスの不備

 上述の2と同時に、セキュリティプロセス自体が欠けていたのだ。ECUは、自動車において行動を起こす部分であり、複数のセキュリティプロセスが実現できていなければ、悪意のある者によりコントロールされ、非常に危ないことになってしまう。

 実質上、自動車セキュリティは、コンピュータのセキュリティと非常に似ていて、必要なソフトウェアもSecure bootとSecure flashingのようなものである。Secure bootは、システムの起動時にマルウェアロードされないようにし、Secure flashingはシステム上アップデートにより攻撃に対応することである。

 今回の実験において、スマートカーにおけるセキュリティは欠かせないものとあらためて認識した方も多いと思うが、一体どのようなセキュリティ対策が考えられるのだろう。

1.自動車内部セキュリティ対策

 スマートカーのセキュリティを総合的な観点から考えるなら、Webサイトのセキュリティと同じく、スマートカーのWebアプリケーションを攻撃から防御することが重要だ。WAFはプロキシとなり、外部からCCUへの不正なアクセスを遮断する。もちろんのワイパーやブレーキ等への不正なアクセスも遮断できる。

2.V2Xセキュリティ 対策

 スマートカーは、vehicle-to-vehicle、vehicle-to-infrastructure、vehicle-to-mobile等、全ての通信において、セキュリティ対策は必須となる。

 vehicle-to-vehicleは、スマートカーが交通情報や道路状況を入手する、または他の自動車と安全距離を計算する等、他の自動車と通信することを意味する。

 vehicle-to-infrastructureは、周辺のインフラと通信を試みる。例えば、RSU(Road Side Unit)と疎通し、交通量を計算したり、運転者により効率のいいナビゲーションを提供したりする。

 また、ラジオなど、マルチメディアを提供するvehicle-to-mobileは、運転者のスマートフォンやその他モバイルデバイスとスマートカーの通信を行うことである。

3.セキュリティインフラ

 ITS(Information Transformation System)は、スマートカー周囲のトラフィックを調べるシステムであるが、セキュリティ対策が必要不可欠である。

 ITSはRSU(roadside unit、路辺装置)のようなシステム、シグナルシステム、道路のような要素を活用してトラフィックを確認する。ただし、このITSに対し、セキュリティ対策がなされていなければ、スマートカーが別のスマートカーやRSUと通信を試みる時、妨害されたり、阻止されたりする危険性が出てくる。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 このようなセキュリティ脅威のリスクに立ち向かう1つの方法として、PKI認証が有効だ。PKIは、Public Key Infrastructureの略で公開鍵基盤の構造を意味する。PKI認証を行うことによってRSUを認証し、不正なアクセスをしにくくする効果があるのだ。

 FCAのUconnectは高度なセキュリティ技術を採用されていると知られているが、Wiredの実験からみると、いとも簡単にハッキングに成功されてしまった。おそらく必要なセキュリティのコンポーネントのうち、幾つかが欠けていてたことが原因と思われる。

 自動車産業の専門家らは、このようなハッキングに対応するために、さまざまな研究を重ねている。例えば、現在、トヨタ自動車や日産自動車など、日本の自動車メーカーは共同で車を対象としたサイバー攻撃の被害を減らす取り組みを始めている。

 テスラはハッキング攻撃を受けた後、ホワイトハッカーを採用し、スマートカーのセキュリティについて研究を続けている。一方、Webセキュリティ専門企業であるペンタセキュリティでは、韓国で初めて車両用のセキュリティ認証書を確保し、スマートカーセキュリティ製品をリリースした。このように自動車産業とWebセキュリティ企業はより多くの協力をすることになるだろう。自動車産業に従事される方は、新技術のスマートカーを発表する際に、きちんとしたセキュリティの実現も考慮していただきたい。

※ 本コラムの著作権は、データベース暗号化・Webセキュリティ専門企業)「 ペンタセキュリティシステムズ」(http://www.pentasecurity.co.jp)にあります。

※ペンタセキュリティのスマートカーセキュリティソリューションはこちら:http://www.pentasecurity.co.jp/wp/?page_id=6355

※ペンタセキュリティシステムズのWAF製品の詳細(http://www.pentasecurity.co.jp/wp/?page_id=1362)

※ペンタセキュリティのデータベース暗号化ソリューションの詳細(http://www.pentasecurity.co.jp/wp/?page_id=3833

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009255


IT・IT製品TOP > Key Conductors > 金 ドクス(ペンタセキュリティシステム株式会社) > スマートカーに込めるセキュリティソリューションベンダーの想い

このページの先頭へ

キーマンズネットとは
1999年ペンタセキュリティシステムズに入社し、17年間データ暗号化ソリューション、Webアプリケーションファイアウォールなどの製品に手掛け、セキュリティ技術研究所の所長を歴任。2011年CTOに主任後、2012年から新技術・新製品を企画する企画室の室長を兼任

ページトップへ