• スペシャル
  • 2016/01/14 掲載

自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
IoT時代の到来により、組込みデバイスはセキュアであることが非常に重要な要件として求められるようになった。その実現には、開発段階からセキュリティを意識したコーディングが必須となる。それは自動車でも同様だ。「電子制御装置(ECUs)への攻撃は、もはや理論上のものでなくなった」と指摘するのは、セキュアコーディング「CERT C」の第一人者であるNCC GroupのRobert Seacord氏だ。

電子制御装置への攻撃は、もはや理論上のものでなくなった

photo
NCC Group
Robert Seacord 氏
 NCCグループの主任セキュリティ・コンサルタントで、カーネギーメロン大学で非常勤教授を務めるRobert Seacord氏は、セキュアコーディングのバイブルとして知られる「The CERT C Coding Standard」の著者としても知られる人物。

 東陽テクニカ主催「QAC User's Meeting 2015」の基調講演に登壇したSeacord氏は「Automotive Security」をテーマに、自動車用の組み込みソフトウェアのセキュリティについて解説した。

 現代の自動車には、コンピュータコンポーネントで構成される電子制御装置(ECUs)が搭載されており、自動車メーカーはサプライヤーからECUsを選んで組み込んでいる。現代の自動車は5000万行から1億行にも及ぶコードを含み、高級車に至っては約100個のECUsが装着され、さまざまな車両機能を制御している。

「たとえば衝突が予想される際に、シートベルトのプリテンショナー(締め付け状態)などを調整し、安全性を確保する機能などが盛り込まれています。高位のECUs統合やドメインコントローラが採用されることで、機能安全やセキュリティに関する新たな課題も生まれています」

画像
自動車の脅威モデル

 攻撃の対象となりうる自動車搭載機器・機能はさまざまだ。OBD-IIやUSBといった間接的な物理アクセスから、カーナビやiPodなどのインフォテインメント端末、あるいはBluetoothやWi-Fiといった近距離無線、さらに遠隔テレマティクスシステムなどの長距離無線などが考えられるだろう。

権限の小さいECUsから車両全体をコントロール

 物理的なサイバー攻撃を考える際に重要なのは、走る・曲がる・止まるなど安全性に関わるECUsとの通信が攻撃の対象となるため、ECUsはそもそもセーフティ・クリティカルな機能を直接制御しないようにしているということだ。権限の小ささゆえに、ECUsから主要コンポーネントを不正に遠隔制御し、車両全体がコントロールされる危険がある。

「攻撃者はCANバス(OBD-II経由)を利用し、ライト、ロック、ブレーキ、エンジンなどの制御コマンドを見極めます。さらに脆弱性をみつけて、ECUsに不正コードを注入し、複数のCANバス同士をブリッジ接続することで乗っ取ります。通常のWebアプリやデスクトップの攻撃より難しいことではありますが、エンジニアリング能力があり、やる気さえあれば攻撃できてしまいます」

 実際に攻撃対象となる領域ごとに分け、さらに能力面からの攻撃の影響度で分類すると、OBD-IIなど物理アクセスが必要な場合は、各自動車に接触する必要があるため、被害の規模は比較的小さくなるといえる(ただし、OBD-IIは主要CANバスに直接アクセスしてシステム全体を危険にさらすポートにもなりえる)。しかし、スマートフォンなど無線通信経由の場合は、数千台の自動車を同時に攻撃でき、大規模な被害をこうむるリスクがあるという。

 さらに同氏は、OBD-IIに直接接続され、ドライバーの挙動を監視し、保険に利用するSnapshotドングルの危険なセキュリティホールや、テレマティクス/セルラー/Wi-Fiなどの無線通信経由でハッキングできると指摘する。

【次ページ】V2V、V2Iに潜むリスクを守るには

関連タグ

関連コンテンツ

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます