図面 (/)

技術 車載装置、インシデント監視方法

出願人 クラリオン株式会社
発明者 河内尚萱島信関昂太永井靖安藤英里子
出願日 2018年2月2日 (2年5ヶ月経過) 出願番号 2018-017647
公開日 2019年8月8日 (10ヶ月経過) 公開番号 2019-133599
状態 未査定
技術分野 ストアードプログラムにおける機密保護 車両用電気・流体回路
主要キーワード ユーザースイッチ 機能縮退 車外装置 進行方向制御 ブレーキ強度 ポート番 禁止操作 情報系ネットワーク
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2019年8月8日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (14)

課題

車両内ネットワークセキュリティ性能を向上しつつ、ユーザーの利便性の低下を抑制する。

解決手段

車載監視装置20は、複数の機器により構成されるネットワークを備えた車両2に搭載されるものであって、インシデント検知処理部120を備える。インシデント検知処理部120は、車両2の制御状態を表す車両情報、すなわち車両ログを車両ログDB171から取得し、この車両ログに基づいて車両2において発生したインシデントを検知する。そして、検知したインシデントに関連する脆弱性を有する機器をネットワーク内で特定し、特定した機器に対して暫定対処を行う。

概要

背景

近年、複数の電子制御装置(ECU:Electronic Control Unit)を有する車載通信システムにおいて、外部の情報通信機器通信を行うことで様々な情報を取得し、取得した情報を用いて車両の安全運転支援自動運転を実現する技術が普及し始めている。このような車載通信システムでは、外部からのサイバー攻撃を受ける危険性が高まっており、セキュリティ性能の向上が求められている。

車載通信システムにおけるセキュリティ性能の向上に関して、特許文献1に記載の技術が知られている。特許文献1には、車外からのDoS攻撃(Denial of Service attack)を検出する監視装置を備え、監視装置は、DoS攻撃が発生したと判定すると、車外装置とのデータ通信中継するゲートウェイへDoS攻撃が発生したことを示す攻撃通知を送信し、この攻撃通知を受信したゲートウェイは、データ通信の中継を停止する車載通信システムが開示されている。

概要

車両内ネットワークのセキュリティ性能を向上しつつ、ユーザーの利便性の低下を抑制する。車載監視装置20は、複数の機器により構成されるネットワークを備えた車両2に搭載されるものであって、インシデント検知処理部120を備える。インシデント検知処理部120は、車両2の制御状態を表す車両情報、すなわち車両ログを車両ログDB171から取得し、この車両ログに基づいて車両2において発生したインシデントを検知する。そして、検知したインシデントに関連する脆弱性を有する機器をネットワーク内で特定し、特定した機器に対して暫定対処を行う。

目的

車載監視装置20、無線通信装置104、ユーザースイッチ105、表示装置106、およびナビゲーションシステム107は、車両2の外部とのインタフェースや車両2の運転者に対するユーザーインタフェースを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

複数の機器により構成されるネットワークを備えた車両に搭載される車載装置であって、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて前記車両において発生したインシデントを検知し、検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、特定した前記機器に対して暫定対処を行うインシデント検知処理部を備える車載装置。

請求項2

請求項1に記載の車載装置において、相互に関連し合う脆弱性を階層的に示した攻撃シナリオが記録された攻撃シナリオデータベースをさらに備え、前記インシデント検知処理部は、前記攻撃シナリオデータベースに基づいて、検知した前記インシデントに関連する前記脆弱性を特定する車載装置。

請求項3

請求項1または請求項2に記載の車載装置において、前記ネットワーク内で任意の機器が有する機能を停止させる機能停止部をさらに備え、前記インシデント検知処理部は、特定した前記機器の機能を前記機能停止部に停止させることで前記暫定対処を行う車載装置。

請求項4

請求項1から請求項3までのいずれか一項に記載の車載装置において、前記インシデント検知処理部は、取得した前記車両情報を無線接続されたセンタサーバへ送信する車載装置。

請求項5

複数の機器により構成される車両内のネットワークにおけるインシデント監視方法であって、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて前記車両において発生したインシデントを検知し、検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、特定した前記機器に対して暫定対処を行うインシデント監視方法。

技術分野

0001

本発明は、インシデント監視を行う車載装置およびこれを用いたインシデント監視方法に関する。

背景技術

0002

近年、複数の電子制御装置(ECU:Electronic Control Unit)を有する車載通信システムにおいて、外部の情報通信機器通信を行うことで様々な情報を取得し、取得した情報を用いて車両の安全運転支援自動運転を実現する技術が普及し始めている。このような車載通信システムでは、外部からのサイバー攻撃を受ける危険性が高まっており、セキュリティ性能の向上が求められている。

0003

車載通信システムにおけるセキュリティ性能の向上に関して、特許文献1に記載の技術が知られている。特許文献1には、車外からのDoS攻撃(Denial of Service attack)を検出する監視装置を備え、監視装置は、DoS攻撃が発生したと判定すると、車外装置とのデータ通信中継するゲートウェイへDoS攻撃が発生したことを示す攻撃通知を送信し、この攻撃通知を受信したゲートウェイは、データ通信の中継を停止する車載通信システムが開示されている。

先行技術

0004

特開2016−143963号公報

発明が解決しようとする課題

0005

特許文献1に記載された車載通信システムでは、監視装置がDoS攻撃を検知すると車外装置との通信を全て遮断するため、影響のない機能も含めて停止してしまい、ユーザーの利便性を損なうという課題がある。

課題を解決するための手段

0006

本発明による車載装置は、複数の機器により構成されるネットワークを備えた車両に搭載されるものであって、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて前記車両において発生したインシデントを検知し、検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、特定した前記機器に対して暫定対処を行うインシデント検知処理部を備える。
本発明によるインシデント監視方法は、複数の機器により構成される車両内のネットワークにおいて、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて前記車両において発生したインシデントを検知し、検知した前記インシデントに関連する脆弱性を有する機器を前記ネットワーク内で特定し、特定した前記機器に対して暫定対処を行う。

発明の効果

0007

本発明によれば、車両内のネットワークのセキュリティ性能を向上しつつ、ユーザーの利便性の低下を抑制することができる。

図面の簡単な説明

0008

本発明の一実施形態に係る車両情報ネットワークステムの構成図
車両および車載監視装置ハードウェア構成を例示するブロック図
路側器およびセンタサーバのハードウェア構成を例示するブロック図
車載監視装置の機能構成を例示するブロック図
センタサーバの機能構成を例示するブロック図
車両におけるインシデントの説明図
車載監視装置が実行する処理のフローチャート
センタサーバが実行する処理のフローチャート
車両情報ネットワークシステムのシーケンス
攻撃シナリオDBの構成例を示す図
対策情報DBの構成例を示す図
検知情報の構成例を示す図
車両管理情報DBの構成例を示す図

実施例

0009

以下、本発明の実施形態について図面を参照して説明する。図1は、本発明の一実施形態に係る車両情報ネットワークシステムの構成図である。図1に示す車両情報ネットワークシステム1は、複数の車両2、路側器3、ネットワーク4、およびセンタサーバ5を含む。

0010

複数の車両2は、車載監視装置20をそれぞれ搭載する。路側器3は、車両2が走行する道路の路側に、所定地点に固定して設置される。なお、複数の路側器3がそれぞれ異なる地点に設置されていてもよい。路側器3とセンタサーバ5は、ネットワーク4を介して相互に接続される。センタサーバ5は、ネットワーク4および路側器3を介して、車載監視装置20とデータ通信を行う。

0011

なお、図1では、車両情報ネットワークシステム1に2つの車両2が含まれている例を示しているが、車両情報ネットワークシステム1に含まれる車両2の台数はこれに限定されない。各車両2に搭載される車載監視装置20の動作は同様であるため、以下の説明では、複数の車両2のうち1つを対象として、これに搭載される車載監視装置20の動作を中心として説明する。

0012

図2は、車両2および車載監視装置20のハードウェア構成を例示するブロック図である。車両2は、車載監視装置20と、車載監視装置20にそれぞれ接続されている無線通信装置104、ユーザースイッチ105、表示装置106、ナビゲーションシステム107、車載ゲートウェイ108、ステアリングECU109、ブレーキECU110、エンジンECU111、ADAS ECU112、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115、カメラ116、GPSセンサ117、加速度センサ118、およびモバイルルーター119を備える。なお、ステアリングECU109〜エンジン制御ECU115の各ECUと、カメラ116、GPSセンサ117および加速度センサ118とは、車載ゲートウェイ108を介して車載監視装置20と接続されている。また、モバイルルーター119は無線通信装置104を介して車載監視装置20と無線接続されている。

0013

ステアリングECU109、ブレーキECU110、およびエンジンECU111は、車両2の走行制御を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「制御系ネットワークドメイン」と称する。ADAS ECU112、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115、カメラ116、GPSセンサ117、および加速度センサ118は、車両2の運転支援や自動運転を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「運転支援系ネットワークドメイン」と称する。車載監視装置20、無線通信装置104、ユーザースイッチ105、表示装置106、およびナビゲーションシステム107は、車両2の外部とのインタフェースや車両2の運転者に対するユーザーインタフェースを提供するための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「情報系ネットワークドメイン」と称する。すなわち、車載監視装置20は、情報系ネットワークドメインに属しており、制御系ネットワークドメインおよび運転支援系ネットワークドメインに接続されている。

0014

上記の各ネットワークにおいて、同じネットワーク内の各装置は、車載ゲートウェイ108を介さずに直接データ通信を行うことができる。例えば、制御系ネットワークドメイン内では、車両2の走行制御のための通信が行われる。運転支援系ネットワークドメイン内では、車両2の運転支援や自動運転のための通信が行われる。情報系ネットワークドメイン内では、車両2の運転者に対するユーザーインタフェースのための通信が行われる。一方、異なるネットワークに属する装置間のデータ通信は、車載ゲートウェイ108を介して行われる。

0015

無線通信装置104は、車載監視装置20に接続されており、路側器3との間で直接、またはモバイルルーター119を介して無線通信を行う。車載監視装置20は、無線通信装置104やモバイルルーター119を介した無線通信によって、路側器3とデータ通信を行う。

0016

ステアリングECU109は、車両2の運転者によるステアリング操作、またはステアリング制御ECU114から送信されるステアリング制御命令に応じて、車両2の操舵機構を制御して進行方向制御を行う装置である。ブレーキECU110は、車両2の運転者によるブレーキ操作、またはブレーキ制御ECU113から送信されるブレーキ制御命令に応じて、車両2のブレーキを制御して減速制御を行う装置である。エンジンECU111は、車両2の走行状態、またはエンジン制御ECU115から送信されるエンジン制御命令に応じて、車両2のエンジンを制御して速度制御を行う装置である。これらの装置により、車両2の走行制御が行われる。

0017

ADAS ECU112は、車両2の内外の情報から車両2の加速減速、停止などを判断し、その判断結果を用いて車両2の自動運転や運転支援サービスを実現する装置である。ADAS ECU112は、カメラ116から取得した外部画像や、GPSセンサ117から取得した車両2の位置や、加速度センサ118から取得した車両2の加速度や、ナビゲーションシステム107が保持する車両2の周辺地図情報などを参照して、車両2の挙動を決定する。そして、ブレーキ制御ECU113や、ステアリング制御ECU114や、エンジン制御ECU115に対して、決定した車両2の挙動に応じた制御命令をそれぞれ出力するように指示する。これにより、ADAS ECU112は、車両2の加速・操舵制動を全て自動的に行い、車両2の自動運転機能を実現する。

0018

車両2の運転者であるユーザーは、ADAS ECU112の自動運転機能を利用することで、運転操作を行うことなく、車両2を目的地まで自動で走行させることが可能である。例えば、車両2が同一の走行車線を維持しながら目的地まで走行している場合、ADAS ECU112は、カメラ116から取得した外部画像に基づいて、車両2の前後における障害物の有無を確認する。なお、カメラ116に替えて不図示のレーダセンサ等を用いてもよい。また、ADAS ECU112は、ナビゲーションシステム107から取得した地図情報に基づいて、走行車線の形状に沿った車両2の進行方向や走行速度を決定し、これらの値に応じた制御パラメータを含む車両情報を、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115に対してそれぞれ送信する。これにより、車両2を走行車線に沿って自動的に走行させることができる。さらに、ADAS ECU112は、カメラ116から取得した外部画像に基づいて、変更先車線における障害物の有無を確認した上で、車線変更時の車両2の挙動を決定し、その値に応じた制御パラメータを含む車両情報を、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115に対してそれぞれ送信する。これにより、車両2を自動的に車線変更させることができる。

0019

ブレーキ制御ECU113は、ADAS ECU112の指示に応じて、ブレーキECU110に対してブレーキ強度を含むブレーキ制御命令を送信する装置である。ステアリング制御ECU114は、ADAS ECU112の指示に応じて、ステアリングECU109に対してステアリングの操作角度を含むステアリング制御命令を送信する装置である。エンジン制御ECU115は、ADAS ECU112の指示に応じて、エンジンECU111に対してエンジンの回転数を含むエンジン制御命令を送信する装置である。カメラ116は、車両2の周囲を撮影した画像をADAS ECU112に出力する装置である。GPSセンサ117は、衛星から信号を受信して車両2の位置を測位する測位装置である。加速度センサ118は、車両2の前後方向や左右方向の加速度を検知する装置である。これらの装置により、車両2の運転支援や自動運転が行われる。

0020

ユーザースイッチ105は、車両2の運転者による所定の入力操作を検出する装置である。車両2の運転者であるユーザーは、例えば車両2の自動運転や運転支援機能を無効から有効に、もしくは有効から無効に切り替える際に、ユーザースイッチ105を使用する。表示装置106は、例えば液晶モニタ等であり、運転者に対して種々の情報を表示する。例えば、車両2において自動運転や運転支援が実施されている場合は、これらの機能が有効であることを表示装置106に表示することで、運転者が車両2の状態を把握できるようにする。ナビゲーションシステム107は、道路形状等の地図情報を保持しており、ユーザーやADAS ECU112からの要求などに応じて、車両2周辺の地図情報を提供する装置である。これらの装置により、車両2の運転者に対するユーザーインタフェースが提供される。

0021

車載監視装置20は、記憶装置101、CPU102、およびメモリ部103を備える。記憶装置101は、例えばHDDフラッシュメモリ等の補助記憶装置である。CPU102は、例えば記憶装置101などに記憶された所定の制御プログラムを読み込んで実行することにより、車載監視装置20を制御する。

0022

メモリ部103は、CPU102が制御プログラムを実行する際に利用する主記憶装置である。

0023

CPU102は、インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160を機能的に備える。すなわち、インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160は、CPU102が実行する制御プログラムによってソフトウェア的に実現される。インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160については、後に詳述する。

0024

なお、インシデント検知処理部120、機能停止部140、警告処理部150および復旧策処理部160を、例えばFPGAのようなCPU102と同等の機能を実現できる電子回路などによってそれぞれ構成することも可能である。

0025

図3は、路側器3およびセンタサーバ5のハードウェア構成を例示するブロック図である。路側器3は、路側器制御部205と無線送受信部206を備える。

0026

無線送受信部206は、無線信号送受信することにより、車両2に搭載された車載監視装置20とデータ通信を行う。路側器制御部205は、路側器3を制御する。路側器制御部205は、ネットワーク4に接続されている。路側器制御部205は、ネットワーク4を介してセンタサーバ5とデータ通信を行う。路側器制御部205は、無線送受信部206を制御して、センタサーバ5から送信された情報を車両2に送信したり、車両2から受信した情報をセンタサーバ5に送信したりする。

0027

センタサーバ5は、記憶装置501、CPU502、およびメモリ部503を備える。記憶装置501は、例えばHDDやフラッシュメモリ等の補助記憶装置である。CPU502は、例えば記憶装置501などに記憶された所定の制御プログラムを読み込んで実行することにより、路側器3に送受信する情報を処理する。メモリ部503は、CPU502が制御プログラムを実行する際に利用する主記憶装置である。

0028

CPU502は、送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530を機能的に備える。すなわち、送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530は、CPU502が実行する制御プログラムによってソフトウェア的に実現される。送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530については、後に詳述する。

0029

次に、車載監視装置20およびセンタサーバ5の機能構成について説明する。

0030

図4は、車載監視装置20の機能構成を例示するブロック図である。記憶装置101は、車両ログDB171、攻撃シナリオDB172、および対策情報DB173を有する。

0031

車載ゲートウェイ108は、車載監視装置20に接続されている各ネットワーク間で通信の中継を行う。例えば、運転支援系ネットワークドメインのブレーキ制御ECU113から制御系ネットワークドメインのブレーキECU110に送信されるブレーキ制御指示を、これらのネットワーク間で転送する。同一ネットワーク内の装置間および異なるネットワークの装置間では、所定のデータフォーマットを有する車両情報パケットにより通信が行われる。車載ゲートウェイ108は、各装置間で送受信される車両情報パケットを受信すると、そのパケットに含まれる情報を、車両2の制御状態を表す車両情報のログ(車両ログ)として車両ログDB171に追記する。すなわち、車両ログDB171には、車両情報パケットに含まれる車両情報が時系列順に車両ログとして格納される。

0032

復旧策処理部160は、無線通信装置104を用いて路側器3と通信を行い、セキュリティ上のインシデントに対する復旧策をそれぞれ示すパッチ700、攻撃シナリオ800および対策情報900を路側器3を介してセンタサーバ5から受信する。復旧策処理部160が受信したこれらの情報のうちパッチ700は、車載ゲートウェイ108を介して、指定された送信先の装置に出力される。パッチ700は、前述の制御系ネットワークドメイン、運転支援系ネットワークドメインまたは情報系ネットワークドメインにおいて、いずれかの装置がサイバー攻撃を受けることでセキュリティ上のインシデントが発生した場合に、そのインシデント発生元の装置を復旧させるために、当該装置を送信先としてセンタサーバ5から送信される情報である。パッチ700には、例えば当該装置で動作するソフトウェアのバックデート命令や設定ファイル更新ソフトウェアなどが含まれる。一方、復旧策処理部160が受信した攻撃シナリオ800および対策情報900は、攻撃シナリオDB172、対策情報DB173にそれぞれ追加されて記憶装置101に格納される。なお、攻撃シナリオDB172および対策情報DB173の詳細については後述する。

0033

インシデント検知処理部120は、車両ログDB171に格納されている車両ログを定期的に読み出し、無線通信装置104を用いて路側器3と通信を行うことで、車両ログ400として路側器3を介してセンタサーバ5に送信する。また、読み出した車両ログに基づいて、インシデントが発生した場合にこれを検知する。インシデントの発生を検知した場合、インシデント検知処理部120は、検知したインシデントに関する検知情報600を路側器3を介してセンタサーバ5に送信する。検知情報600には、インシデントを検知した場所、インシデントを検知したときの情報送信元の装置のソフトウェアバージョン、インシデントの原因、インシデントの検知日時などが含まれる。また、インシデントの発生を検出した場合、インシデント検知処理部120は、そのインシデントに関連する脆弱性を有する装置を制御系ネットワークドメイン、運転支援系ネットワークドメインおよび情報系ネットワークドメインの中から特定し、当該装置に対して暫定対処を行う。この暫定対処は、当該装置が有する機能の一部を停止させる機能縮退などであり、その内容は対象とする装置ごとに異なる。

0034

機能停止部140は、インシデント検知処理部120から暫定対処としていずれかの装置に対する機能縮退の指示を受けると、当該装置の機能を停止させる。このとき機能停止部140は、車載監視装置20が属する情報系ネットワークドメイン内の各装置については、車載ゲートウェイ108を介さずに直接指示を行う。一方、制御系ネットワークドメインおよび運転支援系ネットワークドメイン内の各装置については、車載ゲートウェイ108を介して指示を出力し、当該装置を停止させる。なお、車載ゲートウェイ108が有するネットワーク間の情報転送機能を停止させる場合は、機能停止部140から車載ゲートウェイ108に対して指示を行えばよい。

0035

警告処理部150は、インシデント検知処理部120からインシデント発生通知を受けると、表示装置106を用いて、車両2の運転者であるユーザーに対して警告を行う。警告処理部150は、例えば、表示装置106に所定の画面を表示することで、ユーザーに対して特定の装置の機能を停止する旨の警告を行い、確認操作の入力を要求する。この警告に対してユーザーがユーザースイッチ105を用いて所定の確認操作を行うと、警告処理部150はその旨をインシデント検知処理部120に通知する。この通知を受けると、インシデント検知処理部120は機能停止部140に対して機能縮退の指示を行い、当該装置の機能を停止させる。

0036

図5は、センタサーバ5の機能構成を例示するブロック図である。記憶装置501は、車両ログDB540、検知情報DB541、車両管理情報DB542、脆弱性情報DB543、パッチDB544、攻撃シナリオDB545、および対策情報DB546を有する。

0037

送受信情報処理部510は、路側器3との情報の送受信を行う。例えば、送受信情報処理部510は、車両2から送信された車両ログ400および検知情報600を路側器3を経由して受信する。送受信情報処理部510は、車両2から受信した車両ログ400および検知情報600を、車両ログDB540、検知情報DB541にそれぞれ格納する。

0038

インシデント分析処理部520は、検知情報DB541に格納されている検知情報に基づいて、車両2において発生したインシデントの分析を行う。このときインシデント分析処理部520は、攻撃シナリオDB545を参照して当該インシデントを引き起こす攻撃シナリオを特定し、脆弱性情報DB543を参照してその攻撃シナリオに関わる車両2の全ての装置における脆弱性を抽出する。そして、車両管理情報DB542を参照し、抽出した全ての脆弱性が車両2において対策済みであるか否かを確認する。その結果、未対策の脆弱性が存在する場合は、当該インシデントが既知の脆弱性によるものと判断し、これに対する根本対処を実施するよう復旧策生成部530に通知する。一方、全ての脆弱性が対策済みである場合は、当該インシデントが未知の脆弱性によるものと判断し、その判断結果を復旧策生成部530に通知する。

0039

復旧策生成部530は、インシデント分析処理部520からの通知に応じて、車両2において発生したインシデントに対応する復旧策を生成する。具体的には、インシデント分析処理部520から既知の脆弱性に対する根本対処の実施を通知された場合は、その脆弱性に対して車両2において未反映のパッチ700をパッチDB544から検索し、送受信情報処理部510に出力する。さらに、車両2において未反映の攻撃シナリオ800および対策情報900を攻撃シナリオDB545と対策情報DB546からそれぞれ検索し、送受信情報処理部510に出力する。送受信情報処理部510は、復旧策生成部530から出力されたこれらの情報を、路側器3を経由して車両2に送信する。一方、インシデント分析処理部520から未知の脆弱性との通知を受けた場合は、車両2に対して機能縮退を指示する信号を送受信情報処理部510に出力する。送受信情報処理部510は、復旧策生成部530からの信号に応じて、車両2で発生したインシデントに関連する各装置への機能縮退指示を、路側器3を経由して車両2に送信する。その後、復旧策生成部530は、車両ログDB540からインシデント発生の前後における車両2の状態を表す車両情報を取得し、これに基づいて、未知の脆弱性に関連する様々な攻撃シナリオを検討すると共に、根本対処の実施に必要な様々な情報を検討する。そして、これらの検討結果に基づき、脆弱性情報DB543、パッチDB544、攻撃シナリオDB545、対策情報DB546をそれぞれ更新する。

0040

ここで、インシデントの発生について以下に説明する。

0041

一般に、車両システムを対象としたサイバー攻撃とは、車両システムを構成する各種の情報機器に対して、セキュリティ上の脆弱性を利用し、電磁的方式により記録または送受信される情報の漏えい滅失、毀損、改ざん等を行うことにより、設計者の意図しない情報機器の動作を生じさせることである。本実施形態の車両情報ネットワークシステム1では、車両2のネットワーク内で送受信される車両情報のログを車載監視装置20により監視し、ネットワーク内の各機器が外部からのサイバー攻撃を受けると、これをインシデントとして検知する。インシデントには、例えば、脆弱性の有無を確認するのみで実質的な被害の無いインシデント、情報機器のファイルが不正なファイルと書き換えられるインシデント、外部の不正な第三者により車両が遠隔操作されるインシデントなどがあり、深刻なインシデントの場合は、ユーザーや周囲の人の財産生命が脅かされることもある。なお、被害の無いインシデントの例としては、FTP(File Transfer Protocol)やTelnet等の通信プロトコルを利用した不正な遠隔操作の準備として、ログイン名とパスワードがランダム打ち込まれるインシデントや、NTP(Network Time Protocol)等の各種プロトコルが利用するポート番号に大量のデータが送付されるインシデントや、機器が停止するかどうかの確認が行われるインシデントなどである。これらのインシデントは、攻撃の準備段階において発生するインシデントである。一方、深刻なインシデントの例としては、不正なソフトウェアのインストールなどのファイル操作が行われるインシデントや、外部接続によるデータ送信のインシデントなどがある。

0042

上記のような各種インデント検知方法としては、例えば、ログインのエラー、不審なポート番号へのアクセス、システムの異常終了などの履歴を分析することで検知する方法がある。また、ホワイトリストブラックリストと呼ばれる事前に規定されたセキュリティ対策ルールを用いてインシデントを検知する方法もある。具体的には、例えば、ホワイトリストで規定された通信先以外の通信先とのアクセスや、ホワイトリストで規定されたファイル以外を対象としたファイルの操作やインストールなどを検知したり、ブラックリストで規定された禁止操作禁止アクセス先との通信などを検知したりすることで、インシデントの検知が可能である。

0043

図6は、車両2におけるインシデントの説明図である。図6では、インシデントの例として、無線通信装置104に存在する7個の脆弱性のうち4個の脆弱性を使用した攻撃シナリオにより発生した不正な通信のインシデントを示している。具体的には、無線通信装置104が携帯通信を利用して受信したSMSメッセージにより無線通信装置104の設定ファイルが書き換えられることで、不正なサーバからのソフトウェア更新を無線通信装置104において実施され、その結果、無線通信装置104が悪意のある第三者から遠隔で不正に制御された場合の例を示している。この例では、一つの攻撃シナリオを攻撃シナリオ要素A1〜A4の4段階に分け、それぞれの段階での脆弱性を利用して攻撃シナリオが実現されるケースを示している。なお、図6において、(a)は攻撃シナリオの階層を示し、(b)は無線通信装置104における7個の脆弱性同士の関連性を示し、(c)は攻撃シナリオの詳細を示している。

0044

攻撃シナリオ要素A1は、攻撃の準備段階に相当する。この段階では、悪意のある第三者は、SMSメッセージによる脆弱性の存在を把握すると、該当する脆弱性を有する車両を探すために、ランダムな電話番号に向けてSMSメッセージを発信する。このとき車載監視装置20は、事前に設定された番号リストと異なる電話番号からの発信を無線通信装置104が受信したことを検知することで、無線通信装置104に対するアクセスポリシー違反としてのインシデントを検知する。

0045

攻撃シナリオ要素A2は、攻撃段階に相当する。この段階では、無線通信装置104の脆弱性を確認した攻撃者が、SMSメッセージにより無線通信装置104に対して不正プログラムを送信し、攻撃を開始する。不正プログラムを受信すると、無線通信装置104の設定が変更され、規定のプログラム更新先サーバからのプログラムのみダウンロード許可する設定となっているアクセス制御解除される。このとき車載監視装置20は、無線通信装置104において許可なくアクセス制御を実施している設定ファイルの更新が行われたことを検知することで、無線通信装置104に対するセキュリティポリシー違反としてのインシデントを検知する。

0046

攻撃シナリオ要素A3は、インストール段階に相当する。この段階では、攻撃者が無線通信装置104に不正サーバからのファイルをダウンロードさせる。このとき車載監視装置20は、無線通信装置104におけるプログラムのインストール権限の変更や、不正インストールの検知、不正サーバへのアクセスなどが行われたことを検知することで、インシデントを検知する。

0047

攻撃シナリオ要素A4は、遠隔操作段階に相当する。この段階では、攻撃者が無線通信装置104に不正サーバからダウンロードしたファイルを実行させることで、無線通信装置104から車載ゲートウェイ108に向けて不正な通信を実施させる。このとき車載監視装置20は、無線通信装置104から車載ゲートウェイ108への不正制御命令の送信や、不正タイミングでのアクセスが行われたことを検知することで、無線通信装置104に対するアクセスポリシー違反としてのインシデントを検知する。

0048

ここで、攻撃シナリオで利用される脆弱性には相互に因果関係があり、ある攻撃シナリオ要素を実現するためには、前段の攻撃シナリオ要素が実現済みである必要がある。そのため、本実施形態の車両情報ネットワークシステム1では、車載監視装置20において、相互に関連し合う脆弱性を階層的に示した様々な攻撃シナリオを記録した攻撃シナリオDB172を記憶している。車載監視装置20のインシデント検知処理部120は、インシデントを検知すると、攻撃シナリオDB172に基づいて検知したインシデントに関連する脆弱性を特定し、その脆弱性を有する装置に対して暫定対処を行う。これにより、車両2で発生したインシデントに対して、適切な装置への暫定対処を速やかに実施できるようにしている。

0049

なお、上記の攻撃シナリオは一例であり、他にも様々な攻撃シナリオによるインシデントを車載監視装置20において検知可能である。また、攻撃シナリオは車両2に搭載された装置毎に用意されてもよい。

0050

図7は、車載監視装置20のCPU102が実行する処理のフローチャートである。このフローチャートに示す処理は、車両2に搭載された車載監視装置20のCPU102において、所定時間ごとに実行される。

0051

テップS10において、CPU102は、インシデント検知処理部120により、車両ログDB171に蓄積されている車両ログ400を読み出し、無線通信装置104を用いてセンタサーバ5に送信する。このとき、前回までの処理で既に送信済みの車両ログ400を除外し、未送信の車両ログ400のみを抽出して送信することが好ましい。

0052

ステップS20において、CPU102は、インシデント検知処理部120により、ステップS10で車両ログDB171から読み出した車両ログ400に基づいて、インシデントが発生したか否かを判断する。ここでは、前述のような手法により、事前に規定されたセキュリティ対策ルール違反や通信データ異常の有無を確認することで、インシデントが発生したか否かを判断する。その結果、インシデントが検知されない場合はステップS10に戻って車両ログ400の送信を続け、インシデントを検知した場合は処理をステップS30に進める。

0053

ステップS30において、CPU102は、インシデント検知処理部120により、ステップS20で検知したインシデントを表す検知情報600を生成する。ここでは、検知したインシデントに関する前述のような各種情報を組み合わせて、検知情報600を生成する。

0054

ステップS40において、CPU102は、インシデント検知処理部120により、ステップS20で検知したインシデントに関連する全ての脆弱性を特定する。ここでは、検知したインシデントに対応する攻撃シナリオを攻撃シナリオDB172から検索し、その攻撃シナリオを参照することで、インシデントに関連する全ての脆弱性を特定する。

0055

ステップS50において、CPU102は、インシデント検知処理部120により、ステップS40で特定した脆弱性への暫定対処を実施する。ここでは、対策情報DB173を参照することで、脆弱性ごとに暫定対処の内容を決定し、その内容に従って暫定対処を実施する。たとえば、当該脆弱性を有する機器をネットワーク内で特定し、その機器の機能を機能停止部140に停止させることで、暫定対処を実施する。このとき、警告処理部150によりユーザーへの警告を行い、ユーザーの確認操作が入力されるまで待ってから暫定対処を実施してもよい。

0056

ステップS60において、CPU102は、インシデント検知処理部120により、ステップS30で生成した検知情報600を、無線通信装置104を用いてセンタサーバ5へ送信する。

0057

ステップS70において、CPU102は、復旧策処理部160により、ステップS60で送信した検知情報600に応じてセンタサーバ5から、パッチ700、攻撃シナリオ800または対策情報900を受信したか否かを判断する。その結果、これらの情報のうち少なくともいずれかの情報を受信した場合は、ステップS20で検知したインシデントが既知の脆弱性によるものと判断し、処理をステップS80に進める。一方、いずれの情報も受信せずに機能縮退の指示をセンタサーバ5から受けた場合は、ステップS20で検知したインシデントが未知の脆弱性によるものと判断し、処理をステップS100に進める。

0058

既知の脆弱性によるインシデントと判断した場合、ステップS80において、CPU102は、復旧策処理部160により、ステップS70でセンタサーバ5から受信した情報を用いて、ステップS20で検知したインシデントに対するセキュリティ対策を実施する。ここでは、センタサーバ5から受信したパッチ700を復旧策処理部160から該当する装置へ送信してインストールさせると共に、センタサーバ5から受信した攻撃シナリオ800や対策情報900を攻撃シナリオDB172、対策情報DB173にそれぞれ格納することで、セキュリティ対策を実施する。

0059

ステップS80で全ての脆弱性に対するセキュリティ対策が実施されたことを確認したら、ステップS90において、CPU102は、インシデント検知処理部120により、ステップS50で実施した暫定対処を解除する。

0060

未知の脆弱性によるインシデントと判断した場合、ステップS100において、CPU102は、インシデント検知処理部120により、車両2の機能縮退を実施する。ここでは、たとえばステップS50で実施した暫定対処をそのまま継続し、脆弱性を有する装置の機能を引き続き機能停止部140に停止させることで、車両2の機能縮退を実現する。あるいは、装置ごとに予め設定された機能縮退時の動作を実行させることで、車両2を機能縮退させてもよい。

0061

ステップS90またはステップS100の処理を実行したら、CPU102は、図7のフローチャートを終了する。

0062

図8は、センタサーバ5のCPU502が実行する処理のフローチャートである。このフローチャートに示す処理は、センタサーバ5のCPU502において、車載監視装置20から検知情報600が送信されると実行される。

0063

ステップS210において、CPU502は、送受信情報処理部510により、車載監視装置20から送信された検知情報600を受信し、検知情報DB541に格納する。

0064

ステップS220において、CPU502は、インシデント分析処理部520により、ステップS210で検知情報DB541に格納した検知情報600に基づいて、車載監視装置20で検知されたインシデントに関連する全ての脆弱性を特定する。ここでは、検知情報600が表すインシデントに対応する攻撃シナリオを攻撃シナリオDB545から検索し、その攻撃シナリオに対応する全ての脆弱性を脆弱性情報DB543から検索することで、車両2において発生したインシデントに関連する全ての脆弱性を特定する。

0065

ステップS230において、CPU502は、インシデント分析処理部520により、ステップS220で特定した全ての脆弱性が車両2において対策済みであるか否かを判断する。ここでは、車両管理情報DB542を参照し、特定した全ての脆弱性に対してパッチ700や攻撃シナリオ800、対策情報900を車載監視装置20へ送信済みであるか否かを判断する。その結果、全ての脆弱性について対策を実施済みである場合は、車載監視装置20で検知されたインシデントが未知の脆弱性によるものと判断し、処理をステップS240に進める。一方、対策を未実施の脆弱性が存在する場合は、車載監視装置20で検知されたインシデントが既知の脆弱性によるものと判断し、処理をステップS260に進める。

0066

未知の脆弱性によるインシデントと判断した場合、ステップS240において、CPU502は、復旧策生成部530により、車載監視装置20に対して車両2の機能縮退を実施するように指示する。この指示に応じて、車載監視装置20のCPU102が図7のステップS100の処理を実行することで、車両2において機能縮退が実施される。

0067

ステップS250において、CPU502は、復旧策生成部530により、未知の脆弱性に対する分析を実施してその対策を検討する。そして、得られた検討結果に基づき、脆弱性情報DB543、パッチDB544、攻撃シナリオDB545、対策情報DB546をそれぞれ更新する。

0068

既知の脆弱性によるインシデントと判断した場合、ステップS260において、CPU502は、復旧策処理部160により、車両2において未反映のパッチ700、攻撃シナリオ800、対策情報900をパッチDB544、攻撃シナリオDB545、対策情報DB546からそれぞれ検索する。そして、検索したこれらの情報を、送受信情報処理部510を用いて車載監視装置20に送信する。こうしてセンタサーバ5から送信されたパッチ700や攻撃シナリオ800、対策情報900を用いて、車載監視装置20のCPU102が図7のステップS102の処理を実行することで、車両2において発生したインシデントに対するセキュリティ対策が実施される。

0069

ステップS250またはステップS260の処理を実行したら、CPU502は、図8のフローチャートを終了する。

0070

次に、車両情報ネットワークシステム1全体の動作について説明する。図9は、車両情報ネットワークシステム1全体の動作を示すシーケンス図である。車両情報ネットワークシステム1において、センタサーバ5、車載監視装置20、およびネットワーク内の各装置は、それぞれ図9に示す処理を実行する。

0071

ステップS301において、センタサーバ5は、車載監視装置20から路側器3を介して送信された車両ログ400を受信し、車両ログDB540に保存する。

0072

ステップS302において、センタサーバ5は、車載監視装置20から路側器3を介して送信された検知情報600を受信し、検知情報DB541に保存する。

0073

ステップS303において、センタサーバ5は、インシデント分析処理部520により、ステップS302で受信した検知情報600の分析を行う。

0074

ステップS304において、センタサーバ5は、ステップS303で行った検知情報の分析結果に基づいて、復旧策生成部530により、パッチDB544、攻撃シナリオDB545、対策情報DB546から既存の対策をそれぞれ検索し、発生したインシデントが既知であるか否かを判断する。そして、この判断結果を車載監視装置20に通知すると共に、車両2で発生したインシデントの対策として、暫定対処、機能縮退、根本対処のいずれかを指示する。

0075

ステップS305において、センタサーバ5は、復旧策生成部530により、車両2で発生したインシデントへの根本対処を策定できたら、これを車載監視装置20に通知し、機能縮退や暫定対処の状態になっている車両2において、根本対処を実施できるようにする。

0076

ステップS401において、車載監視装置20は、ネットワークの各装置から送信される車両情報を取得し、車両ログDB171に蓄積する。また、車両ログDB171から車両ログ400を生成し、路側器3を介してセンタサーバ5に送信する。

0077

ステップS402において、車載監視装置20は、インシデント検知処理部120により、車両ログDB171に基づいてインシデントの有無を判断する。インシデントを検知したら、検知情報600を生成し、路側器3を介してセンタサーバ5に送信する。

0078

ステップS403において、車載監視装置20は、インシデント検知処理部120により、ステップS402で検知したインシデントに対応する攻撃シナリオを攻撃シナリオDB172から検索することで、攻撃シナリオの推定を行う。そして、対策情報DB173を参照し、推定した攻撃シナリオに応じた暫定対処を実施する。

0079

ステップS404において、車載監視装置20は、復旧策処理部160により、ステップS402で送信した検知情報600に対してセンタサーバ5から通知されたインシデントの判断結果に応じて、車両2のネットワーク内の各機器に対策を指示する。

0080

ステップS405において、車載監視装置20は、復旧策処理部160により、センタサーバ5からの通知に応じて、インシデントに対する根本対処を車両2のネットワーク内の各機器に実施させる。

0081

ステップS501において、車両2のネットワーク内の各機器は、車両情報を他の機器に送信する。すなわち、制御系ネットワークドメイン内のステアリングECU109、ブレーキECU110、およびエンジンECU111の各装置と、運転支援系ネットワークドメイン内のADAS ECU112、ブレーキ制御ECU113、ステアリング制御ECU114、エンジン制御ECU115、カメラ116、GPSセンサ117、および加速度センサ118の各装置と、情報系ネットワークドメイン内の車載監視装置20、無線通信装置104、ユーザースイッチ105、表示装置106、およびナビゲーションシステム107の各装置は、車両情報を他の装置に送信する。

0082

ステップS502において、車両2のネットワーク内の各機器は、車載監視装置20の指示に応じて、車両2で発生したインシデントへの対策を実施する。

0083

ステップS503において、車両2のネットワーク内の各機器は、車載監視装置20の指示に応じて、車両2で発生したインシデントへの根本対処を実施する。

0084

図10は、攻撃シナリオDB172の構成例を示す図である。攻撃シナリオDB172では、攻撃シナリオを構成する攻撃シナリオ要素ごとに、図10に示すような情報が設定されている。シナリオ番号およびシナリオ段階は、攻撃シナリオ要素の属性を表す情報である。脆弱性ID、影響する脆弱性ID、攻撃IDおよび攻撃種別は、攻撃の種類と脆弱性の関連性を表す情報である。機器ID、機器情報、IF情報、エントリポイントおよび機能情報は、攻撃に利用される脆弱性に対応する機器とその機能を一意識別する情報である。対策IDおよび対策情報は、攻撃への対策内容を表す情報である。

0085

たとえば、図10の攻撃シナリオDB172におけるシナリオ番号2の攻撃シナリオ要素に対応するインシデントとして、Wi−Fi通信または携帯通信による不正なアクセスが検知されたとする。この場合、インシデント検知処理部120は、車両2のWi−Fiインタフェースおよび携帯通信インタフェースである無線通信装置104に対して、そのWi−Fi通信機能携帯通信機能を、対策IDが284−1−1、284−2−1で示された対策がそれぞれ適用されるまで、機能停止部140により停止させる。また、影響する脆弱性IDの値から、シナリオ番号4、5、6にそれぞれ対応する攻撃シナリオ要素を一連の攻撃シナリオに属する攻撃シナリオ要素として特定し、これらが示す各機器の機能についても同様に停止させる。

0086

図11は、対策情報DB173の構成例を示す図である。対策情報DB173では、攻撃シナリオDB172の各攻撃シナリオ要素が表す脆弱性への対策ごとに、図11に示すような情報が設定されている。対策ID、対象ECU IDおよび脆弱性IDは、対策の属性を表す情報である。対策可否基準および検知情報は、対策の適用基準を表す情報である。対策内容は、脆弱性への対策としての暫定対処および根本対処の内容を表す情報である。

0087

図12は、検知情報600の構成例を示す図である。検知情報600は、インシデントが検知された日時と、インシデントの属性や種別を表す攻撃ID、攻撃種別、脆弱性ID、攻撃元情報、攻撃先情報とを含む。

0088

図13は、車両管理情報DB542の構成例を示す図である。車両管理情報DB542では、センタサーバ5に接続される車両2ごとに、図13に示すような情報が設定されている。車両番号は、各車両2を一意に識別する情報である。車載ECUは、車両2に搭載されている機器を表す情報である。ECU ID、接続機器ID、機能情報、OS情報およびID情報は、各機器の詳細を表す情報である。

0089

以上説明した本発明の一実施形態によれば、以下の作用効果を奏する。

0090

(1)車載監視装置20は、複数の機器により構成されるネットワークを備えた車両2に搭載されるものであって、インシデント検知処理部120を備える。インシデント検知処理部120は、車両2の制御状態を表す車両情報、すなわち車両ログを車両ログDB171から取得し(図7、ステップS10)、この車両ログに基づいて車両2において発生したインシデントを検知する(ステップS20)。そして、検知したインシデントに関連する脆弱性を有する機器をネットワーク内で特定し、特定した機器に対して暫定対処を行う(ステップS40、S50)。このようにしたので、車両内のネットワークのセキュリティ性能を向上しつつ、ユーザーの利便性の低下を抑制することができる。

0091

(2)車載監視装置20は、相互に関連し合う脆弱性を階層的に示した攻撃シナリオが記録された攻撃シナリオデータベース、すなわち図10のような構成を有する攻撃シナリオDB172をさらに備える。インシデント検知処理部120は、この攻撃シナリオデータベースに基づいて、検知したインシデントに関連する脆弱性を特定する。このようにしたので、インシデントを検知した場合に、そのインシデントに関連する脆弱性を正確かつ容易に特定することができる。

0092

(3)車載監視装置20は、ネットワーク内で任意の機器が有する機能を停止させる機能停止部140をさらに備える。インシデント検知処理部120は、特定した機器の機能を機能停止部140に停止させることで暫定対処を行う。このようにしたので、インシデントを検知した場合に、根本対処が実施されるまでの間、セキュリティ上の悪影響を適切な範囲で素早く抑制することができる。

0093

(4)インシデント検知処理部120は、取得した車両ログ400を無線接続されたセンタサーバ5へ送信する。このようにしたので、未知の脆弱性によるインシデントが発生した場合に、センタサーバ5において対策を検討することができる。

0094

なお、以上説明した実施形態や各種の変形例はあくまで一例である。本発明の特徴を損なわない限り、本発明は上記実施の形態に限定されるものではなく、本発明の技術的思想の範囲内で考えられるその他の形態についても、本発明の範囲内に含まれる。

0095

1…車両情報ネットワークシステム、2…車両、3…路側器、4…ネットワーク、5…センタサーバ、20…車載監視装置、101…記憶装置、102…CPU、103…メモリ部、104…無線通信装置、105…ユーザースイッチ、106…表示装置、107…ナビゲーションシステム、108…車載ゲートウェイ、109…ステアリングECU、110…ブレーキECU、111…エンジンECU、112…ADAS ECU、113…ブレーキ制御ECU、114…ステアリング制御ECU、115…エンジン制御ECU、116…カメラ、117…GPSセンサ、118…加速度センサ、119…モバイルルーター

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • カルソニックカンセイ株式会社の「 電源システム」が 公開されました。( 2020/04/30)

    【課題】DC/DCコンバータが故障しても、低電圧電池に接続されている負荷に、低電圧電池の残量以上の電力を供給しうる電源システムを提供する。【解決手段】車両で用いられる電源システム100は、電源システム... 詳細

  • 豊田合成株式会社の「 非接触操作検出装置」が 公開されました。( 2020/04/30)

    【課題】ユーザがより利用しやすい非接触操作検出装置を提供する。【解決手段】本発明の一態様として、空間中に設定された複数の注目点X,Yのそれぞれに物体が存在するか否かを検出可能な検出手段2と、検出手段2... 詳細

  • アルパイン株式会社の「 分割式データ転送システムおよび分割式データ転送方法」が 公開されました。( 2020/04/30)

    【課題】携帯端末の多くの記憶領域を占有してしまうことなく、データの転送をより効率的に行うことができる「分割式データ転送システムおよび分割式データ転送方法」を提供する。【解決手段】外部サーバ300Aから... 詳細

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ