クルマの「乗っ取り」防止、カギを握る車載通信規格の行方
「セキュリティー」に脆弱性。CANの進化か次世代か
広島市立大の実証実験。診断用ポートを経由してCANに接続する特殊な車載機(左)を開発
自動運転の実用化フェーズを迎え、重要さが増しているのが車載システムのセキュリティーだ。これからの自動車は車外のシステムとつながることで賢くなる一方、外部からの侵入が容易になるマイナス面もある。自動運転のような高度な車載システムのセキュリティーが保てなければ、乗員の安全性(セーフティー)まで脅かされる。対策に向けた動きは進んでいるのか。
自動車の車外からスマホを操作すると、停車中にもかかわらずスピードメーターが突如動きだして時速180キロメートルを指したり、窓ガラスやドアロックを開いたりと、見たこともないような動作をした。車載システムが侵入され、操作されたのである。
広島市立大学大学院情報科学研究科の井上博之准教授が2015年12月に行った実証実験の光景だ。実験では、クルマのメンテナンス時に診断用機器をつなぐ「OBD―II」という接続口に、特殊な車載機をつないだ。この車載機を通じ、CANと呼ぶ車載LAN上を流れるメッセージを読み取って解読。インターネットとスマホを介して、偽の操作メッセージを送れるようにした。
同様の手法で車載システムをハッキングされた(乗っ取られた)例は海外では報告されている。だが日本車がハッキング可能だと日本で実証されたのはこれが初めてだという。
通常の車では、CANはインターネットとはつながっておらず、そこから攻撃や侵入を受ける可能性は低い。だが米国では、特定の機器を接続せずともシステムを乗っ取られる例も出てきた。
15年、米FCAUS(旧クライスラー)が「ジープ・チェロキー」など約140万台のリコールに追い込まれたのは、システムがハッキング可能だと社外の著名ハッカーから指摘されたためだ。
カーナビ機器上で提供する無線LAN接続サービスのポートに穴があり、ハッカーはそこを通じてCANにアクセス、さらには電子制御ユニット(ECU)のファームウエアを書き換えた。携帯電話網を経由し、車外からエンジンを切ったり操舵(そうだ)したりすることが可能だと示された。
今までのところ、こうした車載システムの脆弱(ぜいじゃく)性は、一斉にクルマが事故を起こすといった大規模な被害をもたらしていない。ハッキングには高度なスキルが必要で誰もが可能なわけではないことや、その目的がシステムの脆弱性を指摘し、メーカーの対策を促すことにあるためだ。
だが、高度なスキルと悪意を併せ持つハッカーがいつ現れるかはわからない。自動車会社にとって、セキュリティー対策の重要性が増していることには変わりはない。
これら車載システムの脆弱性の一つの原因になっているといわれているのがCANだ。独ボッシュが中心となって80年代に開発した通信規格で、いまも車載LANの標準的な技術として国内外で使われている。
CANは古い規格であることもあり、セキュリティー面でさまざまな問題がある。まずは一つのメッセージで最大8バイトのデータしか送れない。このためデータ量が増える暗号化のような技術が使いにくい。
通信速度は通常で毎秒500キロビット程度と遅く、大量のデータを送りつけてシステムをまひさせるDoS攻撃に弱い。またメッセージの送信元を示す仕組みがないため、なりすましによる偽メッセージを送ることが容易だ。
こうした問題を抱えるCANに対し、セキュリティーの観点からは次世代の車載LAN規格を採用する方が本来は望ましい。だがコストアップにつながることや、すでにCANをベースとした車載ソフトの膨大な資産があり、移行はそう簡単ではないことなど、さまざまな理由からいまだにCANが車載LANの標準規格として使われている。
CANの拡張規格である「CAN FD」や、車載イーサネットなど、次世代車載LAN規格の普及に向けた動きも広がりつつあり注目されるところだ。
車載システムへの侵入の実証実験を行った広島市立大の井上准教授だが、本来の狙いは攻撃手法を実証することによって、それに対する防御の仕組みを確立し、さらにはより高度なIT利用の道を探ることにある。
その後の研究では、診断ポートやカーナビといった外部ネットワークの接続点と、CANとの間に設置するゲートウエー機器を開発。CANを流れるデータを監視し、攻撃メッセージを検知するシステムを作った。機械学習の仕組みを取り入れることで、検知の精度をどこまで高められるかの実証実験を進めている。
さらに、安全なネットワーク接続が実現できれば、CANに流れる生のデータを丸ごとクラウドに吸い上げることで、全く新しいサービスを提供することも可能になるという。「クルマがネットワークにつながる流れは止められない。一対多のサービスを提供する上では、きちんとサイバーセキュリティーを講じることが不可欠」。井上准教授はこう話している。
(文=清水信彦)
自動車の車外からスマホを操作すると、停車中にもかかわらずスピードメーターが突如動きだして時速180キロメートルを指したり、窓ガラスやドアロックを開いたりと、見たこともないような動作をした。車載システムが侵入され、操作されたのである。
広島市大、日本車のハッキングに成功
広島市立大学大学院情報科学研究科の井上博之准教授が2015年12月に行った実証実験の光景だ。実験では、クルマのメンテナンス時に診断用機器をつなぐ「OBD―II」という接続口に、特殊な車載機をつないだ。この車載機を通じ、CANと呼ぶ車載LAN上を流れるメッセージを読み取って解読。インターネットとスマホを介して、偽の操作メッセージを送れるようにした。
同様の手法で車載システムをハッキングされた(乗っ取られた)例は海外では報告されている。だが日本車がハッキング可能だと日本で実証されたのはこれが初めてだという。
通常の車では、CANはインターネットとはつながっておらず、そこから攻撃や侵入を受ける可能性は低い。だが米国では、特定の機器を接続せずともシステムを乗っ取られる例も出てきた。
15年、米FCAUS(旧クライスラー)が「ジープ・チェロキー」など約140万台のリコールに追い込まれたのは、システムがハッキング可能だと社外の著名ハッカーから指摘されたためだ。
カーナビ機器上で提供する無線LAN接続サービスのポートに穴があり、ハッカーはそこを通じてCANにアクセス、さらには電子制御ユニット(ECU)のファームウエアを書き換えた。携帯電話網を経由し、車外からエンジンを切ったり操舵(そうだ)したりすることが可能だと示された。
今までのところ、こうした車載システムの脆弱(ぜいじゃく)性は、一斉にクルマが事故を起こすといった大規模な被害をもたらしていない。ハッキングには高度なスキルが必要で誰もが可能なわけではないことや、その目的がシステムの脆弱性を指摘し、メーカーの対策を促すことにあるためだ。
だが、高度なスキルと悪意を併せ持つハッカーがいつ現れるかはわからない。自動車会社にとって、セキュリティー対策の重要性が増していることには変わりはない。
安全なネットワーク接続で新たなサービスも
これら車載システムの脆弱性の一つの原因になっているといわれているのがCANだ。独ボッシュが中心となって80年代に開発した通信規格で、いまも車載LANの標準的な技術として国内外で使われている。
CANは古い規格であることもあり、セキュリティー面でさまざまな問題がある。まずは一つのメッセージで最大8バイトのデータしか送れない。このためデータ量が増える暗号化のような技術が使いにくい。
通信速度は通常で毎秒500キロビット程度と遅く、大量のデータを送りつけてシステムをまひさせるDoS攻撃に弱い。またメッセージの送信元を示す仕組みがないため、なりすましによる偽メッセージを送ることが容易だ。
こうした問題を抱えるCANに対し、セキュリティーの観点からは次世代の車載LAN規格を採用する方が本来は望ましい。だがコストアップにつながることや、すでにCANをベースとした車載ソフトの膨大な資産があり、移行はそう簡単ではないことなど、さまざまな理由からいまだにCANが車載LANの標準規格として使われている。
CANの拡張規格である「CAN FD」や、車載イーサネットなど、次世代車載LAN規格の普及に向けた動きも広がりつつあり注目されるところだ。
車載システムへの侵入の実証実験を行った広島市立大の井上准教授だが、本来の狙いは攻撃手法を実証することによって、それに対する防御の仕組みを確立し、さらにはより高度なIT利用の道を探ることにある。
その後の研究では、診断ポートやカーナビといった外部ネットワークの接続点と、CANとの間に設置するゲートウエー機器を開発。CANを流れるデータを監視し、攻撃メッセージを検知するシステムを作った。機械学習の仕組みを取り入れることで、検知の精度をどこまで高められるかの実証実験を進めている。
さらに、安全なネットワーク接続が実現できれば、CANに流れる生のデータを丸ごとクラウドに吸い上げることで、全く新しいサービスを提供することも可能になるという。「クルマがネットワークにつながる流れは止められない。一対多のサービスを提供する上では、きちんとサイバーセキュリティーを講じることが不可欠」。井上准教授はこう話している。
(文=清水信彦)
日刊工業新聞2016年8月16日
