日本では3度目の開催となる「escar Asia」。2016年も、自動車に対するサイバーセキュリティ対策が急務となる中で、さまざまな対策が提案されました。また、今回は日本で初となる自動車セキュリティハッカソンも開催されました。
2016年9月28日から29日にかけて、自動車の組み込みセキュリティに関するカンファレンス「escar Asia 2016」が東京都の目黒雅叙園で開催されました。今回は、前回を上回る約260人が参加し、自動車メーカーやサプライヤー関係者以外にも、IT関連企業の方の姿が目立ちました。昨今の自動車セキュリティへの関心の高まりに加え、開催前日の27日に日本初となるCTF(Capture-The-Flag)形式の自動車セキュリティハッカソンが行われたことも要因となったのでしょう。
本稿では、escar Asia 2016で興味深かった幾つかのセッションに加えて、自動車セキュリティハッカソンの模様をレポートします。
VolkswagenのAlexander Tschache氏は講演「VWの自動車セキュリティへの取り組み」で、車載ネットワークにおけるセキュリティ対策について、互換性、性能、セキュリティ、堅牢性、テストのしやすさの5つの観点から評価を行いました。
Tschache氏は実際の車両における要求と提案されている解決策とのギャップ(課題)を指摘した上で、「大抵の場合において暗号化は必要なく、認証でよい」との見解を示します。そしてこれらを踏まえた解決策の1つとして「MaCAN(Message Authenticated CAN)」を参考にしたチャレンジレスポンスプロトコルを紹介しました。同氏はこの仕組みがVolkswagenで実際に活用されているのかについて明言することは避けましたが、プロトタイプの実装や動作確認は行っているとのことでした。
またLearのAdre Weimerskirch氏は「侵入検知システム(IDS)、米国自動車セキュリティーの最新動向」と題して、米国における自動車セキュリティに関する取り組みを紹介しました。
1つ目はミシガン大学のMTC(Mobility Transformation Center)で行われているプロジェクトで、同大学とミシガン州が共同で、サイバーセキュリティに限らず自動車に関するさまざまな実験を行っているというもの。
2つ目はescar Asia 2015でも紹介された自動車に関するインシデントを共有する「Auto-ISAC」で、2016年から活動がスタートしているとのことです。
そして3つ目は米国自動車技術会(SAE)による活動です。今回のカンファレンスでも、SAE内のCybersecurity Assurance Testing Task Forceでチェアを務めるMike Ahmadi氏が、標準的なテストフレームワーク「J3061/1(test method)」および「J3061/2(tools)」の策定状況について報告を行っています。
さらにAhmadi氏の講演では他にも、NHTSA(National Highway Traffic Safety Administration)やNIST(National Institute of Standards and Technology)、DHS(Department of Homeland Security)などによる米国政府機関との連携プロジェクトが紹介されました。同氏によれば、米国では優れた研究プロジェクトに積極的に予算を割り当てるなど、政府も進んで自動車のセキュリティに関する支援活動を行っているそうです。
なお、日本からはJASPAR(Japan Automotive Software Platform and Architecture)の活動報告として、トヨタ自動車の平林幸治氏が講演「情報セキュリティの標準化に向けたJASPARの取り組み」を行いました。JASPARは前述のAuto-ISAC日本版の整備に向けた調査なども行っています。
平林氏の講演で特に興味深かったのは、セキュリティリスクの定義と必要な評価・対策基準を規定するAsecレベルの検討です。現在策定段階にあるAsecについてあまり深くは言及されませんでしたが、機能安全規格ISO26262の構成要素の1つであるASIL(Automotive Safety Integrity Level)をベースにしているとのことです。
Asecによって洗い出されたセキュリティリスクレベルに応じて、セキュリティ要求を特定し、検証と確認手段を整備していく方法は、自動車業界の開発プロセスとの親和性がとても高く、柔軟にサイバーセキュリティ対策を開発プロセスに組み込むことができると期待されます。
『Car Hacker’s Handbook』の著者として知られているRapid7のCraig Smith氏による「ECUファームウェアの攻撃手法を調査」では、ハードウェアハックに関するノウハウを基に、自動車ECUに対してどのようなアプローチで攻撃が可能であるかが解説されました。
Craig氏によると、現在はセキュリティの観点で注目されている自動車ファームウェアのハッキングは、実は昔からカスタマイズ目的で行われてきたそうです。講演ではこれをtinkeringと呼んでいましたが、主にボディ系のカスタマイズについてはcodingと呼ばれることもあります。
Craig氏は、ハードウェアハックに関する基本的な流れの他、ファームウェアがダンプできなかった場合のアプローチ方法を幾つか紹介しながら、セキュアなハードウェアに対する物理的な攻撃やサイドチャネル攻撃は非常に困難であり、こうした領域においてはスマートカードの技術が最も有効だろうとの見解を示しました。
最後に行われたパネルディスカッションでは、Volkswagen、Lear、Rapid7、オーストラリア連邦警察から4人のパネラーが登壇し、法的な課題などのテーマについて意見を交換しました。
中でも興味深かったのが脆弱(ぜいじゃく)性報告とバグバウンティプログラムに関する議論です。まず、バグバウンティプログラムそのものの是非について各パネラーは賛成しつつも、「報奨金が用意できない」あるいは「企業ごとに金額に差がある」といった問題点に言及していました。バグバウンティプログラムはメーカーにとって未知の脆弱性(バグ)を買い取ることで早期に問題解決を図ると同時に、悪用可能な致命的な問題を外部に流出させることを防ぐ意味がありますが、報奨金に格差があれば、最悪の場合脆弱性の発見者がより高い金額を支払う第三者に脆弱性情報を渡してしまう可能性もあります。
また、リサーチャーによる脆弱性報告とその発表のタイミングについては、IT業界の例として、Googleの「Project Zero」が引き合いに出されました。同プロジェクトでは90日以内にメーカーからの修正パッチが公開されない場合は、自動的に情報を公開するというルールが定められています(現在はさらに14日間の猶予期間が設けられている)。
多くのリサーチャーにとって自分の成果が公開されない/できないというのはデメリットでしょうし、パネラーも情報公開についてはおおむね同意していました。しかし一方で、2015年のUSENIXのイモビライザーの脆弱性(裁判所判断による発表差し止めから2年越しに発表された)のように、工場の製造ラインに影響が出るようなケースでは簡単に脆弱性を修正できないため、結果として報告者に対しても公開を控えるように要請する他ないとする意見もありました。
また、IT業界も同様ですが、自動車業界はサプライチェーン構造であるがゆえに、報告された脆弱性がサプライヤーによって供給された部品に存在していた場合に、サプライヤーが修正対応できるかどうかも課題の1つとして挙げられていました。
Copyright © ITmedia, Inc. All Rights Reserved.