自動車の守り方を考える「escar Asia 2014」レポート:セキュリティ業界、1440度(7)(1/2 ページ)
ナビシステムからのマルウェア注入もあり得る時代に自動車世界のセキュリティをどう実現するかを考える、アジア初開催の「escarカンファレンス」レポートです。
「escar Asia」とは?
2014年4月17日〜18日、自動車の組み込みセキュリティに関するカンファレンス「escar Asia 2014」が東京で開催されました。
「escar」(Embedded Security In Car Conference)は2003年にドイツで始まったカンファレンスで、主に欧州の自動車メーカーや部品メーカーによる、自動車のセキュリティ対策への取り組みが発表されてきました。2013年には米国で「escar USA」が始まり、今回は初めて東京で開催し、100名近くの参加者が来場しました。escarへの参加者は年々増加しており、自動車のセキュリティに対する関心は高まってきていることが分かります。
今回は、escar Asiaで興味深かった講演についてお伝えしたいと思います。
ICチップ個体に潜む“指紋”を使って脅威対策せよ
産業技術総合研究所(産総研)の古原和邦氏の講演「自動車の情報セキュリティ対策 - 脅威と対策と効果の関係」では、自動車のセキュリティリスクの分析方法の1つとして、EVITA(E-safety Vehicle Intrusion proTected Applications)プロジェクトで考案されたAttack treeを改良したコンセプトが発表されました。
このコンセプトは、脅威ごとの攻撃条件をツリーとして表現したものに、攻撃の発生確率、影響度および対策手法の要素を加えて、視覚的に表現するというものです。幾つかのケーススタディも交えて説明されましたが、ツリーは表よりも柔軟な表現ができる点が良く、最適なセキュリティ対策の検討に役立つと思いました。
また、脅威への対策手法の例も幾つか紹介がありました。その中で興味深かったのは、PUF(Physical Unclonable Function)を用いた対策です。
PUFとは、ICチップの物理的特性の個体差を用いて、同一の入力から各ICチップ個体固有の出力(ICチップごとの指紋のようなもの)を得る技術です。PUFで利用する物理的な特性は複製が困難なため、模造品の検出や暗号処理の鍵管理に応用可能だそうです。
産総研では、安全な通信を安価に実現する方法として、PUFを応用して毎回異なる鍵を共有する暗号方式について研究しているとのことです。PUFは、PCなどのセキュリティでもまだ一般的に普及しておらず、今後の発展が期待されます。
【関連リンク】
“セキュアな自動車”に向けて「自動車の情報セキュリティへの取組みガイド」等を公開
http://www.ipa.go.jp/security/fy24/reports/emb_car/
セキュリティをハードウェアで実現、HSMの有効性は
ESCRYPT のThomas Wollinger氏の講演「車載用に認定されたハードウェアセキュリティモジュール(Automotive Qualified Hardware Security Modules)」では、ハードウェアベースのセキュリティエンジンの分類例として、「On-chip security engines」「HSM」「Bosch HSM」について解説がありました。
On-chip security enginesは、セキュリティ専用のコアを持たず、汎用コントローラーの拡張機能として実装されるものです。標準としてSHE(Secure Hardware Extension)という規格があるとのことです。
HSM(Hardware Security Module)とは、攻撃を検知・防御するセキュリティ機構をカプセル化した専用のコントローラーであり、プログラマブルという特徴を持っているものです。この汎用的なHSMは独立したチップとして実装されており、例として、スマートカードやPCでよく使われるセキュリティチップである「TPM」が挙げられます。
Bosch HSMは、自動車部品メーカーであるBosch社が策定した要求仕様に準拠したHSMで、自動車のECU(Electronic Control Unit)用のマイコンに統合されたものを指します。
いろいろなハードウェアベースのセキュリティエンジンがありますが、安全性と開発コストを最適化するには、ユースケースに応じてそれらを使い分ける必要があります。セキュアな機能を開発する際には、この点に注意する必要があるでしょう。
講演では、HSMから暗号鍵を抽出する攻撃を行うのに必要な装置と推定コストの紹介も行われました。これもとても興味深いポイントです。
ナビゲーションシステムを改変し潜り込む――自動車への攻撃のロジックと解析
Otto-von-Guericke University of Magdeburg のTobias Hoppe氏の講演「自動車への攻撃とその背景(Looking behind automotive attacks in the wild)」では、自動車に対する攻撃の例、攻撃のロジック、攻撃の解析方法について解説が行われました。
実際に発生した攻撃として、
- ナビゲーションシステムのファームウェア改変による地図ソフトの不正利用
- 不正なECUを用いた速度信号の改ざんによる走行中のTV視聴制限の解除
- 外部インターフェースを介した不正なCAN(Controller Area Network)メッセージ送信によるオドメーター(走行距離計)の改ざん
という3つの例が紹介されました。例えばオドメーターの改ざんは、中古車を高く売る目的で行われるようです。いずれも外部の攻撃者によるものではなく、所有者による不正改造といえる内容でした。
自動車への攻撃ロジックは、悪意あるソフトウェア、悪意あるハードウェア、悪意のある周辺機器の3つの構成要素に分類されます。ナビゲーションシステムのファームウェアを改変するマルウェアの解析方法として、バイナリの逆アセンブルや逆コンパイルを行う静的解析と、デバッガーを用いた動的解析が紹介されました。これらは一般的なマルウェア解析と同様の手法でした。
速度信号を0に改ざんする悪意あるハードウェアの解析方法は、まず基盤構成とチップのデータシートを調査し、SPI(Serial Peripheral Interface)コネクターに接続してコードを抽出したそうです。さらに動的解析として、全パターンのCANメッセージの送信と監視を行ったようです。CANメッセージのログを分析することでオドメーターの改ざん攻撃の手順を解明したとのことでした。
悪意のあるハードウェアの解析や、CANメッセージの解析は、まだわれわれが実施したことがないものであり、興味深いものでした。
【関連リンク】
車載ネットワーク“CANの仕組み”教えます 【序章】:
ベンツ SクラスではじまるCAN普及の歴史(MONOist)
http://monoist.atmarkit.co.jp/mn/articles/0805/09/news152.html
Copyright © ITmedia, Inc. All Rights Reserved.