検索
ニュース

コネクテッドカーのセキュリティリスクは制御システムだけではないIoTデータが持つリスクを排除するには

一般的な自動車でさえボーイング747の7倍にもなるプログラムコードが含まれており、加えてコネクテッドカーではさらに複雑なセキュリティ対策が必要になるという。研究者らが考案するコネクテッドカーのセキュリティシステムのアイデアを紹介する。

Share
Tweet
LINE
Hatena

 イスラエルに拠点を置くIBM Cybersecurity Center of Excellenceの研究者であるYair Allouche氏は、コネクテッドカーのセキュリティソリューションを開発している。彼は「Would you know if your car was being hacked?」と題したブログで、コネクテッドカーのセキュリティリスクとその対策について記している。


Allouche氏が記したブログ

 Allouche氏は、自身の姉がスマートフォンのアップグレードをする際、オンラインバンキングや位置情報を使ったアプリの利便性とセキュリティリスクのトレードオフを理解した上で実行することを例に挙げる。

 そして「現在どれだけの人が自動車を買うときに、同様のセキュリティ意識を持って意思決定をしているでしょうか?」と問い掛け、スマートフォンとコネクテッドカーは同じようなリスクを持つことを考えなければならないことを強調する。

車載ソフトウエアそのものが内包するセキュリティリスク

 ブログでAllouche氏はまず、車両そのものが搭載するソフトウエアが持つリスクを指摘する。それによると、「現在の標準的な自動車は、ボーイング747 1機よりも多くのソフトウエアプログラムを搭載している」といい、多様なオプションや複雑な部品調達ルート、組み立て型の製造工程を持つ自動車ならではのセキュリティリスクがあると指摘している。

例えば、集中ドアロックの仕組みは、いくつかの異なる自動車メーカーで共通のコンポーネントを利用しています。セキュリティの観点から見ると、この問題は一つの自動車に何らかの脆弱(ぜいじゃく)性が残っていれば、他の自動車に対してもハッキングの糸口を与えることになりかねません

 このため、われわれがPCやスマートフォンなどで直面する脅威と同様の頻度で自動車やコネクテッドカーにもセキュリティリスクが発生するようになれば「継続的なアップデートが可能な高機能なシステム」が必須となる、と予測している。

自動車が持つデータが狙われる可能性

 現在既に、車両を保護するためのアイデアとして、「車載IDS(vehicular IDS:車載型の侵入検知システム)」というアプローチがあり、CAN(Control Area Network)上のECU(Electronic Control Unit)同士の通信を監視し、何らかの異常が発生した場合に検知する手法が考案されている。しかし、車載機器にIDSを実装するには搭載ハードウエアリソースの制限や車両価格への転嫁が必要であることから全ての自動車に搭載することは難しいと考えられている。

 加えてAllouche氏は、車載IDSのアイデアは車両の外で発生する問題への対応には不十分だ、とも指摘する。

ブレーキなどの車両制御システムを乗っ取られないように防御する一方で、車両システムに蓄積され、送信される速度や位置情報などのデータも保護する必要があります

 送信されるデータが脅威にさらされるリスクとは例えば、「ハッカーが悪用すれば、偽の交通渋滞情報を紛れ込ませて自動車の走行ルートを再計算させたり、走行距離に応じた課金モデルの保険会社に偽の情報を申告したりといったことができてしまう」ようなことだ。

 Allouche氏らは、一般的な自動車のセキュリティシステムは車両内のセキュリティに注力しているが、それだけでは不十分で、個々の車両のレベルを超え、あらゆる車両のデータを収集し、多数のソース間のシナジーを利用するシステムが必要だという。

例えば、多数の車両のデータを収集・分析し、データを相互に参照することで、収集したデータそのものが正しいかといった、データのバリデートを行えます。もし、車両から『時速50キロメートルで走行中』という情報が届き、その周辺の複数の車両からは『時速90キロメートルで走行中』という情報が届いたならば、明らかに何かが間違っている、と判断できます

 車両が送出するデータそのものの正しさを検証するには、クラウドのような環境で周辺車両のデータを十分に集めて比較する必要がある。Allouche氏らは、この走行データを集積し、分析する仕組みを特別なコンポーネントを搭載せずに実施しようと試みている。

 このシステムは車載コンポーネントがクラウド上のサーバーと接続するクライアント/サーバーモデルで実装されており、既に2015年9月に独フランクフルトで開催された国際モーターショーでプロトタイプが披露されている。今後は自動車メーカーをターゲットに、市場への展開を目指しているところだという。


フランクフルトモーターショー(参考画像、出典:IAA公式Youtube動画)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  9. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る