検索
ニュース

コネクテッドカーのセキュリティリスクは制御システムだけではないIoTデータが持つリスクを排除するには

一般的な自動車でさえボーイング747の7倍にもなるプログラムコードが含まれており、加えてコネクテッドカーではさらに複雑なセキュリティ対策が必要になるという。研究者らが考案するコネクテッドカーのセキュリティシステムのアイデアを紹介する。

Share
Tweet
LINE
Hatena

 イスラエルに拠点を置くIBM Cybersecurity Center of Excellenceの研究者であるYair Allouche氏は、コネクテッドカーのセキュリティソリューションを開発している。彼は「Would you know if your car was being hacked?」と題したブログで、コネクテッドカーのセキュリティリスクとその対策について記している。


Allouche氏が記したブログ

 Allouche氏は、自身の姉がスマートフォンのアップグレードをする際、オンラインバンキングや位置情報を使ったアプリの利便性とセキュリティリスクのトレードオフを理解した上で実行することを例に挙げる。

 そして「現在どれだけの人が自動車を買うときに、同様のセキュリティ意識を持って意思決定をしているでしょうか?」と問い掛け、スマートフォンとコネクテッドカーは同じようなリスクを持つことを考えなければならないことを強調する。

車載ソフトウエアそのものが内包するセキュリティリスク

 ブログでAllouche氏はまず、車両そのものが搭載するソフトウエアが持つリスクを指摘する。それによると、「現在の標準的な自動車は、ボーイング747 1機よりも多くのソフトウエアプログラムを搭載している」といい、多様なオプションや複雑な部品調達ルート、組み立て型の製造工程を持つ自動車ならではのセキュリティリスクがあると指摘している。

例えば、集中ドアロックの仕組みは、いくつかの異なる自動車メーカーで共通のコンポーネントを利用しています。セキュリティの観点から見ると、この問題は一つの自動車に何らかの脆弱(ぜいじゃく)性が残っていれば、他の自動車に対してもハッキングの糸口を与えることになりかねません

 このため、われわれがPCやスマートフォンなどで直面する脅威と同様の頻度で自動車やコネクテッドカーにもセキュリティリスクが発生するようになれば「継続的なアップデートが可能な高機能なシステム」が必須となる、と予測している。

自動車が持つデータが狙われる可能性

 現在既に、車両を保護するためのアイデアとして、「車載IDS(vehicular IDS:車載型の侵入検知システム)」というアプローチがあり、CAN(Control Area Network)上のECU(Electronic Control Unit)同士の通信を監視し、何らかの異常が発生した場合に検知する手法が考案されている。しかし、車載機器にIDSを実装するには搭載ハードウエアリソースの制限や車両価格への転嫁が必要であることから全ての自動車に搭載することは難しいと考えられている。

 加えてAllouche氏は、車載IDSのアイデアは車両の外で発生する問題への対応には不十分だ、とも指摘する。

ブレーキなどの車両制御システムを乗っ取られないように防御する一方で、車両システムに蓄積され、送信される速度や位置情報などのデータも保護する必要があります

 送信されるデータが脅威にさらされるリスクとは例えば、「ハッカーが悪用すれば、偽の交通渋滞情報を紛れ込ませて自動車の走行ルートを再計算させたり、走行距離に応じた課金モデルの保険会社に偽の情報を申告したりといったことができてしまう」ようなことだ。

 Allouche氏らは、一般的な自動車のセキュリティシステムは車両内のセキュリティに注力しているが、それだけでは不十分で、個々の車両のレベルを超え、あらゆる車両のデータを収集し、多数のソース間のシナジーを利用するシステムが必要だという。

例えば、多数の車両のデータを収集・分析し、データを相互に参照することで、収集したデータそのものが正しいかといった、データのバリデートを行えます。もし、車両から『時速50キロメートルで走行中』という情報が届き、その周辺の複数の車両からは『時速90キロメートルで走行中』という情報が届いたならば、明らかに何かが間違っている、と判断できます

 車両が送出するデータそのものの正しさを検証するには、クラウドのような環境で周辺車両のデータを十分に集めて比較する必要がある。Allouche氏らは、この走行データを集積し、分析する仕組みを特別なコンポーネントを搭載せずに実施しようと試みている。

 このシステムは車載コンポーネントがクラウド上のサーバーと接続するクライアント/サーバーモデルで実装されており、既に2015年9月に独フランクフルトで開催された国際モーターショーでプロトタイプが披露されている。今後は自動車メーカーをターゲットに、市場への展開を目指しているところだという。


フランクフルトモーターショー(参考画像、出典:IAA公式Youtube動画)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
ページトップに戻る