PwCサイバーサービス 上席研究員 神薗 日本シノプシスセミナーで講演

2017-03-15

PwCサイバーサービス合同会社 サイバーセキュリティ研究所 所長 兼 上席研究員 神薗 雅紀は2017年3月15日、日本シノプシスが主催する自動車業界のセキュリティ対策にフォーカスしたセミナー「Synopsys Automotive Security Conference」において、「コネクテッドカーに関するサイバーセキュリティ事例の紹介と今後の展望」をテーマに講演しました。

インターネットに常時接続し、無数のセンサーを搭載する「コネクテッドカー」は、これまでにない価値と利便性を提供すると期待されています。反面、サイバー攻撃の脅威に曝され、その危険性が指摘されています。今後、急速な普及が見込まれるコネクテッドカーにおいて、その脆弱性対策は、喫緊の課題といってよいでしょう。


走行中の自動車をリモートから遠隔操作するハッキングも

冒頭、神薗はコネクテッドカーに関するサイバー攻撃の事例として、相次ぐハッキングを紹介しました。特に有名なのは、フィアット・クライスラーの「ジープ・チェロキー」に対するハッキングです。2015年8月、セキュリティリサーチャーのチャーリー・ミラー氏とクリス・ヴァラセク氏は、フィアット・クライスラーのコネクテット・カーシステムである「Uconnect」に認証回避の脆弱性が存在し、遠隔操作される可能性があることを公表しました。

また、2016年9月には、中国のIT企業であるTencentの研究者が、テスラの「テスラモデルS」に対し、12マイル(約20キロメートル)先から走行中の同車を遠隔操作し、ブレーキ制御できることを実演しています。

その手法は、車載ブラウザの「WebKit」に存在する脆弱性を利用し「次世代車載情報通信システム(IVI:In-Vehicle Infotainment)」に侵入するものです。神薗は「改ざんしたファームウェアを送りつけ、ファームウェアを書き換れば、外部ネットワークから車載ネットワークであるCAN(Controller Area Network)にも指示を出すことができる。そのうえで不正なCANメッセージを発行走行中の車両に送ると、リモートからのブレーキ制御が可能になるのです」と説明します。

こうした脆弱性に対しテスラは、「同攻撃は走行中の自動車がWi‐Fiに接続している時だけ有効であり、攻撃は現実的なものではない」とのコメントを発表しました。しかし、神薗は「コメントを鵜呑みにして、安易に安全だと考えてはいけません」と警鐘を鳴らします。

テスラは『Wi‐Fiの電波は到達距離が短い。よって、走行中の自動車にアクセスすることは現実的ではない』としていますが、現在はWi‐Fi電波を増幅するデバイスも市販されています。また、偽Wi‐Fiアクセスポイントで認証させる攻撃手法も存在します。近年のセキュリティのトップカンファレンスでは、コネクテッドカーの脆弱性が数多く紹介されるようになりました。攻撃される可能性があれば、危機感を持つことが大切です。

サイバーセキュリティ研究所 所長 神薗


7つのレイヤーで脆弱性を評価するPwCの取り組みとは

世界157カ国・743都市に拠点を構えるPwCグローバルネットワークに属する「PwCサイバーサービス合同会社」では現在、ワールドワイドでコネクテッドカーの脆弱性評価を実施しています。コネクテッドカーとOAシステムとの脆弱性評価の違いについて神薗は、「(OAシステムのコンピュータと比較し)コネクテッドカーは、攻撃の侵入経路が圧倒的に多い。コネクテッドカーは『センサーの塊』であり、(それぞれのモジュールが)どのように物理的/論理的につながっているのか、複雑で分かりにくいのです。そのため、脆弱性診断の仕組みも多岐にわたります」と説明します。

PwCが提供する「車載向けサイバーセキュリティ診断サービス」は、分析/診断する対象を「ハードウエア」「ソフトウェア」「ネットワークプロトコル」「クライアント/サーバ」「Bluetooth/Wi‐Fi」「USB」「携帯電話網(3G/LTE)」の7つに分け、それぞれを組み合わせて診断しています。例えば、ハードウエア・アーキテクチャの分析では、攻撃者がよく利用するシリアル通信のポートやJTAG(Joint Test Action Group)を確認します。「攻撃者が最初にやることは、『どこを攻撃すれば、どんなデバッグ情報が入手できるかを把握すること』です。ですから、稼働環境を調査し、暗号化の有無やアップデートでファームウェアの改変可能なのかを徹底的に精査します。

サイバーセキュリティ研究所 所長 神薗

神薗によると、いちばんのウイークポイントは、ファームウェアだといいます。ソフトウェアの場合、バイナリのアップデート時にリード/ライト(読み込み/書き換え)のプロテクションが外れることがあります。このタイミングで悪意のある第三者が電子制御ユニット(ECU/Engine Control Unit)とサーバの間に侵入してデータを上書きすれば、ファームウェアを書き換え、リモートからの攻撃が可能になってしまうのです。神薗は、「PwCではこうした行為が技術的/論理的に可能なのかも確認しています」と説明します。

また、コネクテッドカー(クライアント側)だけでなく、データを蓄積するサーバ側にもセュキリティ対策が講じられているかを確認する必要があるといいます。車載システムのOSに対する脆弱性診断と同様に、サーバ側のセキュリティも堅牢にしなければ、間違ったデータを送信してしまう可能性もあるからです。

さらに気をつけたいのは、スマートフォンの専用アプリから車載システムを操作できるケースです。スマートフォンのOSとして利用されているAndroidに脆弱性があれば、車載システムにも影響があると考えなくてはいけません。また、BluetoothやWi‐Fiモジュールがインジェクションツールで乗っ取られてしまえば、コネクテッドカーとして提供しているサービスが停止してしまうこともあるのです。


車載システム版ランサムウェアに警戒
セキュリティサプライチェーンモデルの確立が急務

今後の取り組みとして、「コネクテッドカーの脆弱性に関する知見を増やし、脆弱性評価の精度を向上させていく」と語ります。これまでOAシステムと比較して対策が遅れていたコネクテッドカーのセキュリティ対策ですが、OAシステムで培ったセキュリティ対策技術をコネクテッドカーにも対応させる検証と導入が進んでいます。具体的には「ファームウェアで認証を設け、不正なECUを接続させない」「自動運転システムのメッセージの妥当性をチェックする」さらに、「アップデートファイルのデジタル署名をチェックする」などの対策が進んでいます。

サイバーセキュリティ研究所 所長 神薗

反面、OAシステムで発生しているインシデントが、車載システムでも発生する可能性も増大します。神薗は「車載システムをターゲットにしたランサムウェアが登場するのも時間の問題です」と警鐘を鳴らします。

もう1つの課題は、出荷検査段階での確認の難しさです。端末(PC)の世界では数万台に数台の割合で不正ファームウェアが仕込まれるといった事案が相次いで報告されています。一般的な開発環境では予測不可能な入力データを入力することで例外を意図的に発生させるファジングテストが有効です。もし、コネクテッドカーで同様の事象が発生した場合に、それをファジングテストで対応できるのでしょうか。神薗は「ファジングテストは、『対象に脆弱性があるのか』を発見するものです。不正なファームの混入などの判定を行うものではありません」と、その難しさを説明します。

さらに、課題となっているのは、チップのファームウェアのダンプや逆アセンブルが規定により禁止されている場合があることです。その結果、効果的な診断をすることが難しく、最悪の場合には、チップを損傷させてしまう恐れもあるのです。

こうした状況を鑑み、神薗は「今後はセキュリティサプライチェーンモデルを確立する必要があります」と力説します。

具体的には、「ファジング(注)による脆弱性診断の実施と同時に、不正なファームなどを見つける手法の確立」「利用するチップの約定を確認し、診断を効果的に実現できるチップの選定。また、診断時を特例とした約定緩和の協力体制の構築」「第三者によるファームウェアの証明や、アップデート時の保障などを実現するスキーム・アーキテクチャの確立」などです。

サイバーセキュリティ研究所 所長 神薗

最後に神薗は、今後の対策として「これら3つを確実に実施すること。同時に各コンポーネントを製造するベンダーがそれぞれのポイントでセキュリティを担保し、安全が確保された状態で(自動車に)組み込むことを徹底すること。これによって、可能な限り不正なファームウェアの混入を避けることが大切です」と語り、講演を締めくくりました。

最後に神薗は、今後の対策として「これら3つを確実に実施すること。同時に各コンポーネントを製造するベンダーがそれぞれのポイントでセキュリティを担保し、安全が確保された状態で(自動車に)組み込むことを徹底すること。これによって、可能な限り不正なファームウェアの混入を避けることが大切です」と語り、講演を締めくくりました。
最後に神薗は、今後の対策として「これら3つを確実に実施すること。同時に各コンポーネントを製造するベンダーがそれぞれのポイントでセキュリティを担保し、安全が確保された状態で(自動車に)組み込むことを徹底すること。これによって、可能な限り不正なファームウェアの混入を避けることが大切です」と語り、講演を締めくくりました。

注記

  • ファジング【fuzzing】(ファズテスト/fuzz test)
    ファジングとは、ソフトウェアの不具合を洗い出すテスト手法の1つ。予測不可能なさまざまなデータ(Fuzz)を入力することで、ソフトウェアの動作状態に例外を発生させ、例外の挙動、不具合や脆弱性を発見する技術。
     


関連リンク

Contact us

神薗 雅紀
PwCサイバーサービス合同会社
サイバーセキュリティ研究所 所長
Profile

Follow us

Twitter Facebook Youtube