{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
UNR-155の施行により、自動車の脅威に対するリスク評価と対策技術の検討は必須となっています。また、自動車に対する攻撃事例や脆弱性はさまざまなカンファレンスで毎年発表されており、開発中だけでなく、リリース後も継続的なモニタリングおよび自社製品への影響評価、対策を検討することが望ましいです。
本稿では、脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
Automotive Threat Matrixとは
Automotive Threat Matrix (以下、ATM)とは米Automotive-ISACが公開した、MITRE ATT&CK(以下、ATT&CK)同様に、検証済みのインシデント事例や再現性のあるエクスプロイト事例に基づいて、攻撃者目線における13のTactics(以下、戦術)と72のTechnique(以下、攻撃手法)を整理・列挙した、自動車に特化したマトリックスです。また20のインシデント事例やエクスプロイト事例が、関係する攻撃手法の中で紹介されています。
ATT&CKとの差異
ATT&CKでは、「Enterprise」「Mobile」「ICS」のそれぞれが各ドメインに併せて独自の戦術定義を持っていますが、ATMでも13の戦術のうち「Manipulate environment」と「Affect vehicle function」が特有の定義となっています。「Manipulate environment」はその名称のとおり、センサーや周辺の通信機器に関する、自動車が認識・通信する外部環境を利用した攻撃手法が定義されており、運転支援機能(ADAS)や自動運転車両に対する攻撃に考慮されたものとなっています。Affect vehicle functionはATT&CKにおける他のMatrix(以下、マトリクス)での「Impact」に相当する定義ですが、自動車においては走る・曲がる・止まるなどの機能への影響が最も重大なリスクである点から、明確に定義されているものと考えられます。
また、攻撃手法についても72の攻撃手法のうち、大部分はATT&CKから転用していますが、以下27の攻撃手法はATM特有のもの※となっています。
※各攻撃手法の説明にATT&CKへのリンクがないものをATM特有と判断しています。
| 戦術 | 攻撃手法 |
Manipulate environment, Affect vehicle function |
Adversarial machine learning |
Manipulate environment |
Relay communications |
Manipulate environment |
Analog sensor attacks |
Initial access |
Physical modification |
Initial access, Command and control, Exfiltration |
Aftermarket, customer, or dealer equipment |
Persistence |
Abuse UDS for collection |
Persistence |
Disable software update |
Persistence |
Abuse UDS for persistence |
Privilege escalation |
Exploit co located computing device for privilege escalation |
Privilege escalation |
Reprogram co located computing device for privilege escalation |
Privilege escalation |
Hardware fault injection |
Defense evasion |
Bypass mandatory access control |
Defense evasion |
Bypass code signing |
Defense evasion |
Bypass UDS security access |
Lateral movement |
Abuse UDS for lateral movement |
Lateral movement |
Bridge vehicle networks |
Lateral movement |
Reprogram ECU for lateral movement |
Collection |
Access vehicle telemetry |
Command and control |
Receive only communication |
Command and control, Exfiltration |
Cellular communication |
Command and control, Exfiltration |
Internet communication |
Command and control, Exfiltration |
Short range wireless communication |
Affect vehicle function |
Unintended vehicle network message |
Affect vehicle function |
Modify bus message |
Affect vehicle function |
Local function |
Affect vehicle function |
Abuse UDS for affecting vehicle function |
Affect vehicle function |
CAN bus denial of service |
上記の攻撃手法には、Bypass UDS security accessのように車載機器で用いられる診断機能を悪用する手法など自動車に特化したものもあれば、Hardware fault injectionのように自動車に限らない製品一般に適用可能なものも含まれています。後者を含め、CANやECUといった文言を用いて、車載機器における攻撃方法がイメージしやすく整理されています。
また特定の攻撃手法については、車載機器に対する過去事例における悪用例が紹介されており、詳細理解の助けとなります。
なおATMは、ATT&CKと比較して、各攻撃手法に緩和策や検知方法の情報が含まれていません。これは自動車のアーキテクチャがメーカーおよび車両モデルごとに異なることによる、プラットフォームの多様性が影響しているものと考えられます。ただし上述のように72の攻撃手法のうち、大部分はATT&CKから転用しています。これらはATT&CKを参照すれば緩和策や検知方法が分かります。
その一方で、27の攻撃手法については緩和策や検知方法の情報が存在しないため、車載機器や車載通信などの自動車特有の環境を理解したセキュリティの専門家が考える必要があります。
ATMの活用イメージ
ATMは、ATT&CK同様に攻撃者目線でのシナリオを表現することができ、自社製品に対するアセスメントや対策検討、ペネトレーションテストのシナリオ作成に役立てることができます。また、整理された戦術と攻撃手法の組み合わせによる表現は、利用者間において共通のものとなるため、情報共有もしやすくなります。
ATM公式ページでは、活用方法として以下のようなユースケースを挙げています。
- Threat and risk assessment modeling
- Intelligence sharing
- Attack trend analysis
- Incident response
- Compliance reporting
- Penetration test execution
マトリクスを利用した攻撃パスの可視化
ATM公式ページの「Resource」よりダウンロード可能なJSONデータによると、ATMでは20件の事例のうち、3件に攻撃手法が割り当てられています。以下は、事例に割り当てられている攻撃手法をマトリクス上でハイライトした結果です。
こうすることで、攻撃者がどのような戦術、攻撃手法によって目的を達成したのかをイメージすることができます。また、JSONデータ内の項目に記述されている内容を確認することで、攻撃手法に対して具体的にどのようなアクションをとったのかを補足的に把握することができます。
情報共有への活用
ATMは利用者間における共通の表現であることから、情報共有もしやすいという利点があります。情報共有を行うための仕組みとしては、脅威情報の記述言語であるSTIXがよく知られています。
MITREは、ATT&CKコンセプトとSTIXのオブジェクトタイプの対応を次のように定義しています。
ATT&CKコンセプト |
STIXオブジェクトタイプ |
独自拡張(custom type)かどうか |
Matrix |
x-mitre-matrix |
yes |
Tactic |
x-mitre-tactic |
yes |
Technique |
attack-pattern |
no |
Sub-technique |
attack-pattern where x_mitre_is_subtechnique = true |
no |
Procedure |
relationship where relationship_type = "uses" and target_ref is an attack-pattern |
no |
Mitigation |
course-of-action |
no |
Group |
intrusion-set |
no |
Software |
Malware or tool |
no |
Collection |
x-mitre-collection |
yes |
Data Source |
x-mitre-data-source |
yes |
Campaign |
campaign |
no |
Asset |
x-mitre-asset |
yes |
これらの詳細な仕様はMITRE ATT&CKの公式リポジトリで確認、ダウンロードすることができます。
最後に
ATMは自動車に特化した脅威マトリクスとして、ATT&CKのコンセプトを踏襲しつつ同様の感覚で利用することができ、脅威・リスク分析(TARA)や脅威情報の共有、ペネトレーションテストを行う際のシナリオ作成などで活用することが期待できます。
WP29 CSMS対応ツール活用メリットを2分で解説
自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System(CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。
1:57
車両サイバーセキュリティの未来
車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
