WP29 CSMSに基づくセキュアな製品開発の実践―自動車に特化した脅威マトリクスとしての活用に期待が寄せられるAutomotive Threat Matrix
脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
はじめに
UNR-155の施行により、自動車の脅威に対するリスク評価と対策技術の検討は必須となっています。また、自動車に対する攻撃事例や脆弱性はさまざまなカンファレンスで毎年発表されており、開発中だけでなく、リリース後も継続的なモニタリングおよび自社製品への影響評価、対策を検討することが望ましいです。
本稿では、脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
Automotive Threat Matrixとは
Automotive Threat Matrix (以下、ATM)とは米Automotive-ISACが公開した、MITRE ATT&CK(以下、ATT&CK)同様に、検証済みのインシデント事例や再現性のあるエクスプロイト事例に基づいて、攻撃者目線における13のTactics(以下、戦術)と72のTechnique(以下、攻撃手法)を整理・列挙した、自動車に特化したマトリックスです。また20のインシデント事例やエクスプロイト事例が、関係する攻撃手法の中で紹介されています。
ATT&CKとの差異
ATT&CKでは、「Enterprise」「Mobile」「ICS」のそれぞれが各ドメインに併せて独自の戦術定義を持っていますが、ATMでも13の戦術のうち「Manipulate environment」と「Affect vehicle function」が特有の定義となっています。「Manipulate environment」はその名称のとおり、センサーや周辺の通信機器に関する、自動車が認識・通信する外部環境を利用した攻撃手法が定義されており、運転支援機能(ADAS)や自動運転車両に対する攻撃に考慮されたものとなっています。Affect vehicle functionはATT&CKにおける他のMatrix(以下、マトリクス)での「Impact」に相当する定義ですが、自動車においては走る・曲がる・止まるなどの機能への影響が最も重大なリスクである点から、明確に定義されているものと考えられます。
また、攻撃手法についても72の攻撃手法のうち、大部分はATT&CKから転用していますが、以下27の攻撃手法はATM特有のもの※となっています。
※各攻撃手法の説明にATT&CKへのリンクがないものをATM特有と判断しています。
| 戦術 | 攻撃手法 |
Manipulate environment, Affect vehicle function |
Adversarial machine learning |
Manipulate environment |
Relay communications |
Manipulate environment |
Analog sensor attacks |
Initial access |
Physical modification |
Initial access, Command and control, Exfiltration |
Aftermarket, customer, or dealer equipment |
Persistence |
Abuse UDS for collection |
Persistence |
Disable software update |
Persistence |
Abuse UDS for persistence |
Privilege escalation |
Exploit co located computing device for privilege escalation |
Privilege escalation |
Reprogram co located computing device for privilege escalation |
Privilege escalation |
Hardware fault injection |
Defense evasion |
Bypass mandatory access control |
Defense evasion |
Bypass code signing |
Defense evasion |
Bypass UDS security access |
Lateral movement |
Abuse UDS for lateral movement |
Lateral movement |
Bridge vehicle networks |
Lateral movement |
Reprogram ECU for lateral movement |
Collection |
Access vehicle telemetry |
Command and control |
Receive only communication |
Command and control, Exfiltration |
Cellular communication |
Command and control, Exfiltration |
Internet communication |
Command and control, Exfiltration |
Short range wireless communication |
Affect vehicle function |
Unintended vehicle network message |
Affect vehicle function |
Modify bus message |
Affect vehicle function |
Local function |
Affect vehicle function |
Abuse UDS for affecting vehicle function |
Affect vehicle function |
CAN bus denial of service |
上記の攻撃手法には、Bypass UDS security accessのように車載機器で用いられる診断機能を悪用する手法など自動車に特化したものもあれば、Hardware fault injectionのように自動車に限らない製品一般に適用可能なものも含まれています。後者を含め、CANやECUといった文言を用いて、車載機器における攻撃方法がイメージしやすく整理されています。
また特定の攻撃手法については、車載機器に対する過去事例における悪用例が紹介されており、詳細理解の助けとなります。
なおATMは、ATT&CKと比較して、各攻撃手法に緩和策や検知方法の情報が含まれていません。これは自動車のアーキテクチャがメーカーおよび車両モデルごとに異なることによる、プラットフォームの多様性が影響しているものと考えられます。ただし上述のように72の攻撃手法のうち、大部分はATT&CKから転用しています。これらはATT&CKを参照すれば緩和策や検知方法が分かります。
その一方で、27の攻撃手法については緩和策や検知方法の情報が存在しないため、車載機器や車載通信などの自動車特有の環境を理解したセキュリティの専門家が考える必要があります。
ATMの活用イメージ
ATMは、ATT&CK同様に攻撃者目線でのシナリオを表現することができ、自社製品に対するアセスメントや対策検討、ペネトレーションテストのシナリオ作成に役立てることができます。また、整理された戦術と攻撃手法の組み合わせによる表現は、利用者間において共通のものとなるため、情報共有もしやすくなります。
ATM公式ページでは、活用方法として以下のようなユースケースを挙げています。
- Threat and risk assessment modeling
- Intelligence sharing
- Attack trend analysis
- Incident response
- Compliance reporting
- Penetration test execution
マトリクスを利用した攻撃パスの可視化
ATM公式ページの「Resource」よりダウンロード可能なJSONデータによると、ATMでは20件の事例のうち、3件に攻撃手法が割り当てられています。以下は、事例に割り当てられている攻撃手法をマトリクス上でハイライトした結果です。
こうすることで、攻撃者がどのような戦術、攻撃手法によって目的を達成したのかをイメージすることができます。また、JSONデータ内の項目に記述されている内容を確認することで、攻撃手法に対して具体的にどのようなアクションをとったのかを補足的に把握することができます。
情報共有への活用
ATMは利用者間における共通の表現であることから、情報共有もしやすいという利点があります。情報共有を行うための仕組みとしては、脅威情報の記述言語であるSTIXがよく知られています。
MITREは、ATT&CKコンセプトとSTIXのオブジェクトタイプの対応を次のように定義しています。
ATT&CKコンセプト |
STIXオブジェクトタイプ |
独自拡張(custom type)かどうか |
Matrix |
x-mitre-matrix |
yes |
Tactic |
x-mitre-tactic |
yes |
Technique |
attack-pattern |
no |
Sub-technique |
attack-pattern where x_mitre_is_subtechnique = true |
no |
Procedure |
relationship where relationship_type = "uses" and target_ref is an attack-pattern |
no |
Mitigation |
course-of-action |
no |
Group |
intrusion-set |
no |
Software |
Malware or tool |
no |
Collection |
x-mitre-collection |
yes |
Data Source |
x-mitre-data-source |
yes |
Campaign |
campaign |
no |
Asset |
x-mitre-asset |
yes |
これらの詳細な仕様はMITRE ATT&CKの公式リポジトリで確認、ダウンロードすることができます。
最後に
ATMは自動車に特化した脅威マトリクスとして、ATT&CKのコンセプトを踏襲しつつ同様の感覚で利用することができ、脅威・リスク分析(TARA)や脅威情報の共有、ペネトレーションテストを行う際のシナリオ作成などで活用することが期待できます。
WP29 CSMS対応ツール活用メリットを2分で解説
自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System(CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。
1:57
Video Player is loading.
車両サイバーセキュリティの未来
車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。
WP29 CSMSに基づくセキュアな製品開発の実践
6 results
Loading...
WP29 CSMSに基づくセキュアな製品開発の実践―車載機器に対するファジングテストで押さえておきたいポイント
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。第5回はソフトウェアに潜む既知もしくは未知の脆弱性を検出するため、仕様外の動作を検出する「ファジング」について紹介します。
WP29 CSMSに基づくセキュアな製品開発の実践―脆弱性テスト/ペネトレーションテストの実践とポイント
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。第4回は開発の最後に実施する「脆弱性テスト」と「ペネトレーションテスト」に焦点を当てます。
WP29 CSMSに基づくセキュアな製品開発の実践―攻撃パス分析の実践とそのポイント
WP29 CSMSに対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発の実践」。今回は次のステップとなる攻撃シナリオに注目し、具体的な攻撃パス分析の手順を解説します。
Loading...
WP29への対応~自動運転車のサイバーセキュリティ
7 results
Loading...
TISAXの対象範囲の広がり―TISAX VCS 車両サイバーセキュリティ
自動車のデジタル化やサプライチェーンの複雑化などにより、自動車産業のサプライチェーン全体でサイバーセキュリティに対する要求が高まっています。今後リリースされる予定のTISAX VCSについて、確認項目の概要やISO/SAE 21434の要件との関連性について解説します。
WP29 CSMSに基づくセキュアな製品開発の実践―自動車に特化した脅威マトリクスとしての活用に期待が寄せられるAutomotive Threat Matrix
脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。
WP29への対応―Automotive SPICE® for Cybersecurityの適用について
発行間近のAutomotive SPICE® for Cybersecurityの内容や、活用のポイントなどについて解説します。
WP29 サイバーセキュリティ法規―CSMS対応の実態調査
PwCコンサルティング合同会社は、WP29 サイバーセキュリティ法規に基づくCSMS(Cyber Security Management System)への現在の対応状況について調査を実施しました。本稿では、その結果について解説します。
Loading...
インサイト/ニュース
20 results
Loading...
Download PDF -
自治体領域におけるAIガバナンス 第3回:自治体におけるAIガバナンスの要諦
自治体のデジタルトランスフォーメーション(DX)およびAI利活用の現状について概説し、今後のあるべき姿について、基盤となるガバナンスを軸に考察と提言を行います。第3回では、AIガバナンスのあり方について考察と提言を行います。
Download PDF -
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
Download PDF -
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
Download PDF -
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
Loading...
