自動車ハッキングのリスクとその対策ー侵入検知システム(IDS)の重要性とその役割
2025年2月5日車両のネットワークは、従来の機械的なシステムから進化し、現在では多くのECU(電子制御ユニット)がCAN(Controller Area Network)を介して通信を行っています。例えば、従来の車両ではエンジン、ブレーキ、ステアリングなどが物理的なリンクによって制御されていましたが、現在の車両ではこれらがECU(電子制御ユニット)によって制御され、ネットワークを通じて相互に連携するようになりました。この進化により、車両の制御は飛躍的に効率化され、運転支援や自動運転などの新しい技術が実現しました。一方で、新しい通信技術の導入により、次のようなリスクも増加しています。 ネットワーク経由でECUが外部から操作される可能性が生まれ、攻撃者にとっての新たな標的となる。 CAN通信の脆弱性を突いた攻撃やOTA(Over-The-Air)アップデート中に悪意のあるコードを挿入されるリスク。 例えば、従来の車両では運転者が物理的に操作することで制御が直接的に行われていました。しかし、現在の車両では、エンジンやブレーキ、ハンドル操作がECU(電子制御ユニット)を通じて行われるため、攻撃者が遠隔からこれらを操る可能性があります。このような構造の変化は利便性を高める一方で、車両全体を狙ったサイバー攻撃のリスクを急増させています。 これらのリスクに対処するため、車両サイバーセキュリティの国際法規であるWP29 UNR155や、リスク管理基準を定めたISO/SAE 21434が策定されました。これらの規制は、車両メーカーに対し、車両ライフサイクル全体でのセキュリティ管理を義務付けており、侵入検知システム(以下、IDS)のような対策が不可欠です。このように、ネットワーク通信の利便性と引き換えに生じたリスクを軽減することが、現代の車両セキュリティにおける重要な課題となっています。 アウトクリプトの「AutoCrypt IDS」は、車両ネットワーク内部の通信を監視し、異常なパケットや不正なアクセスをリアルタイムで検知・防御することで、車両をサイバー脅威から守ります。ECUレベルの監視機能とネットワークベースの検出技術を組み合わせ、より強固なセキュリティ対策を実現します。より詳しい情報が必要な方はこちらをご覧ください。 サイバー攻撃への対策と規制の強化 車両のネットワーク接続が増えるにつれて、サイバー攻撃のリスクも拡大しています。この問題に対処するために、国際的な法規制が整備され、車両メーカーにはより高度なセキュリティ対策が求められています。次に、具体的な脆弱性やリスク、それに対応する規制について詳しく見ていきます。 ・車両がサイバー攻撃に脆弱な理由 SDVおよび自動運転車両はWi-Fi、Bluetooth、LTE通信、OTA(Over-The-Air)アップデートなど、さまざまな外部ネットワークと接続されているため、外部からの接続が可能です。 2015年に発生したジープ・チェロキーのハッキング事件では、研究者がUコネクトインフォテインメントシステムの脆弱性を悪用し、遠隔で車両のエンジン停止やブレーキ無効化を行うことが可能であることを証明しました。この事件を契機に、車両のコネクティビティ機能に対するセキュリティ対策の重要性が強く認識されるようになりました。 ・CANプロトコルのセキュリティ上の脆弱性 CAN通信はもともと車両内部の閉じた環境で使用されることを前提に設計されており、外部からの侵入が考慮されていませんでした。そのため、設計当初から暗号化や認証といったセキュリティ機能は考慮されていませんでした。しかし、現在の車両はWi-FiやOTAアップデートなどで外部ネットワークと接続する機会が増え、これによりネットワーク上の通信が盗聴され、分析されるリスクが高まっています。そのため、悪意のあるメッセージが送信され、車両制御システムに侵入される可能性があります。 また、CAN通信では、メッセージの優先度がCAN-IDによって決定され、優先度の高いメッセージが優先的に送信されるため、攻撃者が高優先度の偽メッセージを大量に送信することで、低優先度の正規メッセージの送信が遅延または阻止され、システム全体の機能が低下するリスクもあります。 ・ネットワーク接続の増加によるリスク拡大 OTAアップデートやV2X通信を通じて、外部から車両に侵入する可能性があります。特にOTA中に悪意のあるコードが注入されるリスクがあります。 ・車両サイバーセキュリティ規制(UNR155)の強化 UNR155などの国際規制により、車両製造業者に対し、サイバー攻撃をモニタリングし、適切に対応するシステムの導入が義務付けられています。この規制は、車両のサイバーセキュリティを強化する目的で、2021年7月から施行されました。UNR155は、サイバー攻撃のリスクが急増する中、国連欧州経済委員会(UNECE)が策定したもので、車両のライフサイクル全体を通じたサイバーセキュリティ管理を義務付けています。特に、車載ネットワークにおける中間者攻撃(MITM攻撃)や、リモートから車両制御を奪う攻撃が深刻化しており、これらの脅威に対応するための法的枠組みが必要となりました。規制は、車両メーカーがサイバー攻撃に対するリスク管理プロセスを確立し、サイバーセキュリティの継続的な監視と改善を行うことを求めています。 また、OTAアップデートのセキュリティに特化したUN […]
アウトクリプトとアンリツが、CES 2025にて5Gの自動車セキュリティテストの推進で基本合意を締結
2025年1月9日アウトクリプト株式会社(アウトクリプト Co., Ltd.、本社:韓国ソウル、代表取締役 金德洙、以下アウトクリプト)とアンリツ株式会社(本社:神奈川県厚木市、社長 濱田 宏一)は、2025年1月8日、米国ラスベガスで開催されている「CES 2025」において、5Gシミュレーションによる自動車セキュリティテストに関する基本合意書(MoU)を締結しました。本基本合意に基づき、両社は車両向けサイバーセキュリティテスト手法の進化に向けて取り組んでまいります。 2024年CLEPAイノベーションアワードで受賞歴のあるアウトクリプトのサイバーセキュリティテストプラットフォーム(CSTP)と、5Gネットワーク環境をシミュレートするアンリツのラジオコミュニケーションテストステーション MT8000Aを統合することで、サイバーセキュリティテストの効率化と簡素化を実現します。両社のパートナーシップにより、進化を続ける車両システムに対して強固な安全性を提供できるようになります。 アウトクリプトのグローバル最高技術責任者である金義錫氏は次のように述べています。「アウトクリプトがこれまで培ってきたサイバーセキュリティの専門知識と、アンリツのネットワークシミュレーション技術を組み合わせることで、5G時代における新たな基準の確立を目指します。サイバーセキュリティテストは複雑で煩雑になりやすく、型式認証の課題となる場合が多くなります。しかし、アウトクリプト のCSTPを活用することで、自動車メーカーはカスタマイズされた効率的なテストプラットフォームにアクセスできます。アウトクリプトは、アンリツとのパートナーシップを通じて、自動車メーカーやサプライヤーが直面しているコンプライアンス遵守の課題と安全性の確保を効率的に解決できるように支援してまいります。」 アンリツのIoTテストソリューション事業部長である小川幸治は、次のように述べています。「車両の安全性に対する関心が高まる中、サイバーセキュリティテストの重要性はかつてないほど高まっています。このたび、セルラーネットワークシミュレーターを通じて、テストシステムに必要なツールを提供できることを大変嬉しく思います。アウトクリプトとのパートナーシップには大きな期待を寄せており、CES 2025において、この基本合意を締結することで、両社がより安全な未来の実現に取り組む姿勢を明確に示すことができると確信しています。」 この基本合意は、世界中の政府や規制機関が自動運転車両(CAV)のサイバーセキュリティ基準を強化している重要な時期に締結されました。UNECEのWP.29 UN R155、156、インドのAIS-189、中国のGB/T基準などサイバーセキュリティ基準の枠組みにより、自動車メーカーやサプライヤーは、基準に適合していることを証明するための圧力に直面しています。アウトクリプトとアンリツの連携により、車両通信システムを超えたさまざまなアプリケーションに対する包括的なセキュリティテストが可能になります。この協業は、現代のコネクテッドモビリティの多様なセキュリティ要件に対応し、規制要件を満たす効率的なソリューションを業界に提供するとともに、幅広い技術分野における強靭性の向上にも貢献します。 ■アンリツ株式会社について アンリツは1895年の創業以来、進化を続ける情報通信の分野で、各種通信システムの開発・品質保証に欠かせない計測器を開発、製造、販売してきました。また、食品・医薬品用異物検出機や重量選別機、遠隔監視制御システム、通信用デバイスなど、オリジナル&ハイレベルな製品を提供しています。幅広い分野で、安全・安心で快適な社会づくりを支えています。アウトクリプト、CES2025に出展 最先端のSDV向けセキュリティ技術とテスティングツールを展示
2024年12月26日アウトクリプト株式会社(AUTOCRYPT Co., Ltd.、本社:韓国ソウル、代表取締役 金 德洙/以下アウトクリプト)は、2025年1月7日から1月10日までアメリカ・ラスベガスで開催される世界最大の技術展示会「CES2025」に出展することをお知らせいたします。今回のCES 2025で、欧州自動車部品工業会(CLEPA)が主催するイノベーションアワードにおいて「トップイノベーター」に選ばれ、国際的に高評価を受けている車両セキュリティに関するテスティングツール「AutoCrypt CSTP」と革新的なSDV向けソリューションを紹介いたします。 現在、ソフトウェアによって定義される自動車(SDV)の普及とともに、車両のサイバーセキュリティは業界全体において急速に注目されています。特に国際規制の導入により、自動車OEMやサプライヤーは一定水準以上のセキュリティを構築することが求められています。アウトクリプトは、これらの課題に対応するため、車載システム向けセキュリティソリューション「AutoCrypt IVS」、暗号化と認証によるセキュアなV2X通信を実現するソリューション「AutoCrypt V2X」と自動車開発の評価フェーズで脆弱性を早期発見・対応することで安全な車載システムの開発をサポートするテスティングツール「AutoCrypt CSTP」を展示する予定です。車載セキュリティ構築、コンプライアンス遵守などの課題を抱えている企業さまは、是非当社ブースにお立ち寄りください。 「展示会概要」 名称 :CES 2025 開催日時 :2025年1月7日(火)~10日(金) 主催 :Consumer Technology Association 会場 :Las Vegas Convention […]UN-R155準拠のためのファズテスト、その重要性と導入課題について
2024年11月18日コネクテッドカーや自動運転技術の進化に伴い、複雑な自動車システムをサイバー脅威から守ることが不可欠となっています。こうした業界の変化に応じて、国連欧州経済委員会(UNECE)はサイバーセキュリティ対策を義務付ける規制(UN-R155)を制定しており、各国の自動車メーカーはこれに対応するための取り組みを進めています。 サイバーセキュリティ基準が高まる中、ファズテストは、メーカーがこれらの要求に応えるための強力なツールとして注目されています。しかし、従来のファズテスト手法は労力を要し、現代の車両における複雑なソフトウェア構造に十分対応しきれないという課題がありました。幸いなことに、近年のサイバーセキュリティテスト技術は進化しており、スマートで自動化されたファジングなどの高度な技術により、サイバーセキュリティテストがより効率的かつ効果的になっています。これにより、開発期間の短縮、システムの強化、車両全体の安全性向上が実現され、規制への準拠も可能になっています。本記事では、スマートな自動車向けファズテスト技術について詳しく解説します。 AutoCrypt Security Fuzzerは、HILシミュレーション環境でのファジングテストを可能にし、開発初期段階から車載ソフトウェアの安全性を確保します。より詳しい情報が必要な方はこちらをご覧ください。 自動車サイバーセキュリティとUN-R155の概要 UN-R155は、車両のライフサイクル全体を通じてサイバー攻撃から車両を保護するための包括的な規制です。確立されたサイバーセキュリティマネジメントシステム(CSMS)の構築が求められ、自動車メーカーはリスクを体系的に評価し、軽減する必要があります。この規制の要件は、ISO/SAE 21434規格と一致しており、自動車サイバーセキュリティエンジニアリングの枠組みを設定しています。リスク管理、継続的な監視および更新プロセスに重点を置くことで、設計から廃棄に至るまで、車両サプライチェーン全体のセキュリティを確保します。 UN-R155におけるファズテストの重要性 サイバーセキュリティの準拠を確保するための重要な要素の1つが、徹底的かつ効果的なテストです。ファズテスト(Fuzz Testing)またはファジングは、ソフトウェアシステムの脆弱性を特定するための強力なテスト方法です。これは、ソフトウェアインターフェースに予期しないデータやランダムなデータを供給し、その挙動を観察することで、バグや攻撃者に悪用される可能性のあるセキュリティの欠陥を発見します。 UN-R155において、ファズテストは特にソフトウェア定義型自動車における弱点を特定するために不可欠です。自動車システムは、通信ネットワーク、インフォテインメントインターフェース、先進運転支援システム(ADAS)に至るまで、サイバー脅威の潜在的なターゲットとなり得ます。ファズテストは、これらの脆弱性が悪用される前に予防的に発見するアプローチを提供し、準拠において重要な役割を果たします。 ファズテストとは ファズテスト(Fuzz Testing) は、プログラムに対してランダムまたは予期しないデータを送信することで、潜んでいるバグや脆弱性を発見するための効果的なサイバーセキュリティ手法です。しかし、従来のファズテスト手法では、現代の車両における複雑なソフトウェア構造や多様なプロトコルに完全に対応することが難しいという課題がありました。この課題を解決するために、スマートファジング技術が登場しました。スマートファジングは、データに基づいたアプローチを採用し、よりターゲットに特化したテスト入力を生成します。また、複数のアルゴリズムによって生成されたテストケースを組み合わせることで、テスト範囲を拡大しつつ、時間とコストの効率化を実現しています。 スマートファジングツールは、テストの反復実施によるフィードバックデータを活用し、システム内でリスクの高い部分に重点的に対応するように設計されています。たとえば、AutoCrypt Security Fuzzer は、論理的なテストケースモデルを活用し、テスト対象となるシステムのプロトコルや仕様に基づいた最適なファズデータを生成します。また、自動ECU状態復元機能を備えており、テスト中に発生したシステムクラッシュから手動操作なしでシステムを復元することで、連続的かつ安定したファズテストを実現します。 このようなスマートファジングツールの導入により、開発期間の短縮やシステムの強化、車両全体の安全性向上が期待できます。さらに、UN R155やISO/SAE […]