車載ソフトウェアの規模増大と複雑化が進む中で、無線ネットワークによるアップデート(OTA:Over-The-Air)の実用化が求められている。同じく無線ネットワークを使った遠隔診断に対する要求も高まっている。これらOTAと遠隔診断を運用するには、セキュリティの枠組みが必要だ。
今回は、クルマのソフトウェアアップデートに用いられるOver-The-Air(OTA:無線ネットワーク経由)と遠隔診断に対するセキュリティについて紹介します。
現在の車両1台に搭載されるソフトウェアの規模は8千万〜1億のコードライン(行)に達するほどに膨れ上がり、2015年度に生産される車両のコストは半分以上がエレクトロニクス部品に関連したものであるといわれています。その上、より高度な機能を管理するために車載ソフトウェアは複雑化しており、ソフトウェアバグを引き起こす危険も増加しています。
この2〜3年間に車載ソフトウェアに起因する不具合で何百万台もの車両がリコールされました。この問題に対して、自動車メーカーが近い将来目指すべき有望な解決策として期待されているのが、無線ネットワークを用いたソフトウェアアップデートです。正式には、SOTA(Software Updates Over-The-Air)と呼ばれています。例えば、電気自動車メーカーのTesla Motorsが既にSOTAを提供しています。
SOTAには幾つかの利点があります。
SOTAの利点を得る前提として、セキュリティの必要性は明らかです。セキュリティが確保されていなければ、攻撃者が特別な機能をもった独自のソフトウェアを作ったり、また自動車事故につながるようなウイルスやワームを作りSOTAの脆弱性をターゲットにする可能性があります。このような悪意のあるソフトウェアは、例えば、ある一定の速度に達した車両のブレーキが作動しないというような望ましくない行為の引き金になり得ます※1)。
遠隔診断は、自動車メーカーが車両に関する情報を集められるとともに、これらの情報を適宜に調査・分析できます。
遠隔診断の利点は以下の通りです。
遠隔診断を運用する上で、認証された人のみが車載ソフトウェアにアクセスでき、ある特別の診断機能を遂行できるようなセキュリティの仕組みが必要なことは明白です。診断機能の種類によって、どのようなセキュリティプロパティが要求されるのかを慎重に考慮する必要があります。
そうでなければ、攻撃者が遠隔診断を悪用して機密情報にアクセスするかもしれません。もっと悪い場合は、安全に関わるファンクションテストを実施して事故を誘発する可能性もあります※2)。
※1)Nilsson D.K., and Larson U.E.(2008)“Simulated Attacks on CAN Buses: Vehicle virus” in ASIACSN 2008
※2)Oka D.K., Furue T., Bayer S., and Vuillaume C.(2014)“Analysis of Performing Secure Remote Vehicle Diagnostics” in CSS 2014
Copyright © ITmedia, Inc. All Rights Reserved.