CANメッセージの受信数でサイバー攻撃検知、富士通研が開発車載セキュリティ

富士通研究所は、車載ネットワークのメッセージ受信数のズレを利用してサイバー攻撃を検知する技術を開発した。メッセージの送信間隔のズレを基準とする従来の検知技術に対し、誤検知を大幅に低減する。

» 2018年01月30日 07時00分 公開
[齊藤由希MONOist]

 富士通研究所は2018年1月24日、車載ネットワークのメッセージ受信数のズレを利用してサイバー攻撃を検知する技術を開発したと発表した。メッセージの送信間隔のズレを基準とする従来の検知技術に対し、誤検知を大幅に低減する。また、攻撃から数十ミリ秒で攻撃を検知できることを確認した。開発技術は、富士通が提供する「モビリティIoTプラットフォーム」の構成要素として2018年度の実用化を目指す。

 従来の車載ネットワークに対するサイバー攻撃の検知では、CANが周期的にメッセージを送信することを利用し、メッセージの送信間隔が許容範囲から外れているかどうかを基準としていた。しかし、走行中には正常なメッセージでも周期からずれて受信することがあり、これも攻撃として誤検知してしまうのが課題となっていた。

 富士通研究所が開発したのは、メッセージの受信数を指標とする攻撃検知技術だ。ズレが発生したことを後に来る周期に伝達することで、一時的なズレか攻撃かを判断する。

開発技術で攻撃メッセージを検知する仕組み(クリックして拡大) 出典:富士通研究所

 正常なメッセージのみの通信の場合、あるメッセージが遅延すると従来の技術では攻撃であると誤検知していた。開発技術では次の受信までメッセージの遅延情報を伝達することにより、トータルの受信数が平常時と一致するため正常だと判断する。

 また、攻撃のメッセージが注入された場合、開発技術は、攻撃があった時点では周期よりも早く受信したズレとして判断を保留しておき、正規のメッセージが入った際に攻撃として検知する。実際のCANメッセージの送信間隔が10ミリ秒程度なのに対し、数十ミリ秒以内に攻撃を検知することが可能だという。

 同社では、実際の自動車から収録した600秒分のCANデータを利用し、既知の攻撃手法に基づく1万パターンの疑似攻撃によって開発した攻撃検知技術評価した。その結果、全ての攻撃を検知でき、誤検知が発生しないことを確認できたとしている。

Copyright © ITmedia, Inc. All Rights Reserved.