新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に:車載セキュリティイベントレポート(3/3 ページ)
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。
自動運転車の「目」、センサーに対する問題も
DEF CON 24のセッションでは、Jinhao Liu氏らが、自動運転システムの課題を指摘した。といっても特に高度な技術を使うわけではなく、比較的プリミティブな手法によって、正常で安全な自動運転を妨げるというものだ。すなわち、無線通信の世界で長らく使われてきた、ジャミングや干渉といった手法によって、自動運転車の目であり耳であるセンサーをだますというアプローチだ。
Liu氏は「自動運転の制御はセンサーから入力されてくる事実に基づいて行われる。従って、センサーを攻撃し、入ってくる情報に細工を施したり、データ入力を妨げたりすれば、運転ミスが発生する。センサーの信頼性が自動運転車全体の信頼性に影響を与える」と述べた。
セッションでは、比較的安価な部品を組み合わせて作製した干渉機器を用いて、超音波センサーを妨げる電波を発生させることで、車両の周辺にある障害物や歩行者をTesla Motors(テスラ)の車両が認識できなくなり、ぶつかりそうになるといったデモ画像が紹介された。もっと単純な例では、音響室などに用いられる緩衝材を人に巻き付けるだけでも、センサーの目では見えなくなる。
場合によっては、対象物までの距離がゼロと判定されたり、逆に上限の数値が示されたりすることもあるという。実際には、複数のフェイルセーフ機構によって、障害物が近い位置にあるのに遠く離れていると判定することはないようになっているが、いずれにせよ「ジャミングによって障害物を隠すことができる」とLiu氏は指摘した。
車載カメラも同様に、レーザーを当てることで認識できなくなる(これは人間が運転する場合でも同様だろうが)。
Liu氏は、「センサーは自動運転において重要な役割を果たす。センサーもまた、セキュリティを配慮してデザインされなければならない」と述べ、ダブルチェックによるセンサーの冗長性確保や異常検出によるフェイルセーフ機構といった対策が考えられると述べている。
自動車特有の事情を考慮しながらセキュリティの向上を
こうした問題が浮上しているタイミングで、国内セキュリティ企業のネットエージェントは「自動車セキュリティ検査サービス」を提供することを発表した。同社のエンジニアが、無線アクセス系とテレマティクス、社内アクセスの3つのレイヤーにまたがってペネトレーションテストを行って脆弱性を指摘し、修正方法をアドバイスするというものだ。
Black Hat USA 2016およびDEF CON 24に訪れていたネットエージェント社長の杉浦隆幸氏は、「自動運転を見越したとき、サイバーセキュリティはかなり大きな問題となる。高級車ほどさまざまな機能を搭載しており、結果としてセキュリティホールを含みやすい」と述べた。
新サービスは、こうした問題意識に立って提供するものだという。ECUやODB2プロトコルなどを検査し、適切に実装されているかどうかを確認する。
杉浦氏は「自動車には自動車特有の事情がある。セキュリティ強化のために拡張したくてもプロトコル側にその余裕がなかったりするなど、安易にITの方法で強化するのは難しい。そもそも製造系の開発者とIT開発者の設計思想には違いがある上、開発サイクルも異なるため、間に入って一緒に作っていく必要がある」と述べた。自動車に搭載されたファームウェアのアップデート作業1つとっても「サーバだけ用意すればいいというものではなく、ディーラーのオペレーションを知った上で作り上げていく必要がある」とし、コンサルテーションとともに提供するという。
加えて杉浦氏は「今後の高齢化社会を見据えても自動運転は必須の技術だが、万一事故が発生してしまえば厳しい規制が科せられ、業界の成長が妨げられる恐れもある」と指摘。「そうした状況に陥らないようにするためにも、あらかじめ安全を組み込んでおくことが重要だ」(同氏)と述べている。
Black Hat USA 2016やDEF CON 24の自動車をテーマとしたセッションから感じられたのは、もはや自動車のセキュリティに関する情報はさまざまなところで流通し始めており、閉じ込めて秘密にしておくことはできない、ということだ。率直に問題点を議論し、利用者も含めて情報を共有し、「安全意識」と同じようにサイバーセキュリティについてのナレッジも広げていく必要がある。こうした数々のセッションが、その協力の土台となることに期待したい。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- クライスラーの車載情報機器「Uconnect」に脆弱性、「不正侵入の報告ない」
Fiat Chrysler Automobiles(FCA)の車両に採用されている車載情報機器「Uconnect」に、遠隔ハッキングが可能な脆弱性が見つかった。同社は「不正な遠隔ハッキングによる事故は発生していない」とコメント。既に対策プログラムも用意している。 - つながるクルマに求められるサイバーセキュリティ
スパイ映画やSF映画には、自動車がハッキングを受けて乗っ取られるシーンが出てくることがある。つながるクルマ=コネクテッドカーが当たり前になるこれからの時代、これらのシーンは絵空事では済まされない。本連載では、つながるクルマをサイバー攻撃から守る「車載セキュリティ」について解説する。 - 自動車の情報セキュリティの“ものさし”を作る
自動運転技術やコネクテッドカーの登場により、自動車の情報セキュリティ=車載セキュリティ対策は急務になっている。国内の車載シフトウェア標準化団体・JasParで車載セキュリティ推進ワーキンググループ主査を務めるトヨタ自動車 電子プラットフォーム開発部長の橋本雅人氏に、国内外における車載セキュリティの取り組みについて聞いた。 - シマンテックがIoTセキュリティに本腰、車載ネットワークの異常検知を実現
シマンテックは、自動車向けのセキュリティソリューションの新機能「Symantec Anomaly Detection for Automotive」を発表した。車載制御システムをつなぐCANネットワークにおける異常なトラフィックを検知することができる。 - インテルが車載セキュリティに本腰、研究組織「ASRB」を立ち上げ
Intel(インテル)は、通信接続が当たり前になりつつある自動車をサイバー攻撃から守るのに必要な車載セキュリティの研究組織「Automotive Security Review Board(ASRB)」を立ち上げた。2015年10月には第1回の会合を開く予定だ。