ECUの個体差をセキュリティに応用、なりすまし見抜いて不正アクセス阻止：車載セキュリティ

ハンガリーのナビコアソフトベンダーであるNNGが、車載セキュリティの取り組みについて説明した。提案を強化しているのは、ECUの個体ごとに異なる電気信号の波形を利用した車載セキュリティだ。

[齊藤由希，MONOist]

　ハンガリーのナビコアソフトベンダーであるNNGは2017年11月13日、東京都内で会見を開き、車載セキュリティの取り組みを発表した。

　同社は2016年8月にセキュリティベンチャーのArilou Information Security technologies（以下、アリルー）を買収。ECUの個体ごとに異なる電気信号の波形を基に、なりすまし攻撃をリアルタイムに検知、破棄する「不正送信阻止システム（PIPS）」を提案している。特許申請中だ。

アリルーのジブ・レビ氏

　これにより、なりすまし攻撃の不正なコマンドがCANやCAN FDで送信されるのを防ぐ。2018年第1四半期には車載イーサネットにも対応する。「ハッカーがどのようなソフトウェアやコードで攻撃してくるかは問わない。ハッカーがコントロールできない物理的な情報を生かしたセキュリティを提供する」（アリルー CEOのジブ・レビ氏）。

　既にこのソリューションは主要な自動車メーカーに向けて提案済みだ。自動車メーカー各社のテストの結果、検知率の高さ、誤検知や遅延の少なさで高い評価を得たとしている。

ECUの個体差を利用する

　不正送信阻止システムは4層で構成されたセキュリティだ。1層目は、メッセージを送信したECUの識別だ。ECUの電気信号の波形に微妙な差があることを利用して情報の送信元の検知と識別を行う。

　「ターゲットの車種に搭載されているECUを何らかの形で手に入れたとしても、電気信号の波形を偽装するのは不可能。同じ工場で生産されたECUでも電気信号の波形は微妙に異なる。これによって、なりすましの不正コマンドがECUから発されていないことも検知することができる」（レビ氏）

　2層目ではメッセージの中身を、3層目ではメッセージが送信された時の車両の状態を分析し、メッセージの内容が理にかなっているかを判断する。例えば、走行速度が時速100kmであるというメッセージに対し、ギアがパーキングに入っていれば不審な情報であることが想定できる。

　4層目ではこうした複数の段階を踏まえて、正常なCAN通信は維持しながら不正な信号だけをリアルタイムに阻止する。ハッキング発生時のログの取得や、ハッキングの発生を自動車メーカーに知らせることも可能だ。

不正送信阻止システムの概要（クリックして拡大） 出典：NNG

　2〜3層目のみの機能をソフトウェアで提供することも可能だが、1〜4層の全ての機能を実装するにはASICが必要になる。会見当日に写真撮影不可で実施したデモンストレーションはFPGA上で動作した。不正送信阻止システムを実装するのは「全ての車載ネットワークの入り口で全体を網羅できるゲートウェイが望ましいが、CANに接続するECUならセキュリティとして機能する」（レビ氏）としている。

　レビ氏は、不正送信阻止システムでは防御が難しい例として、承認を受けたシステムで認証された情報を悪意のある操作で送るケースを挙げた。「こうしたケースは2〜3層目で分析しきれないことがあるが、このハッキングはなりすましのような重篤な攻撃にならない」（レビ氏）という。