Wind River Blog Network 翻訳版
本サイトでは、Wind River Blog Networkの一部を翻訳し公開しております。

August 11, 2016

車載ネットワークがセキュリティ層から得られるメリット

投稿者:Tim Radzykewycz

昨年、ラスベガスで開かれたBlack Hatカンファレンスで、チャーリー・ミラー氏とクリス・バラセック氏が、ジープ・チェロキーのセキュリティ調査について報告しました。2人は遠隔操作でシステムに侵入し、通常はセーフティクリティカルとみなされないインフォテインメント機器などのシステムだけでなく、車のハンドル、ブレーキなどのセーフティクリティカルなシステムを乗っ取ることに成功しました。

ハッキングについて知ったクライスラーの親会社フィアットの対応は、見事でした。修正プログラムを用意して、インストールのために140万台をリコールしました。修正プログラムが実装されたのは、私が「境界層」と呼んでいる部分で、それによって、攻撃者がそもそもシステムにアクセスできないようにします。

その後も2人は同車の調査を続け、今年も再びBlack Hatで、新たな調査結果を発表しました。今回は、無線アクセスは対象とせず、ひとたびアクセスできたら、車をさらに自由に制御できる方法をいくつか見つけました。

フィアットの反応は前回とは違いました。同社は、今回の調査結果は車両に物理的にアクセスする必要があると指摘しています。これは事実です。昨年の修正プログラムがリモートアクセスを境界で「阻止」しているので、前回ほど心配していないようです。業界の大勢は、フィアットの切迫感のない反応に危惧を感じています。

それはなぜか。この状況に当てはまる、セキュリティでよく耳にする2つの通説を考えてみましょう。

  • どんなシステムも、十分な動機、技術、資金のある攻撃者に侵入される可能性がある。
  • 防御には、複数の独立したセキュリティの層が関わるべきである。

1つ目の通説が示唆するように、将来いつか、別の脆弱性が発見されて、攻撃者がアクセスできるようになります。現在の境界セキュリティは迂回されます。知っているかどうかに関わらず、脆弱性は存在します。問題は、攻撃者が侵入できるかどうかではなく、「いつ」なのです。

現状では、攻撃者が境界セキュリティをすり抜けられれば、車の制御を奪うことが可能です。走行中に急ブレーキや急加速を行う、速度に関係なくステアリングを操る、クルーズコントロールへの介入や設定を行うなど、路上で危険な状況を生む操作が可能になります。

ここで2つ目の通説の出番です。セキュリティを異なる層に分割してみましょう。概念上は、各層は基本的に相互に無関係です。状況によって、層に相違はありますが、以下はたたき台になるでしょう。

  • 境界:攻撃者がシステムに侵入するのを防ぐ
  • 通信:通信のプライバシーと信頼性を保つ
  • コンフィギュレーション:システムがセキュアに構成されていることを徹底
  • フォレンジック:攻撃を進行中または発生直後に発見
  • 緩和:攻撃の成否に関わらず、攻撃への対応策を知っておく
  • 阻止:攻撃者が目標を達成するのを阻止
  • セキュアな環境:ソフトウェアが認証されていることを徹底
  • サニタイズ:不要になった機密データが残留しないように徹底
  • 認証(疑似的な層):専門家によるシステムのレビューを実施

従来セキュリティといえば、まず境界のセキュリティでした。しかし、境界しか防御していないと、そこを迂回されたら、ハッキングされたシステム上で攻撃者が簡単にやりたい放題になってしまいます。先週、ミラー氏とバラセック氏が見せてくれた、ジープのようになってしまいます。
自動車の場合、通信のセキュリティも同等に重要です。インフォテインメント機器への攻撃が成功しても、攻撃者に車載CANバスにフルアクセスさせてはなりません。しかし多くの車で、CANバスは十分に保護されていません。

ここで重要なのがフォレンジックです。CANネットワークを監視することで、進行中の攻撃を発見して阻止できます。

私が阻止の層と呼んでいる部分は、攻撃し難くする技法から構成されます。たとえば、各種の強制アクセス制御(MAC)の活用などです。車には、インフォテインメント機器やタイヤ空気圧モニタリングシステム(TPMS)が実行すべきでないことが多数あります。このようなMACを実施することで、自動車の安全性が高まります。

認証については、車の設計や製造の部分で山ほどあります。セキュリティに関連するものもありますが、大半は他のことに関する認証です。

フィアットに対して公平を期すと、同社は無関心なわけではありません。セキュリティバグの報奨金プログラムを導入しており、これもすばらしい対策です。同社の返答は、攻撃には物理的なアクセスが必要だと指摘していますが、これは懸念を抱いていないということではなく、社会的な不安を煽らないように配慮しているだけかもしれません。だから、今回も同社の対応は悪くありません。とはいえ、セキュリティのプロである私としては、現在および将来の製品で同社が取り組んでいるセキュリティの他の層について、ぜひ聞きたかったと思います。

皆さんのお考えはいかがですか?