トレンド情報

ハッカー最前線レポート2018|自動運転は安全?注目の自動車セキュリティ

毎年夏にラスベガスで開催されるハッカーカンファレンスのDEF CON(デフコン)。2018年夏に取り上げられた内容やキーワードを元にした連載5回目は『自動車セキュリティ』について取り上げます。
※本記事は、2018年10月18日に公開された記事を一部再編集しております。

ICT化が進む自動車の課題

ガソリン車が登場してから130年以上が経過し、現在ではテスラをはじめとして世界中で自動運転自動車の実現に向けて開発競争が行われています。リアルタイムに物体認識を行うためにソフトウェアだけでなく、カメラの性能向上に向けた研究開発が盛んですし、ダイナミックマップなどの地図情報に関する研究開発も盛んです。

そして、それらをコントロールするソフトウェアのアップデートはインターネット経由で行うOTA(Over The Air)を前提とすべく開発が進んでいます。

自動車がハッキングされてしまうかもしれないリスク

つまり、ネットワークと繋がることが前提となるので、サイバー攻撃への備えも必要となります。そのような背景から、3年前の2015年から自動車セキュリティの啓発やセキュリティ向上に貢献することを目的として、デフコンでは「Car Hacking Village」が開催されています。

今年は前回取り上げた「ICS Village」と同様に開催スペースが大幅に拡大され、自動車が2台にバイクやIVI(in-vehicle infotainment、車載インフォテインメント)などが設置され、参加者は挙って解析やハッキングを行っている人達を囲うように見守りつつ、どういうことを行うのか興味津々の様子でした。

特にCar Hacking Village主催のコンテストへ参加するためにある日本企業は10名以上も海外出張で来ており、ある組織は数名連れだってコンテストに参加するなど、日本の組織が最も熱を入れていたという点で、デフコンの数あるVillageの中でも異色の空間となっていました。

他にもCar Hacking Villageへスポンサードしている企業主催のコンテストで日本人が優勝するなど、日本人セキュリティエンジニアが脚光を浴びる場面もあり、日本国内の複数組織が自動車セキュリティへ着目し、独自に技術を磨いている状況を知れたということも、日本では得難い情報といえるでしょう。

自動車セキュリティの2つのポイント

さて、この自動車セキュリティに取り組み技術者たちが先ず調べるポイントが2つあります。

一つはCAN(Controller Area Network)と呼ばれる自動車特有の通信プロトコルです。もう一つが、自動車の自己診断機能(On-board diagnostics、OBD)へアクセスするためのOBD2ポートです。

CAN(Controller Area Network)

自動車には多数のECU(Electronic Control Unit)と呼ばれる電子制御装置が搭載されており、その多くがCAN通信を行っています。この通信経路をCAN BUSといいます。各ECUはCAN BUSを経由して送られたCANメッセージを受信して、メッセージに記載された命令を実行します。そして、OBD2ポートからCAN BUSへ診断用のCANメッセージを送信することで、自動車の状態を把握するようなメンテナンス運用が行われています。

このCANにはセキュリティが考慮されていないという問題があり、暗号化や機能拡張といった様々な研究開発が行われていますが、現状は問題を抱えたままのCANが使われています。

OBD2ポート

過去に報告された攻撃デモの例では、OBD2ポートからCANメッセージを送り込むことで、アクセルやブレーキの制御を奪うことが可能であったり、ECUを差し替えることで挙動を外部から制御できるようにしたり、自動車を運転する上での安全を脅かすものが複数存在します。

ちなみに、何れもリコールなどを含めて対策が行われていますが、主に修理工場などでの作業が発生するため、車載インターネットが普及するにつれて、OTAによって安全にソフトウェアをアップデートする手法を現実のものとする研究開発を自動車メーカー各社は競って実施しています。

特にIVI機器は、組込LinuxやAndroidを搭載している機器もあるため、ICT環境と同様にセキュリティアップデートの仕組みを整える必要があります。

セキュリティ対策として、インターネット通信用のECUやOBD2ポートから送信されたCANメッセージは、アクセスやブレーキを制御するECUへ到達させないようにするためのゲートウェイ機能を有したECUを搭載する自動車メーカーも現れており、攻撃側と防御側であるメーカー側との技術競争が盛んに行われています。

利便性の裏に潜む陰

上記で述べたように自動車セキュリティについて、自動運転自動車時代へ向けて攻撃側と防御側で熾烈な技術競争が行われています。自動運転自動車は利便性の向上が期待されるだけに、安全面への配慮が欠かせません。

海外では、自動運転機能を搭載した自動車の事故が複数発生していますが、現時点では運転手の補助機能という位置付けを無視した結果の事故もあれば、ソフトウェアが未成熟な故に起こった事故もあります。

幸いにして、サイバー攻撃による事故の事例は報告されていませんが、今後は車載ソフトウェアのアップデートなど利便性を享受する上での責任を放棄すると、事故という闇に飲まれる時代が到来するかも知れませんので、自動運転自動車を選ぶ際には、セキュリティ面でもどういうサービスが提供されるか気をつけた方がよいでしょう。

ハッカー最前線レポート2018|制御システムもセキュリティと向き合う時代 毎年夏にラスベガスで開催されるハッカーカンファレンスのDEF CON(デフコン)で取り上げられた内容やキーワードを元にした連載4...
ハッカー最前線レポート2018|IoT機器に迫る危機 毎年夏にラスベガスで開催されるハッカーカンファレンスのDEF CON(デフコン)。今回は、第4次産業革命でも注目を集める「IoT...
この記事を書いた人

デジタルリスクラボ編集部
デジタルリスクラボ編集部の研究員が更新。
今の時代に沿った新しいリスクの解決メディア。