ハンズオンセミナー「 ADAS 車両の CAN バスを介するサイバー攻撃実証とその対策」その内容は…広島市立大学 井上准教授インタビュー 2ページ目 | ScanNetSecurity
2024.04.27(土)

ハンズオンセミナー「 ADAS 車両の CAN バスを介するサイバー攻撃実証とその対策」その内容は…広島市立大学 井上准教授インタビュー

イードが実際のADAS車両を使ったCANバス解析のハンズオンセミナーを開催する。国内で実車を使ったハンズオンは珍しい。セミナーでは、CANバスのパケットを解析し、ADAS機能に設定データを注入するというもの。

研修・セミナー・カンファレンス セミナー・イベント
「(海外で行われるトレーニングと)ほぼ同じ内容を一日のハンズオンセミナーにまとめようと思っています」 インタビュー中にテーブルの上で仮想の自動車を指で走らせる 広島市立大学 准教授 井上 博之 氏
「(海外で行われるトレーニングと)ほぼ同じ内容を一日のハンズオンセミナーにまとめようと思っています」 インタビュー中にテーブルの上で仮想の自動車を指で走らせる 広島市立大学 准教授 井上 博之 氏 全 2 枚 拡大写真
自動車の不正な遠隔操作については、先ほどのジープのように、世界中のメディアが報じていますが、把握している範囲ではどれも実験や PoC であり、その技術で実際に事故が起きたとか車両から情報が抜かれたという話はないと思います。現実問題としては物理的な盗難対策のほうが重要な状態です。リモコンキーの微弱電波を中継する機器が中国で売られていたりしてます。電波を双方向で中継できれば、キーが近くになくてもドアロック解除とエンジン始動が可能です。

――現実的な問題として自動車のハッキング被害はまだ気にする必要がないということですか?

現状で被害が起きていないというだけで、コネクテッドカーや自動運転カーの普及は攻撃のリスクを高めているのは事実です。対策をしなくていいということではありません。

――メーカーやサプライヤーではどのような対策が進められているのですか。

短期的なアプローチでは「CAN バスの通信の暗号化とメッセージ認証の導入」「外部ネットワークや診断コネクタと内部バスの間へのゲートウェイを置く」2つの動きがあります。暗号化やメッセージ認証は、現状の CAN の仕様が 8 バイトしかパケットを扱えないので、そもそも暗号化や認証コードを追加する余地がないという問題があります。そのため、トヨタなどはプロトコルそのものを上位のもの(CAN-FD)に変えようとしています。CAN-FD なら 16 ~ 32 バイトのパケットが扱えます。

ゲートウェイは、セキュリティ対策というより内部バスを分割する目的で以前から導入しているメーカーがあります。たとえばテスラは内部バスとして CAN とイーサネットを 2 系統持っているので、間にゲートウェイが必要です。ホンダや三菱などもバス速度が違う CAN を実装していたりでゲートウェイを持っています。現在は、コネクテッドカーを意識して、ナビや IVI、ADAS システム、ECU、OBD II(診断コネクタ)などをゲートウェイで分割し、外部と内部の分割、内部制御モジュールごとにセグメント化するメーカーが増えています。トヨタは 2017 年末から、アーキテクチャを統一し、アクアやヴィッツなど大衆車にもゲートウェイを実装しました。

ちなみに、ジープの遠隔操作はネットワーク越しに行われたため話題になったのですが、通信モジュールのためのルータ機能を持っていました。通常はここで不正侵入は制御できるのですが、ECU のファームウェアの書き換えを行うため ECU との接続に脆弱性があったため、侵入されました。

――長期的なアプローチではどんな取り組みがあるのでしょうか。

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  3. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  7. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  8. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  9. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  10. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

ランキングをもっと見る