仮想空間を活用したコネクテッドカーに対するハッキングコンテスト開催 ~CTF for Connected Carsからの示唆

2022-07-01

1.コネクテッドカーのサイバーリスク

コネクテッドカーや自動運転が身近なものになりつつありますが、それに伴い、コネクテッドカーに対するサイバー攻撃の脅威は増大しています。

コネクテッドカーに対する攻撃は自動車単体にとどまらず、常時稼働しているコネクテッドサービスもターゲットとなります。コネクテッドサービスは多数の車両に関わっているため、攻撃が成功した際には大規模かつ多数の自動車あるいは車両オーナーに被害がおよぶ可能性があります。

自動車そのものはいわばICS(産業制御システム)に近いものですが、コネクテッドサービスを提供するコネクテッドサーバーはITシステムとなっています。そこに多くのITシステムと同様にインターネット経由でアクセスできる個人情報や自動車に関する情報などが蓄積されています。

コネクテッドサーバーへの攻撃は技術的にはITシステムへの攻撃とほぼ同じと考えることができますが、被害内容や社会への影響は一般のITシステムよりも大きくなることが想定されます。そのため、ITシステムへの攻撃とコネクテッドサーバーへの攻撃を判別する必要があります。

コネクテッドサーバーを介してのコネクテッドカーに対する攻撃可能性を検証するため、車両を含むコネクテッドシステムの攻撃検証用システムを用意し、CTFを実施しました。

結果からわかったこと

単体の脆弱性によるリスク判断では不十分で、複数の脆弱性を組み合わせることで有効な攻撃を行える可能性があります。今回見つかった単体の脆弱性のうち2番目と3番目を組み合わせることで、他者のパスワードに対して無制限にログインを試みることが可能になります。

ITシステムへの攻撃方法のみの知見でも自動車への攻撃は可能であることがわかりました。脆弱性の発見に用いられた手法は車に特化したものではなく、一般的なウェブサーバーへの攻撃でも用いられるものでした。また、発見された脆弱性も同様です。ここからさらに車両の制御を奪うには、車に特化した知識が必要となりますが、コネクテッドサーバーを攻撃する範囲では一般的なウェブサーバーへの攻撃知識があれば足りることがわかりました。このことはコネクテッドカーの普及によって攻撃者の裾野が広がることを意味しています。

イベント後に一部の参加チームとディスカッションしたところ、主宰者側が用意したダミーデータが有効であったことが確認できました。このことから攻撃者を罠に誘導(ディセプション)、ハニーポッドを設置するなどの対策が有効である可能性があることがわかりました。また、対策効果は、ハッカーとの情報交換が重要となります。

CTF for Connected Cars イベント結果

3.コネクテッドカーセキュリティを推進する上で重要な3つの視点

コネクテッドカーのセキュリティを考えるにあたって、次の3つの視点が必要になると考えます。

1.車とITの融合

コネクテッドサービスは、インターネット上のウェブサービスを介して車両操作・機能を提供しています。そのため、既存Web・ITに関するセキュリティの知見と、車両に関するセキュリティの知見の双方が必要となります。車載セキュリティ組織とITセキュリティ組織の有機的な連携が不可欠となります。

一般的にITとICS/OTの間には技術そのものだけでなく、文化的な壁があることによって統合的な体制をとりにくいことがわかっています。コネクテッドカーは、このふたつが融合して実現されているサービスのためふたつの技術と組織の統合的体制が課題となります。

車と ITの融合

2.被害の制御

コネクテッドサーバーはインターネットに接続されているため、ランサムウェアなどの脅威に常にさらされることになります。最近はIAB(イニシャル・アクセスブローカー)や攻撃に必要なリソース(ゼロデイ脆弱性、攻撃ツール、アクセスなど)を提供するquartermasterの影響力も拡大しており、コネクテッドサーバーがこれらのターゲットになる可能性は低くありません。

こうした攻撃を完全に防御することは不可能であり、被害を最小限に制御することが現実的と言えます。そのために多層防御(図の上の流れ)やディセプション技術(図の下の流れ)等で、「攻撃の遅滞化」や「被害の局所化」を行い、車両に被害が及ばないようにします。

ディセプションでは攻撃者をダミーの車両に誘導するだけではなく、攻撃が成功したと錯覚させ、ダミー環境に攻撃者を長く留まらせる事がポイントで、その結果として実環境への攻撃を遅らせることが期待されます。

被害の 制御

3.攻撃手法の収集

サイバー攻撃は日進月歩であり、車両に到達する新たな攻撃手法の出現は必然です。業界全体として取り組み、共有し、対策を講じることが重要になってきます。

くわえて未来の脅威に備えるためには、最先端ホワイトハッカー・研究者との対話や継続的な最新情報収集・理解の取り組みが必要です。

攻撃手法の 収集

脆弱性情報や、脆弱性を悪用した攻撃に関する脅威情報は、各企業が個別に収集や分析をするだけではなく、自動車業界全体で活用できるよう発信・共有していく事が今後の課題です。

執筆者

和栗 直英

シニアマネージャー, PwCコンサルティング合同会社

Email


脆弱性管理の実効力を高めるSBOM

10 results
Loading...

欧州サイバーレジリエンス法~製造業が今すぐに取るべき対策~

欧州サイバーレジリエンス法(CRA)は、デジタル要素を含む製品のサイバーセキュリティを強化するための規則です。対象製品は規則に準拠していることを示すCEマークが必要となります。本稿では、製造業者が対応すべきCRAの法令要件の範囲やCEマーク利用のための適合性評価の流れを解説します。

製品サイバーセキュリティ実態調査~サプライチェーン上流と下流で異なる課題:企業を跨いだ業界全体でのPSIRT活動が重要

PwCコンサルティング合同会社は2022年5月、製品サイバーセキュリティを推進している企業を対象に、セキュリティ対策状況に関する調査を実施しました。本稿では調査結果を基に、製品サイバーセキュリティの現状と今後求められる製品サイバーセキュリティ施策について解説します。

Loading...

インサイト/ニュース

20 results
Loading...

サプライチェーン・デジタルリスク実態調査:サプライチェーンを脅かすデジタルリスクに企業はどう立ち向かうべきか

サイバー攻撃の増加により、企業はサプライチェーン全体のセキュリティ対策を強化する必要に迫られています。本稿では、サプライチェーンのデジタルリスクとその対策について、経営層80名、セキュリティ部門200名を対象とした実態調査結果をもとに解説します。

『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方

2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。

CxOプレイブック:サイバーセキュリティレジリエンスにおけるギャップの解消 「Global Digital Trust Insights 2025」調査結果より

AIやクラウド技術の進歩に伴いアタックサーフェスの拡大が続き、規制環境も常に変化しています。PwCが77カ国のCxOを対象に実施した本調査によると、サイバーセキュリティレジリエンスを構築するにあたり、企業には解消すべきギャップがあることが分かりました。

Loading...