自動車に特化した脅威マトリクスとしての活用に期待が寄せられるAutomotive Threat Matrix

はじめに

UNR-155の施行により、自動車の脅威に対するリスク評価と対策技術の検討は必須となっています。また、自動車に対する攻撃事例や脆弱性はさまざまなカンファレンスで毎年発表されており、開発中だけでなく、リリース後も継続的なモニタリングおよび自社製品への影響評価、対策を検討することが望ましいです。

本稿では、脅威分析やリスク評価、セキュリティテストなどさまざまな用途での活用が期待できる「Automotive Threat Matrix」について、その特徴や「MITRE ATT&CK」との違い、活用イメージについて紹介します。

Automotive Threat Matrixとは

Automotive Threat Matrix （以下、ATM）とは米Automotive-ISACが公開した、MITRE ATT&CK（以下、ATT&CK）同様に、検証済みのインシデント事例や再現性のあるエクスプロイト事例に基づいて、攻撃者目線における13のTactics（以下、戦術）と72のTechnique（以下、攻撃手法）を整理・列挙した、自動車に特化したマトリックスです。また20のインシデント事例やエクスプロイト事例が、関係する攻撃手法の中で紹介されています。

ATT&CKとの差異

ATT&CKでは、「Enterprise」「Mobile」「ICS」のそれぞれが各ドメインに併せて独自の戦術定義を持っていますが、ATMでも13の戦術のうち「Manipulate environment」と「Affect vehicle function」が特有の定義となっています。「Manipulate environment」はその名称のとおり、センサーや周辺の通信機器に関する、自動車が認識・通信する外部環境を利用した攻撃手法が定義されており、運転支援機能（ADAS）や自動運転車両に対する攻撃に考慮されたものとなっています。Affect vehicle functionはATT&CKにおける他のMatrix（以下、マトリクス）での「Impact」に相当する定義ですが、自動車においては走る・曲がる・止まるなどの機能への影響が最も重大なリスクである点から、明確に定義されているものと考えられます。

また、攻撃手法についても72の攻撃手法のうち、大部分はATT&CKから転用していますが、以下27の攻撃手法はATM特有のもの^※となっています。

※各攻撃手法の説明にATT&CKへのリンクがないものをATM特有と判断しています。

戦術	攻撃手法
Manipulate environment, Affect vehicle function	Adversarial machine learning
Manipulate environment	Relay communications
Manipulate environment	Analog sensor attacks
Initial access	Physical modification
Initial access, Command and control, Exfiltration	Aftermarket, customer, or dealer equipment
Persistence	Abuse UDS for collection
Persistence	Disable software update
Persistence	Abuse UDS for persistence
Privilege escalation	Exploit co located computing device for privilege escalation
Privilege escalation	Reprogram co located computing device for privilege escalation
Privilege escalation	Hardware fault injection
Defense evasion	Bypass mandatory access control
Defense evasion	Bypass code signing
Defense evasion	Bypass UDS security access
Lateral movement	Abuse UDS for lateral movement
Lateral movement	Bridge vehicle networks
Lateral movement	Reprogram ECU for lateral movement
Collection	Access vehicle telemetry
Command and control	Receive only communication
Command and control, Exfiltration	Cellular communication
Command and control, Exfiltration	Internet communication
Command and control, Exfiltration	Short range wireless communication
Affect vehicle function	Unintended vehicle network message
Affect vehicle function	Modify bus message
Affect vehicle function	Local function
Affect vehicle function	Abuse UDS for affecting vehicle function
Affect vehicle function	CAN bus denial of service

上記の攻撃手法には、Bypass UDS security accessのように車載機器で用いられる診断機能を悪用する手法など自動車に特化したものもあれば、Hardware fault injectionのように自動車に限らない製品一般に適用可能なものも含まれています。後者を含め、CANやECUといった文言を用いて、車載機器における攻撃方法がイメージしやすく整理されています。

また特定の攻撃手法については、車載機器に対する過去事例における悪用例が紹介されており、詳細理解の助けとなります。

なおATMは、ATT&CKと比較して、各攻撃手法に緩和策や検知方法の情報が含まれていません。これは自動車のアーキテクチャがメーカーおよび車両モデルごとに異なることによる、プラットフォームの多様性が影響しているものと考えられます。ただし上述のように72の攻撃手法のうち、大部分はATT&CKから転用しています。これらはATT&CKを参照すれば緩和策や検知方法が分かります。

その一方で、27の攻撃手法については緩和策や検知方法の情報が存在しないため、車載機器や車載通信などの自動車特有の環境を理解したセキュリティの専門家が考える必要があります。

ATMの活用イメージ

ATMは、ATT&CK同様に攻撃者目線でのシナリオを表現することができ、自社製品に対するアセスメントや対策検討、ペネトレーションテストのシナリオ作成に役立てることができます。また、整理された戦術と攻撃手法の組み合わせによる表現は、利用者間において共通のものとなるため、情報共有もしやすくなります。

ATM公式ページでは、活用方法として以下のようなユースケースを挙げています。

Threat and risk assessment modeling
Intelligence sharing
Attack trend analysis
Incident response
Compliance reporting
Penetration test execution

マトリクスを利用した攻撃パスの可視化

ATM公式ページの「Resource」よりダウンロード可能なJSONデータによると、ATMでは20件の事例のうち、3件に攻撃手法が割り当てられています。以下は、事例に割り当てられている攻撃手法をマトリクス上でハイライトした結果です。

こうすることで、攻撃者がどのような戦術、攻撃手法によって目的を達成したのかをイメージすることができます。また、JSONデータ内の項目に記述されている内容を確認することで、攻撃手法に対して具体的にどのようなアクションをとったのかを補足的に把握することができます。

情報共有への活用

ATMは利用者間における共通の表現であることから、情報共有もしやすいという利点があります。情報共有を行うための仕組みとしては、脅威情報の記述言語であるSTIXがよく知られています。

MITREは、ATT&CKコンセプトとSTIXのオブジェクトタイプの対応を次のように定義しています。

ATT&CKコンセプト	STIXオブジェクトタイプ	独自拡張（custom type）かどうか
Matrix	x-mitre-matrix	yes
Tactic	x-mitre-tactic	yes
Technique	attack-pattern	no
Sub-technique	attack-pattern where x_mitre_is_subtechnique = true	no
Procedure	relationship where relationship_type = "uses" and target_ref is an attack-pattern	no
Mitigation	course-of-action	no
Group	intrusion-set	no
Software	Malware or tool	no
Collection	x-mitre-collection	yes
Data Source	x-mitre-data-source	yes
Campaign	campaign	no
Asset	x-mitre-asset	yes

これらの詳細な仕様はMITRE ATT&CKの公式リポジトリで確認、ダウンロードすることができます。

最後に

ATMは自動車に特化した脅威マトリクスとして、ATT&CKのコンセプトを踏襲しつつ同様の感覚で利用することができ、脅威・リスク分析（TARA）や脅威情報の共有、ペネトレーションテストを行う際のシナリオ作成などで活用することが期待できます。

WP29 CSMS対応ツール活用メリットを2分で解説

自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System（CSMS）支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。

詳細はこちら

車両サイバーセキュリティの未来

車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。

詳細はこちら