横浜国立大学松本教授と語る、車両サイバーセキュリティに挑む「セキュリティ確保のカギは情報収集と共有」

2022-07-13

横浜国立大学とPwCコンサルティングは現在、内閣府主導の「戦略的SIPプロジェクト」で、自動運転やコネクテッドカーのセキュリティに関する共同研究を実施しています。自動運転自動車やコネクテッドカーには大きな期待が寄せられている反面、社会実装に至るまでには克服すべきセキュリティ上の課題が山積しています。

また、今後は自動車業界におけるサイバー脅威の情報収集や脅威情報の共有手法がセキュリティ確保のカギを握ると言われています。

本稿では共同研究者である横浜国立大学大学院環境情報研究院の松本勉教授をお招きし、共同研究の内容や今後の取り組むべき課題についてお話を伺いました。（本文敬称略）

対談者

横浜国立大学大学院環境情報研究院教授
松本勉氏

PwCコンサルティング合同会社ディレクター
奥山謙

左から奥山、松本氏

地道な調査で攻撃情報を割り出す

奥山：
最初に松本研究室ではどのような研究をしているのか教えてください。

松本：
主な研究テーマは情報セキュリティです。データやソフトウェア、IoT（Internet of Things）機器やハードウェアなど、人間の社会生活全般に関係する論理的および物理的なセキュリティを幅広く研究しています。

奥山：
松本研究室とPwCコンサルティングは内閣府主導の「戦略的SIP（イノベーション創造プログラム）プロジェクト^*1」で、コネクテッドカー社会に向けた共同プロジェクトを実施しています。松本研究室ではコネクテッドカーに対するサイバー攻撃も研究していらっしゃいますね。

松本：
はい。自動運転自動車やコネクテッドカーのセキュリティ確保を目的とした、社会実装の研究を行っています。現在は、コネクテッドカーがネットワークを介してどのくらい攻撃されているかを調査しています。また、ドイツの研究機関とも協力し、外国で収集された攻撃データの分析なども実施しています。

戦略的SIPプロジェクトではコネクテッドカーに対する攻撃を調査するために、コネクテッドカー用のハニーポット^*2をPwCコンサルティングと共同開発しました。攻撃者側からは車載ネットワークシステムに見える車載機器を用意し、どのくらいの頻度でアクセスがあるのかを調査しています。

奥山：
こうした調査はITシステムなどを狙った従来のサイバー攻撃の調査手法とは異なりますよね。

松本：
そうですね。詳細な調査方法を解説すると、攻撃者に手の内を晒すことになりますから割愛しますが、そのアプローチは異なります。車載機器を狙った攻撃の実態を調査する場合、まずは攻撃対象となる機器の情報を収集します。具体的には機器を開発しているベンダーが製品関係者ないし一部の購入者に対してのみ公開している製品管理用の情報提供サイトを探します。

こうやって集めた情報を整理し、インターネットに接続された車載機器の中から、実際に外部からアクセス可能な機器を探します。ここでは、ツールを駆使して無防備な機器を検索したり、ネットワークトラフィックをキャプチャし、そこでやり取りされている用語や記号などを分析したりして調査の幅を拡大していきます。そうして収集した情報を集約し、さまざまな角度から分析していくことで、車両機器を狙った攻撃が発生しているのか判明するのです。

奥山：
地道な調査を重ねているのですね。

松本：
近年、IoTセキュリティは注目されていますが、研究者は非常に長い期間をかけてIoT機器の脆弱性を研究し、警鐘を鳴らしてきました。その典型例は、Telnet^*3という古いプロトコルが現在でも利用されているという問題です。

40年以上前から利用されているTelnetは通信を暗号化しないプロトコルで、パスワードさえ突破できれば機器に侵入できてしまいます。セキュリティ意識が低いユーザーは「0123」や「admin」といったパスワードを使用する傾向があるので、突破は簡単です。さらに、IoT製品は十年単位で利用され続けます。実際、サポート期限が切れていたり販売ベンダーが倒産していたりする機器がネットワーク上に数多く存在しています。先に紹介した手法はそうしたデバイスを調査する目的で実施していたものがベースでしたが、今回それを車載システムに応用し、一定の成果が出せたと考えています。

横浜国立大学大学院環境情報研究院教授松本勉氏

攻撃の可能性がある技術を先手で研究

奥山：
話は前後するのですが、松本先生が車両セキュリティに興味を持たれたきっかけを教えていただけますか。

松本：
自動車に搭載されているシステム（車載システム）とITシステムはさまざまな部分が異なります。ですから、最初は両システムの違いに興味を持ちました。自動車には複数のコンピュータが備わっていますから、それぞれがどのような役割を果たし、そこにどのような脆弱性が存在し、どのような攻撃が成立するかを知りたかったのです。

たとえば、自動車の「走る・止まる・曲がる」といった基本機能はECU（Electronic Control Unit：電子制御装置）が制御しており、それぞれが車載ネットワークのCAN（Controller Area Network）で相互連携しています。CANはエンジンやモーターから発生する電磁ノイズへの耐性や確実なレスポンス性能といった、走行に対する安全性につながる信頼性は厳しく追求しています。しかし、外部ネットワークへの接続は想定されていなかったので、サイバー攻撃に対しては脆弱なのです。

奥山：
確かにこれまでの車載システムは「外部から攻撃される」ことを前提に構築されていません。

松本：
ただし、「外部ネットワークと接続しないからサイバー攻撃対策は必要ない」と考えるのは間違いです。車両には車載システムをメンテナンスするOBD（On Board Diagnostics：車載故障診断）接続用のコネクタを標準で備える必要があり、そのOBDは悪用される恐れがあります。

自動車をメンテナンスする際にはOBD専用のコネクタに診断器を接続します。そこで、正規の診断器ではなく、攻撃者が用意したツールを接続することで攻撃が可能となる恐れがあります。たとえば、一時的に車両に乗り込むことができた攻撃者が、意図的に不正なプログラムをCANに仕込み、ECUのプログラムを書き換える、といった攻撃が有りえます。その結果、きちんとセキュリティ上の対策がとれていない場合はECUが本来とは異なる働きをして、人命に関わる大事故が発生する可能性もあるのです。

さらに自動運転自動車やコネクテッドカーが普及すれば、車両にはこれまで以上の機能が備わり、車載システムは複雑化し、かつ、「アタックサーフェス」は増加します。たとえば、自動運転自動車には車間距離や周囲の障害物との距離を計測するLiDAR（light detection and ranging）というセンサが備わっています。LiDARはレーザー光を照射し、物体に当たって跳ね返ってくるまでの時間を計測してその距離や方向を測定する仕組みです。このとき、外部から別のレーザー光線を照射すると、LiDARは距離の測定や物体検出ができなくなり、誤作動を起こしてしまいます。実際、この攻撃が成功することは、複数の研究者が報告しています。

奥山：
なるほど。そうした攻撃はITシステムにマルウェアを送り込むようなサイバー攻撃とは異なりますが、自動運転自動車にとっては脅威ですね。

松本：
現時点でLiDARを悪用した攻撃の実被害は報告されていません。また、LiDARに対する攻撃はさまざまな条件が整わないと行えないので、「まだ脅威ではない」と主張する人もいます。しかし、どのような攻撃手法でも最初は「理論上は可能だが実際は無理」ですが、時代が進むとすぐに実際の脅威になります。攻撃の可能性がある技術は先手で研究し、攻撃できないようにしていかなければなりません。

ITシステムに対する攻撃も車載システムに対する攻撃も、守る側と攻撃する側とのいたちごっこの側面があるのかもしれません。しかし、守る側が安定して上回るようになることが理想だと考えており、それは難しいが可能なことだと予測しています。

PwCコンサルティング合同会社ディレクター奥山謙

攻撃情報共有の難しさとは

奥山：
次にPwCコンサルティングとの共同研究について感想を聞かせてください。PwCコンサルティングは自動運転自動車やコネクテッドカーに対する脅威情報の収集方法や、収集した情報の共有方法などを研究しています。こうしたPwCコンサルティングの取り組みを、松本先生はどのようにご覧になっていますか。

松本：
脅威情報の収集はサイバーセキュリティ対策の第一歩ですから、とても有意義な研究だと思います。今後の課題は、収集した情報を自動車業界の方たちに対してどのように提供し、共有してもらえる枠組みを構築するかでしょう。受け取る側は「Japan Automotive ISAC」（J-Auto-ISAC）^*4になると思いますが、いくつかのハードルがあると考えます。

J-Auto-ISACの会員各社は、お互いのビジネスが競合しているケースもありますが、「競争領域」と「協調領域」を明確にすみ分け、加盟各社どうしの信頼関係を構築することが重要です。そのためには、フェイス・ツー・フェイスの会合でお互いの人となりを理解し、自動車業界全体でサイバー攻撃に対峙できる枠組みを作らなければなりません。

この点に関連して、奥山さんにお伺いしたいのですが、情報共有の方法としてどのような提案をしていますか。おそらくSTIX（Structured Threat Information eXpression：脅威情報構造化記述形式）^*5を用いていると拝察しますが……。

奥山：
実を言うと、情報共有の具体的な方法を提案するまでには至っていません。その背景には、車両システムはOEMを頂点として複数のサプライヤーがかかわる構造で開発されているという実態があります。脅威情報や脆弱性情報を共有する場合でも、セキュリティ体制の整った企業から、これから体制を強化していく会社まで、さまざまな状況にある企業を考慮して情報共有の方法を検討する必要があります。このため、単に先進的で効率的なだけでは、提案しても、自動車業界で使えないものになってしまうのです。こうした状況に対してPwCコンサルティングは、情報共有の手法や道筋を確立し、STIXなど効率的な方法での情報共有の取り組みを進めていきたいと考えています。

とはいえ、J-Auto-ISAC側の状況も理解しているつもりです。PwCコンサルティングは未来を見据えた長期的な視点で研究をしていますが、今すぐに必要なものではありません。「激動の変革期」と言われている現在の自動車業界では、目の前の課題に対応するだけで手一杯です。PwCコンサルティングの役割は、サイバー攻撃情報が必要になった時に、すぐに提供できるように準備しておくことです。

松本：
地道ですが大切な作業ですね。こうした「粘り強くコミュニケーションする」というスキルは、サイバーセキュリティの領域で非常に重要だと考えます。今回PwCコンサルティングと共同研究をして勉強になったのが、コンサルタントの方々のコミュニケーション能力の高さです。コンサルタントという職業柄、どんなクライアントに対しても丁寧、かつ分かりやすい言葉でコミュニケーションをし、相手が理解できるように物事を説明する。忍耐強いなぁと、感心します。

奥山：
ありがとうございます。逆に私たちは、アカデミアの方たちから研究テーマの設定や取り組み方を学ばせてもらいました。

松本：
PwCコンサルティングにはさまざまな業務分野の専門家が揃っていらっしゃいます。奥山さんを含め、特定分野でキャリアを積み、専門知識を持っている方が多いですよね。自動車会社やセキュリティベンダーから転職した方もいます。そうした方々が1つのチームになってクライアントの課題解決に臨むという姿勢は、堅牢なセキュリティ対策を実施するうえで有用だと考えます。

セキュリティエバンジェリストを増やしたい

奥山：
最後に将来の展望として、今後、松本先生が取り組みたいテーマを教えてください。

松本：
セキュリティの必要性を世の中に幅広く知ってもらうため、「セキュリティエバンジェリスト」を増やしたいと考えています。優れたセキュリティ技術は次々と登場していますが、「優れている＝使える」とはかぎりません。たとえば、すばらしい暗号化技術は数多くありますが、実用化されている技術は限定的です。その背景には、そうした技術の価値が正しく伝わっていないという課題があります。

ですから、「難しいことを分かりやすく伝えられる」「真っ当な方法で正しい知識を分かりやすく説明できる」というスキルを持ったエバンジェリストを増やしていく必要があります。IT企業のセキュリティ担当者の中には自社製品を売り込むために、セキュリティ脅威を誇張して説明する人もいます。しかし、それでは正しいセキュリティの知識は世の中に広がりません。

奥山：
僭越ですが、PwCコンサルティングはその部分で協力できると自負しています。私たちは特定ベンダーの製品を販売しておらず、中立な立場でクライアントを支援します。最新技術の研究や理論上可能なセキュリティ脅威と攻撃の可能性といった領域は研究者の方々に示していただき、それをビジネス側に分かりやすく説明をする。その役割をPwCコンサルティングが果たしていけると嬉しいです。

今回、先生と共同研究できていることはPwCコンサルティングにとって大きな糧となっています。「研究」と「ビジネス」という目的は異なりますが、さまざまな視座を持った人たちが協力して知恵を出し合うことで、社会を正しい方向に向けてよりよい未来を構築することが理想的だと考えます。本日はありがとうございました。

^*1 戦略的SIPプロジェクト
内閣府総合科学技術・イノベーション会議が司令塔機能を発揮し、科学技術イノベーション実現のために創設した国家プロジェクト。
https://www8.cao.go.jp/cstp/gaiyo/sip/sipgaiyou.pdf

^*2 ハニーポット
攻撃を受けやすいように設定した機器をおとりとしてネットワーク上に公開し、攻撃者のアクセス情報を収集する方法。
^*3 Telnet
ネットワークに接続された機器を遠隔操作するために使用するアプリケーション層プロトコル。認証も含めたすべての通信を暗号化せずに送信するため、セキュリティ上の脆弱性が指摘されている。

^*4 J-Auto-ISAC
主に自動車に関わるサイバーセキュリティ情報の収集・分析を実施する組織。

^*5 STIX
サイバー攻撃活動を記述するための仕様。サイバー攻撃活動（Campaigns）・攻撃者（Threat Actors）・攻撃手口（TTPs）・検知指標（Indicators）・観測事象（Observables)・インシデント（Incidents）・対処措置（Courses of Action）・攻撃対象（Exploit Targets）の8つの情報群から構成される。
https://www.ipa.go.jp/security/vuln/STIX.htm