CANバスセキュリティ：接続された車両における見えないサイバーセキュリティの戦い

現代の車両におけるデジタル接続の統合が進む中、サイバーセキュリティの重要性が高まっています。特に、コントローラーエリアネットワーク（CAN）バスシステムにおいてはその重要性が顕著です。

元々、電子制御ユニット（ECU）間の効率的な通信のために設計されたCANバスは、組み込みのセキュリティ対策が欠如しており、サイバー脅威の主要な標的となっています。

本論文では、CANバスの脆弱性、認証と暗号化の欠如、サービス拒否攻撃やリプレイ攻撃への脆弱性、無線接続によってもたらされるリスクの増大について探ります。

これらの課題に対処するために、侵入検知および防止システム（IDPS）、メッセージ認証と暗号化、安全なゲートウェイ、ネットワークセグメンテーション、セキュアブートメカニズムを組み込んだ多層的なCANバスセキュリティアプローチを提案します。

この研究の重要な貢献は、異常検知のための深層ニューラルネットワークの分析であり、これにより悪意のある活動をリアルタイムで特定できます。

さらに、車両内通信を保護するための暗号認証と軽量暗号化技術の有効性を検討します。

調査結果は、AI駆動のセキュリティソリューション、ポスト量子暗号、ブロックチェーンベースの保護を強調し、進化する攻撃ベクトルに対抗するための積極的なサイバーセキュリティ戦略の重要性を示しています。

これらの防御策を実施することで、自動車産業は車両の安全性を高め、データの整合性を保護し、ますます接続された環境における消費者の信頼を強化できます。

はじめに：接続された車両における見えない脅威

車両が高度なデジタルマシンへと進化する中、自動車産業におけるサイバーセキュリティの重要性はかつてないほど高まっています。

コントローラーエリアネットワーク（CAN）バスは、元々電子制御ユニット（ECU）間の車両内通信を簡素化するために開発されましたが、サイバー脅威の主要な標的となっています。

その車両機能の管理における効率性は否定できませんが、組み込みのセキュリティプロトコルが欠如しているため、現代の車両は新たな種類のサイバー攻撃に対して脆弱です。

サイバー犯罪者は、CANネットワークの弱点をますます悪用しており、車両の安全性、データの整合性、消費者の信頼を脅かしています。

接続された自動運転車両の急速な普及に伴い、CANバスの脆弱性を理解し、最先端の保護メカニズムを実装することはもはや選択肢ではなく、必要不可欠です。

なぜCANバスセキュリティが重要なのか

CANバスセキュリティは、現代の車両がエンジン制御やブレーキシステムからインフォテインメントや運転支援機能までを管理するためにこのプロトコルに依存しているため、非常に重要です。

侵害されたCANバスは、意図しない加速、ブレーキの故障、車両のリモートハイジャックなど、壊滅的な結果を招く可能性があります。

2015年の悪名高いジープ・チェロキーのハッキングは、攻撃者が車両の機能をリモートで操作できることを示し、業界がCANセキュリティを優先するきっかけとなりました。

MillerとValasek（2015）の研究は、CANバス攻撃が操舵やブレーキの不具合を引き起こす可能性があることを示しており、これは単なる理論的リスクではなく、現実の脅威であることを証明しています。

Vehicle-to-Everything（V2X）通信、Over-the-Air（OTA）アップデート、クラウド接続されたフリート管理の台頭に伴い、車両の攻撃面が拡大しています。

PetitとShladover（2014）の研究は、無線攻撃ベクトルがリモートCANバスの悪用の可能性を大幅に高めることを示しており、従来のセキュリティ仮定を時代遅れにしています。

CANバスの脆弱性：深掘り

効率性にもかかわらず、CANプロトコルはサイバーセキュリティを考慮して設計されていませんでした。主な脆弱性のいくつかは以下の通りです：

1. 認証と暗号化の欠如

現代の通信プロトコルとは異なり、CANバスメッセージには認証メカニズムが欠如しており、ネットワーク上の任意のECUが検証なしにメッセージを送受信できます。

攻撃者は、無許可の物理的またはリモートアクセスを悪用して悪意のあるコマンドを注入し、安全性が重要な機能を上書きする可能性があります。

WooとKim（2015）の研究は、メッセージ認証コード（MAC）を追加することでスプーフィング攻撃を防ぐことができることを示していますが、帯域幅の制約により実装は依然として課題です。

2. ブロードキャスト通信モデル

すべてのECUが同じバスを共有し、送信されたすべてのメッセージを受信するため、単一の侵害されたノードが車両の挙動を操作できます。

Checkowayら（2011）の研究は、インフォテインメントシステムを侵害することでCANネットワーク全体に横移動が可能になることを発見しました。

3. サービス拒否（DoS）攻撃

一般的なCANバス攻撃には、高優先度メッセージでネットワークを洪水させ、システムを圧倒し、正当な信号をブロックすることが含まれます。

Choiら（2018）の研究は、DoS攻撃がエアバッグの不具合、ブレーキの故障、ダッシュボードの異常を引き起こす可能性があることを示しました。

4. リプレイ攻撃

攻撃者は有効なCANメッセージをキャプチャし、後で再送信することができるため、車両は正当なコマンドと不正なコマンドを区別するのが難しくなります。

GrollとRieke（2019）は、リプレイ攻撃を軽減するために暗号的タイムスタンプを提案していますが、実際の実装には計算オーバーヘッドの課題があります。

5. リモート悪用と無線攻撃面

Wi-Fi、Bluetooth、セルラー通信の統合により、物理的アクセスを超えた攻撃ベクトルが拡大しています。

Koscherら（2010）の研究は、無線接続がCANバスコマンドをリモートで注入するために悪用される可能性があることを確認しており、強化されたゲートウェイセキュリティの必要性を示しています。

CANバスのセキュリティ：現在と未来

これらの脆弱性に対抗するために、業界のリーダーはハードウェアとソフトウェアのセキュリティ戦略を組み合わせた多層的アプローチを展開しています。

1. 侵入検知および防止システム（IDPS）

シグネチャベースの検出は、侵入検知および防止システム（IDPS）で使用される基本的な技術であり、自動車CANネットワークにおける既知のサイバー脅威を特定します。

この方法は、悪意のある活動に関連する独自のパターンを持つ事前定義された攻撃シグネチャのデータベースに依存しています。

CANバストラフィックが監視されると、システムは各メッセージをこれらの保存されたシグネチャと比較して、リアルタイムで疑わしい活動を検出し、フラグを立てます。

深層ニューラルネットワーク（DNN）による異常検知は、コントローラーエリアネットワーク（CAN）の脆弱性に特化して設計された高度な方法です。

CANバスには認証や暗号化といったネイティブなセキュリティ機能が欠如しているため、ランサムウェア攻撃を含むサイバー脅威に非常に脆弱です。

これに対処するために、Zhouら（2019）の最近の研究は、CANバスメッセージのリアルタイム異常検知のために深層ニューラルネットワークを活用する革新的なシステムを提案しました。

この方法では、CANバスデータパケットのシーケンスが同時に処理されるクロスドメインモデリング問題として異常検知を扱います。

具体的には、データパケットは3つのグループ—アンカー（既知の正常データ）、ポジティブ（正常な運用データ）、ネガティブ（異常データ）—に整理され、共有重みトレーニング戦略を採用した深層ニューラルネットワークアーキテクチャに供給されます。

このアプローチは、元々顔認識に使用されていた埋め込みトリプレット損失関数ネットワークを利用して、これらのグループ間の距離を最適化します。

DNNは、メッセージの頻度、メッセージIDのシーケンス、ペイロードの内容など、重要な行動パターンをカプセル化したCANバスメッセージから特徴ベクトルを抽出します。

リアルタイムシナリオで展開されると、このシステムは受信するCANメッセージを継続的に監視し、学習した基準行動からの逸脱を迅速に特定します。

ランサムウェアや悪意のある操作を示す異常活動を検出すると、IDPSは即座にアラートを発し、ネットワークの隔離やECUの停止などの自動保護応答をトリガーします。

異常ベースの検出を補完するために、ネットワークセグメンテーションは、車両の内部通信インフラを孤立したセグメントに分割することでCANバスセキュリティをさらに強化します。

このアプローチは、ステアリング、ブレーキ、エアバッグなどの安全性が重要なシステムを、インフォテインメントやテレマティクスなどの非重要なシステムから分離します。ゲートウェイ電子制御ユニット（ECU）は、厳格な通信ポリシーを施行し、横移動を制限し、ランサムウェアが車両ネットワーク全体に広がるのを防ぎます。

2. メッセージ認証と暗号化

メッセージ認証は、メッセージが正当なソースから発信され、送信中に変更されていないことを保証します。ハッシュベースのメッセージ認証コード（HMAC）などの技術は、信頼性が高く効率的な解決策を提供します。

Zhangら（2021）は、HMACとTiny Encryption Algorithm（TEA）を組み合わせることで、未承認のメッセージ変更やリプレイ攻撃に対して強力なセキュリティを提供し、最小限のパフォーマンスオーバーヘッドを課すことの有効性を示しました。

さらに、物理的に複製不可能な機能（PUF）などのハードウェアベースの認証方法は、ECUのユニークな製造特性を利用して安全な暗号識別子を生成し、未承認のアクセスリスクを大幅に低減します。

暗号化は認証を補完し、メッセージの機密性を保護し、認可されたECUのみが送信されたデータを解釈できるようにします。

対称暗号化方法は、計算要求が最小限であるため、自動車用途に好まれ、リアルタイム通信に適した迅速かつ効率的なメッセージ暗号化を可能にします。

軽量暗号化および認証プロトコル（LEAP）などのプロトコルは、自動車環境向けに特別に設計されており、堅牢なセキュリティとパフォーマンス要件のバランスを取ります。

LEAPは、軽量でセキュリティ強化されたストリーム暗号アルゴリズムを活用して、同時に認証と暗号化を提供し、重要な遅延やリソース制約を導入することなく安全なCAN通信を確保します。

3. セキュアゲートウェイとネットワークセグメンテーション

ネットワークセグメンテーションは、自動車のコントローラーエリアネットワーク（CAN）バスをサイバー脅威から保護するための重要なサイバーセキュリティ戦略として浮上しています。

このアプローチは、車両の内部ネットワークを複数の孤立したセグメントに論理的に分割し、それぞれに異なるセキュリティプロトコルを適用します。

これらのセグメント間の通信を制限することで、セグメンテーションは攻撃者がネットワークを横移動する可能性を効果的に最小限に抑え、脅威の拡散を大幅に制限します。

たとえ1つのセグメントが侵害されても、セグメンテーションはブレーキ、ステアリング、安全制御などの重要なシステムを安全に保ち、運用に影響を与えないようにします。

ネットワークセグメンテーションの高度な実装は、厳格な通信ルールを施行し、リアルタイムでネットワークトラフィックを監視するゲートウェイ電子制御ユニット（ECU）を利用します。

これらのゲートウェイは、悪性または未承認の活動に対してメッセージフローを継続的に分析する専用のセキュリティチェックポイントとして機能します。

悪意のある行動が検出されると、影響を受けたセグメントの即時隔離が行われ、重要な機能が保護されます。

この方法は、サイバー脅威のエスカレーションを防ぐだけでなく、迅速な対応と回復を促進し、自動車システムの安全性と運用の整合性を維持します。

4. セキュアブートとファームウェア整合性検証

ファームウェアの整合性と真正性を確保することは、コントローラーエリアネットワーク（CAN）を潜在的なサイバー脅威から保護するために極めて重要です。

これを達成するために使用される2つの重要なメカニズムは、セキュアブートとファームウェア整合性検証です。これらのプロセスは連携して、未承認のコード実行を防ぎ、車両内システムの信頼性を維持します。

セキュアブート：信頼の連鎖を確立する

セキュアブートは、車両の埋め込みシステムが検証され、信頼されたソフトウェアのみを使用して起動することを保証するセキュリティプロトコルです。

これは、ハードウェアに埋め込まれた不変の信頼のルート（RoT）から始まる信頼の連鎖（CoT）を確立し、実行前に各ソフトウェアの層を検証します。

このプロセスは、ブートシーケンス中に悪意のあるまたは改ざんされたコードの読み込みを防ぎます。

セキュアブートの実装には：

2. 信頼のルート（RoT）：初期コードと最初の検証ステップに必要な暗号鍵を含む不変のコンポーネントで、通常は読み取り専用メモリ（ROM）に保存されます。

3. ブートローダーの検証：RoTは、非対称暗号（例：RSAまたはECC）を使用してブートローダーのデジタル署名を検証します。署名が有効であればブートローダーが実行され、そうでなければブートプロセスが停止します。

4. オペレーティングシステムとアプリケーションの検証：信頼されたブートローダーが、オペレーティングシステムとアプリケーションを同様の方法で検証し、各コンポーネントが実行前に認証されることを保証します。

この層状の検証プロセスにより、認証されたソフトウェアのみが読み込まれ、CANネットワークが潜在的なサイバー脅威から保護されます。

ファームウェア整合性検証：継続的な信頼を確保

初期のブートプロセスを超えて、ファームウェア整合性検証はランタイム中にファームウェアの整合性を継続的に監視します。これには：

• 暗号的ハッシング：ファームウェアコードのハッシュを生成し、既知の正常値と比較します。いかなる不一致も潜在的な改ざんを示します。

• デジタル署名：ファームウェアアップデートが信頼できるソースから発信され、送信中に変更されていないことを確認するためにデジタル署名を利用します。

これらの措置により、ファームウェアへの未承認の変更が迅速に検出され、CANネットワークのセキュリティが維持されます。 

自動車システムへの実装

車両におけるセキュアブートとファームウェア整合性検証の実装には、これらのメカニズムを車両内のさまざまな機能を管理する電子制御ユニット（ECU）に統合することが含まれます。この統合には：

• ハードウェアサポート：ECUは、セキュアブートと整合性チェックに必要な暗号操作を実行できるハードウェアセキュリティモジュールを備えている必要があります。

• ソフトウェアアーキテクチャ：ソフトウェアは、パフォーマンスを損なうことなくセキュアブートシーケンスとランタイム整合性検証をサポートするように設計されている必要があります。

S32G274A車両ネットワークプロセッサに関する研究は、ポスト量子セキュアブートメカニズムの実用的な統合を示し、現代の自動車システムにおけるこれらのセキュリティ対策の重要性と実現可能性を強調しています。 

結論：自動車サイバーセキュリティの未来

接続された車両の急速な進化は前例のない利便性をもたらしましたが、CANバスアーキテクチャにおける重要な脆弱性も露呈しました。

サイバー脅威がますます高度化する中、自動車ネットワークのセキュリティはもはや選択肢ではなく、必須です。

この記事で強調された研究と実際の攻撃は、積極的で多層的な防御戦略の緊急性を示しています。

AI駆動の異常検知、暗号認証、安全なゲートウェイ、規制遵守を統合することで、自動車メーカーは新たなサイバー脅威に対抗するためにCANバスセキュリティを強化できます。

技術が進化するにつれて、業界はポスト量子暗号、ブロックチェーンベースのセキュリティ、自己修復ネットワークなどの先見的なソリューションに投資する必要があります。

自動車サイバーセキュリティの未来は、製造業者、政策立案者、サイバーセキュリティの専門家との協力によって決まります。

継続的な革新と警戒を通じてのみ、私たちは明日の車両が安全で、回復力があり、信頼できるものであることを確保できます。

この高リスクのサイバーセキュリティの戦いにおいて、CANバスのセキュリティはデータを保護するだけでなく、道路上の命を守ることでもあります。

参考文献

2. Miller, C., & Valasek, C. (2015). “Remote Exploitation of an Unaltered Passenger Vehicle.”

3. Petit, J., & Shladover, S. E. (2014). “Potential Cyberattacks on Automated Vehicles.”

4. Koscher, K., Czeskis, A., Roesner, F., et al. (2010). “Experimental Security Analysis of a Modern Automobile.”

5. Woo, S., & Kim, J. (2015). “A Practical Message Authentication Code for CAN Bus Security.”

6. Choi, W., Woo, S., & Kim, Y. (2018). “Denial-of-Service Attacks on CAN Networks.”

7. Dorri, A., Kanhere, S. S., Jurdak, R., & Gauravaram, P. (2017). “Blockchain for IoT Security and Privacy.”

8. Thiruloga, S., Kukkala, V. K., & Pasricha, S. (2021). “AI-Based Anomaly Detection in Automotive Networks.”

9. Zhou, Aiguo & Li, Zhenyu & Shen, Yong. (2019). Anomaly Detection of CAN Bus Messages Using a Deep Neural Network for Autonomous Vehicles.

10. Zhang, et al. (2021). “Authentication Method Combining HMAC-SHA256 with Tiny Encryption Algorithm for CAN Bus Security.” SAE International.

11. Siddiqui, et al. (2017). “Secure Communication over CAN Bus: A PUF-Based Mutual Authentication Framework.” ResearchGate.

画像出典

• 画像1出典：Emad Aliwa, Omer Rana, Charith Perera, and Peter Burnap. 2021. Cyberattacks and Countermeasures for In-Vehicle Networks. ACM Comput. Surv. 54, 1, Article 21 (January 2022), 37 pages. https://doi.org/10.1145/3431233

• 画像2出典：Zhou, & Li, & Shen,. (2019). Anomaly Detection of CAN Bus Messages Using A Deep Neural Network for Autonomous Vehicles. Applied Sciences. 9. 3174. 10.3390/app9153174.

• 画像3出典：埋め込みコンピューティングからの研究記事「セキュアブート：コードストレージ、オペレーティングシステム、およびデータストレージのための不可欠なセキュリティ機能」リンク：https://embeddedcomputing.com/technology/storage/secure-boot-an-integral-security-feature-for-code-storage-operating-systems-and-data-storage

*このストーリーは2024年5月21日に最初に公開されました。