社会的背景 2

Size: px

Start display at page:

Download "社会的背景 2"

しじんかわらい
5 years ago
Views:

1 第 10 回情報セキュリティ EXPO 春自動車の情報セキュリティ ~ 自動車が安全に繋がるために ~ 2013 年 5 月 8 日 ( 水 )~10 日 ( 金 ) 独立行政法人情報処理推進機構 (IPA) セキュリティセンター情報セキュリティ技術ラボラトリー中野学 ( 博士 ( 情報学 ))

2 社会的背景 2

3 脅威の現状インターネットの環境は大きく変化している攻撃 ( 悪意 ) の動機も変化している < 初めの頃は > < 現在これから?> あなたのパソコンは 4 分に 1 回不正な? アクセスいたずら金銭犯罪テロ情報戦 3

7 テロ自爆テロ大量破壊兵器コミュニティ ( 社会 ) ビジネス ( 企業 ) ライフ ( 家庭個人 ) 自然災害障害地震津波火災水害停電

4 多様化する脅威社会的犯罪の増加不法侵入詐欺迷惑通信有害違法コンテンツ内部不正機密情報の持ち出し不正アクセス不正操作ネット犯罪スキミングフィッシング不正アクセス Web 改竄 DoS 攻撃ウイルス社会政治的災害 9.11 テロ 7.7 テロ自爆テロ大量破壊兵器コミュニティ ( 社会 ) ビジネス ( 企業 ) ライフ ( 家庭個人 ) 自然災害障害地震津波火災水害停電大型ハリケーン人為的災害オペレーションミス従業員モラル不法投棄プライバシー問題個人情報保護法 (05/4 施行 ) ( 金融医療データ等 ) 盗聴盗撮不安解消安心安全の確保に対する社会的ニーズ増大 4

5 組込み機器の今昔 ~ 繋がるモノ ~ クラウドこれまでの組込みシステムスタンドアロンで動作機械的な制御 Car2X 自動車これからの組込みシステムインターネットを含めた様々なネットワークと接続して動作そしてクラウドへソフトウェア制御個人情報や操作情報のような機微な情報を含めた様々な情報 ( ビッグデータ ) を扱う 5

6 組込みシステムのセキュリティ対策ライフサイクル全体での対策が必要限られた資源セキュリティ技術の軽量化リバースエンジニアリング解析に強い耐タンパ技術マネジメントライフサイクル企画開発運用廃棄セキュリティガイドラインタイトなスケジュール暗号化や認証の利用第三者からの攻撃安全な廃棄プロセスの明示残存情報による情報漏えい赤字 : 脅威青字 : 対策 6

三つの進化とそれに伴うセキュリティ新しいサービスの発達ネットワークへの接続汎用プロトコル等の利用新しい技術や機器の発展に伴って, 様々な新しいサービスが創出されるこれにより, 組込み業界に様々なプレイヤーが係わり, 多様な情報が扱われるようになる情報の価値や重要度に応じたセキュリティや情報の取扱いを利用者が理解選択出来るような仕組みが必要となるまた, 新しいサービスの出現伴って,

7 三つの進化とそれに伴うセキュリティ新しいサービスの発達ネットワークへの接続汎用プロトコル等の利用新しい技術や機器の発展に伴って, 様々な新しいサービスが創出されるこれにより, 組込み業界に様々なプレイヤーが係わり, 多様な情報が扱われるようになる情報の価値や重要度に応じたセキュリティや情報の取扱いを利用者が理解選択出来るような仕組みが必要となるまた, 新しいサービスの出現伴って, それに適したセキュリティを検討する必要がある通信機能の搭載が容易必須になりインターネットを含めた公共回線の利用が当然となるこれによって様々なモノが繋がる世界になるこれまでネットワーク経由の攻撃が考慮されてこなかった製品群が, 今後は攻撃の対象となるため, 製品のセキュリティはもちろん, 利用者の教育についても検討する必要がある多種多様な機器を接続するためや, 機器のコスト競争等から, 例えば TCP/IP などの汎用プロトコルが利用されるようになるこれまで利用されてきた独自プロトコルが標準化され, 一般的な PC でも利用される汎用プロトコル等が利用されることで,PC と同様の脅威が発生する可能性がある 7

8 自動車の情報セキュリティに関する事例紹介 8

自動車の情報セキュリティに関連する事例 (1/2) CAN(Controller Area Network): 主要な車載 LAN 方式の一つ 2010 年ワシントン大学 Kohno

通信は同一バス上に同報する方式で盗聴解析が容易 (2) 認証フィールドとは発信元 ( ソースアドレス ) がなくなりすましが容易など CAN を利用した車載 LAN

の書換えは禁止されているはずであるが実際には書換えモードに入ることが可能 (5)OBD-II に接続した実験用の PC

9 自動車の情報セキュリティに関連する事例 (1/2) CAN(Controller Area Network): 主要な車載 LAN 方式の一つ 2010 年ワシントン大学 Kohno 氏論文 Experimental Security Analysis of a Modern Automobile にて CAN 本体について ; (1)CAN 通信は同一バス上に同報する方式で盗聴解析が容易 (2) 認証フィールドとは発信元 ( ソースアドレス ) がなくなりすましが容易など CAN を利用した車載 LAN 上機器の処理の不足や標準的な処理の不備などについて ; (3) 走行中には無視しなければならないはずの CAN バス全体の通信停止メッセージが実際には有効 (4) 走行中の ECU の書換えは禁止されているはずであるが実際には書換えモードに入ることが可能 (5)OBD-II に接続した実験用の PC から上記のテレマティクス端末のソフトウェアを認証手順なしで書換え現在は攻撃を行うための機材とソフトウェアは市販製品では機能不足のため開発が必要で攻撃の難易度は高い ECU 単体の解析 ( 左 ) 静止時の車台上での ECU 間解析と試験 ( 中 ) 走行中の動作試験 ( 右 ) 9

自動車の情報セキュリティに関連する事例 (2/2) 携帯電話に繋がっている自動車に対する遠隔地からの攻撃事例 2011 年論文 : Comprehensive Experimental Analyses of Automotive Attack Surfaces. より 3G 携帯電話通信モジュール ( 事前 ) 音声によるソフトウェアモデム 1. 脆弱性経由でクライアント実行 6.

10 自動車の情報セキュリティに関連する事例 (2/2) 携帯電話に繋がっている自動車に対する遠隔地からの攻撃事例 2011 年論文 : Comprehensive Experimental Analyses of Automotive Attack Surfaces. より 3G 携帯電話通信モジュール ( 事前 ) 音声によるソフトウェアモデム 1. 脆弱性経由でクライアント実行 6. 任意の CAN メッセージ送信遠隔からの攻撃モデム用音声データで一括実行可能 2. ソフトウェアモデムに認証なしで接続 5. 遠隔操作用クライアント (IRC) 7. 指示された CAN メッセージ送信 8.CAN メッセージ 3G 携帯電話通信モジュール音声によるソフトウェアモデム車載 LAN へのゲートウェイ認証コマンド解析処理テレマティクス車載機 3. 脆弱性により認証迂回 4. 脆弱性によりソフト実行 ECU 9. ドアロック解除エンジンスタートなど遠隔操作用のクライアントを乗っ取った後任意の CAN メッセージを送ることで自動車の制御を攻撃可能不要な通信サービスを削除複数機能が連携する部分のセキュリティを検討する事が重要 10

11 IPA による自動車の脅威の分析 ~ 自動車の情報セキュリティへの取組みガイド ~ 11

12 IPA による自動車の脅威分析 (1/6) 自動車の脅威を考える為に自動車の機能を整理する必要があるしかし自動車メーカや車種等によって機能の整理手法は様々 IPA では自動車の機能を整理した IPA カーをモデルとし脅威を分析した 1. 基本制御機能 2. 拡張機能 3. 一般的機能 A. B. 駆動系シャーシ系 F. G. ITS 機能 C. D. ボディ系テレマティクス安全快適機能 H. インフォテイメント E. 診断保守 *1 Bluetooth 無線 LAN USB ポート SD スロット OBD-II I. 持ち込み機器スマートフォン PND パソコンタブレットプレーヤメモリ /HDD ハンズフリーリモコン診断機エコメータカスタムメータ 12 *1 診断保守 : 診断保守は個々の ECU などに搭載されている場合がある

13 IPA による自動車の脅威分析 (2/6) 基本制御機能 : 自動車の基本的な機能である走る曲がる止まるを制御する基本的な機能この機能が攻撃を受ける車両事故に直結する為高いセキュリティが必要拡張機能が不安定な時は他の機能を遮断してでも守る必要がある 1. 基本制御機能 2. 拡張機能 3. 一般的機能 A. B. 駆動系シャーシ系 F. G. ITS 機能 C. D. ボディ系テレマティクス安全快適機能 H. インフォテイメント E. 診断保守 *1 Bluetooth 無線 LAN USB ポート SD スロット OBD-II I. 持ち込み機器スマートフォン PND パソコンタブレットプレーヤメモリ /HDD ハンズフリーリモコン診断機エコメータカスタムメータ 13 *1 診断保守 : 診断保守は個々の ECU などに搭載されている場合がある

14 IPA による自動車の脅威分析 (3/6) 拡張機能 : 自動車の快適な運転や運転のサポートを担う機能機能の性質上外部との通信機能を持つ事も多くまた車内での連携機能も多い今後も機能向上が見込まれそれに伴ったセキュリティ対策が必要になっていく 1. 基本制御機能 2. 拡張機能 3. 一般的機能 A. B. 駆動系シャーシ系 F. G. ITS 機能 C. D. ボディ系テレマティクス安全快適機能 H. インフォテイメント E. 診断保守 *1 Bluetooth 無線 LAN USB ポート SD スロット OBD-II I. 持ち込み機器スマートフォン PND パソコンタブレットプレーヤメモリ /HDD ハンズフリーリモコン診断機エコメータカスタムメータ 14 *1 診断保守 : 診断保守は個々の ECU などに搭載されている場合がある

IPA による自動車の脅威分析 (4/6) 一般的機能 : スマートフォンや PC

駆動系シャーシ系 F. G. ITS 機能 C. D. ボディ系テレマティクス安全快適機能 H.

診断保守 *1 Bluetooth 無線 LAN USB ポート SD スロット OBD-II I.

15 IPA による自動車の脅威分析 (4/6) 一般的機能 : スマートフォンや PC に代表されるようなユーザが外から持ち込んで使う機器サービスも多様で様々な情報を扱う為攻撃者に最も狙われやすい部分既存のセキュリティ技術の適用が可能であり, 対策の実施にはユーザの協力が必要 1. 基本制御機能 2. 拡張機能 3. 一般的機能 A. B. 駆動系シャーシ系 F. G. ITS 機能 C. D. ボディ系テレマティクス安全快適機能 H. インフォテイメント E. 診断保守 *1 Bluetooth 無線 LAN USB ポート SD スロット OBD-II I. 持ち込み機器スマートフォン PND パソコンタブレットプレーヤメモリ /HDD ハンズフリーリモコン診断機エコメータカスタムメータ 15 *1 診断保守 : 診断保守は個々の ECU などに搭載されている場合がある

16 IPA による自動車の脅威分析 (5/6) 守るべき対象を明確にする攻撃者から何を守りたいのかを明確にすることがセキュリティの第一歩守りたい対象の価値がセキュリティ対策のコストに繋がるサービスの拡大によって保護対象は広がっていく情報システムと組込みシステムの違い情報の保護以上に車両事故の回避が重要な場面も機密性より可用性を重要視した作りになることも保護すべき対象区分基本制御機能の動作自動車固有情報自動車状態情報ユーザ情報ソフトウェアコンテンツ設定情報説明基本制御機能の一貫性と可用性基本制御機能の実行環境や動作のための通信自動車車体に固有の情報 ( 車両 ID 機器 ID 等 ) 走行動作履歴等蓄積情報自動車の状態を表すデータ位置車速目的地等運転者搭乗者の個人情報認証情報課金情報利用履歴操作履歴等 ECU(Electronic Control Unit) のファームウェア等自動車の基本制御機能拡張機能に関わるソフトウェアビデオ音楽地図等のアプリケーション用データハードウェアソフトウェア等の動作設定データ

17 IPA による自動車の脅威分析 (6/6) 外部から情報の入出力が出来るポートを持つ機能については PC と同様の脅威がある一方で制御系を外部から直接攻撃する手段に関しては現状では見つからない ( 設定不良蓄積情報漏えい不正利用不正設定ウイルス感染盗聴 ) A. B. 駆動系シャーシ系不正利用不正設定盗聴等設定不良ユーザ情報漏えい盗聴 DoS 攻撃 F. G. ITS 機能 C. D. ボディ系不正利用蓄積情報漏えい不正設定ウイルス感染盗聴不正アクセス等テレマティクス安全快適機能設定不良蓄積情報漏えい DoS 攻撃等ウイルス感染蓄積情報漏えい不正利用不正設定ウイルス感染盗聴不正アクセス等 H. インフォテイメント E. 診断保守設定不良情報漏えい不正アクセス等 Bluetooth 無線 LAN USB ポート SD スロット OBD-II 不正利用不正設定盗聴等ウイルス感染設定不良操作ミス不正利用不正設定ウイルス感染盗聴不正アクセス等 I. 持ち込み機器スマートフォンパソコンタブレットプレーヤメモリ /HDD エコメータカスタムメータ海外の研究発表の事例にもあるように自動車制御に直接攻撃を仕掛けるのではなく脆弱なシステムを踏み台にして自動車制御に影響を与える危険性がある 17

18 セキュリティを考慮すべき 15 項目マネジメント ( セキュリティ関連商品でなくてもメーカとして常に行うべき事柄 ) セキュリティルールの策定セキュリティ教育の実施セキュリティ情報の収集と展開企画 ( ライフサイクル全体の計画を行うフェーズ ) セキュリティに配慮した要件定義の策定セキュリティ関連予算の確保開発外部委託におけるセキュリティへの配慮新技術に関連する脅威への対応開発 ( システムの開発を行うフェーズ ) 設計実装時のセキュリティ対策セキュリティ評価デバッグ利用者等への情報提供用コンテンツ等の準備運用 ( 組込みシステムがユーザの手に渡った後製品として利用されるフェーズ ) セキュリティ上の問題への対処利用者や自動車関係者への情報提供脆弱性関連情報の活用廃棄 ( 買い替え故障などで組込みシステムが廃棄リサイクルされるフェーズ ) 廃棄方法の策定と周知詳しくは IPA の公開している自動車の情報セキュリティへの取組みガイドで 18

19 自動車の情報セキュリティ対策 19

20 情報システムにおけるセキュリティ対策の有効利用 (1/2) ソフトウェアの脆弱性を評価するシステム共通脆弱性評価システム (CVSS : Common Vulnerability Scoring System) を利用して自動車システムにおける脆弱性の深刻度の評価を試行セキュリティ対策の優先度を決める上で非常に重要となる基本評価基準現状評価基準環境評価基準脆弱性 OBD-II 経由で認証なしでECUのファームウェアを書き換えられる被害走行中のブレーキ操作不能攻撃元区分ローカルでのみ攻撃可能攻撃条件の複雑さ高攻撃前の認証要否認証操作が不要機密性への影響影響なし完全性への影響全面的可用性への影響全面的攻撃される可能性実証可能利用可能な対策のレベル非公式な解決法脆弱性情報の信頼性未確認の情報源のみ二次的被害の可能性重大な被害や損失影響を受ける対象システムの範囲中規模機密性の要求度低完全性の要求度高可用性の要求度高基本値 / 現状値 / 環境値 5.6 / 4.3 / 5.2 全体的評価値 5.2 ( 最大 10 点 ) 深刻度レベルII( 警告 ) 何も対応せず脆弱性が深刻化する例ネットワークから攻撃可能低認証操作が不要影響なし全面的全面的容易に攻撃可能非公式な解決法開発者が情報を確認済み壊滅的大規模低高高 9.4 / 8.9 / ( 最大 10 点 ) レベル III( 危険 ) 同じ脆弱性でも攻撃手法が洗練されたり簡易攻撃ツールが出回る事で深刻化そうなる前に脆弱性をきちんと評価し対応する事が必要 20

21 情報システムにおけるセキュリティ対策の有効利用 (2/2) ファジング ( 英名 :Fuzzing) の利用何万種類もの問題を起こしそうなデータ ( 例 : 極端に長い文字列 ) を送り込み対象製品の動作状態 ( 例 : 製品が異常終了する ) から脆弱性を発見する技術ファジングツール (*1) (Fuzzing tool) 例えば Codenomicon Raven Peach イメージ図検査データ (1 番目 ) 応答あり検査データ (2 番目 ) 応答あり何万種類の検査データを送信検査データ (12345 番目 ) など応答なし対象機器 (*2) IPAが実施したファジングではルータの脆弱性を発見他の組込み機器に対しても調査中 IPAではこの調査結果やファジングの利用ガイド等も随時公開 (*1): ファジングツールは商用製品だけではなくオープンソースソフトウェアフリーソフトウェアも存在します (*2): この図では組込み機器を示していますがソフトウェア製品でも同様です

22 まとめ 22

23 最後に : 安全でセキュアな自動車社会に向けて事故誤操作攻撃 Safety & Security Safety and Security 開発関連組織 Smart Phone Security 利用者 Secure Driving Personal information Protection サービス提供社 23

24 組込みセキュリティに関連する IPA セキュリティセンターの活動 2011 年 5 月 9 日公開 2010 年度制御システムの情報セキュリティ動向に関する調査 2013 年 3 月 6 日公開 2012 年度制御システムの情報セキュリティ動向に関する調査 2011 年 4 月 26 日公開 2010 年度自動車の情報セキュリティ動向に関する調査 2012 年 5 月 31 日公開 2011 年度自動車の情報セキュリティ動向に関する調査 2013 年 3 月 25 日公開 2012 年度自動車の情報セキュリティ動向に関する調査 2009 年 6 月 24 日公開組込みシステムのセキュリティへの取組みガイド 2009 年 11 月 25 日公開上下水道分野用の SCADA セキュリティグッドプラクティス 2013 年 3 月 25 日公開自動車のセキュリティへの取組みガイド組込みシステムのライフサイクル企画開発運用廃棄 2010 年 11 月 25 日公開 TCP/IP に係る既知の脆弱性検証ツール V 年 11 月 30 日公開 SIP に係る既知の脆弱性検証ツール V 年 4 月 25 日から実施組込みシステムを含んだソフトウェアの脆弱性関連情報の受付蓄積公開 2007 年 9 月 26 日公開セキュアプログラミング講座 24

25 ご清聴ありがとうございました <PR>

IPA の紹介 2

ET2013 テクニカルセッション自動車における組込みシステムセキュリティ ~ 情報セキュリティの観点からの自動車 ~ 2013 年 11 月 21 日 ( 木 ) 独立行政法人情報処理推進機構 (IPA) セキュリティセンター IPA の紹介 2 IPA とは (Information-technology Promotion Agency,Japan) ソフトウェア信頼性向上 IT スキル人材育成