CAN メッセージにおける振る舞い検知手法に関する考察 A Study of

CAN メッセージにおける振る舞い検知手法に関する考察
氏家
良浩† 岸川剛† 田邉正人†† 芳賀智之†
北村嘉彦†† 松島秀樹† 安齋潤††
A Study of Anomaly Detection Method of CAN Message.
UJIIE Yoshihiro, KISHIKAWA Takashi, TANABE Masato, HAGA Tomoyuki,
KITAMURA Yoshihiko, MATSUSHIMA Hideki, ANZAI Jun
ねらい：本文書は，CAN メッセージのなりすまし攻撃への対策となるフィルタリング技術を提案し，このフィルタリン
グ技術に必要となる，実際の自動車の CAN メッセージの振る舞いに関する知見を提供する．
キーワード車載ネットワーク，CAN，セキュリティ
Target: This abstract is to offer filtering technology which prevents CAN spoofing attack, and to provide knowledge of the behavior
about CAN messages, which we get with analyzing the CAN messages data in a real car.
Keywords:
In-Vehicle Network, CAN, Security
CAN の特徴の一つとして，CSMA/CA(Carrier Sense
１．背景
Multiple Access with Collision Avoidance)方式が挙げられ
近年，自動車内の制御システムでは電子化に伴って，
る．複数ノード間で，メッセージの優先度を判定する
多数の ECU(Electronic Control Unit)と呼ばれる電子制御
ため，メッセージに含まれる ID を用いて優先度判定を
ユニットと，それらを接続する車載 LAN(Local Area
行う．また，CAN メッセージには一定周期で送信する
Network)によって制御ネットワークが形成されている．
もの，特定イベントに基づき送信するもの，およびそ
この中で CAN(Controller Area Network)[1]と呼ばれる規
の両方に基づき送信されるものが混在する．
格が広く普及しているが，自動車と外部ネットワーク
CAN には仕様上，メッセージに送信者の身元を示す
の接続が進むにつれ，CAN のセキュリティ上の問題点
識別情報を含まない為、
「なりすまし攻撃」が非常に容
が指摘され，数々の攻撃事例が発表されている[2][3]．今
易であるというセキュリティ課題が存在する．正規の
後，外部接続を利用した自動車の外部からの攻撃や，
ECU になりすまされて他の ECU に不正なメッセージ
ダウンロードした不正なアプリからの攻撃により，
が送信され，その ECU が誤動作することで自動車が危
Head Unit(HU)が乗っ取られ，自動車の制御ネットワー
険な状態に陥る可能性がある．その対策技術の一つと
クである CAN ネットワークに不正なメッセージが送
して，CAN メッセージの周期性に着目し，送信周期に
信される可能性がある．この結果，エンジンやブレー
よって不正なメッセージであることを判定するフィル
キなどを制御する ECU が誤動作を起こす可能性がある．タリング技術が提案されている[4]．この中で，周期を使
図 1 に自動車の脅威のイメージ図を示す．図１のよう
った判定をフィルタリング技術へ適応するにあたって
な脅威から自動車を守るためには，外部接続/ HU/ CAN
は，周期と，通信調停の発生に備えたマージンを設定
のそれぞれにおけるセキュリティ対策が重要となる．
する必要があるとされている．ここで，周期を使った
2．CAN のセキュリティ対策とその課題
フィルタリング技術を実現するにあたり，２つの課題
「周期±マージン内に複数メッセージを受信した場合
にどう判定を行うか」
「適切なマージンの設定」が挙げ
られる．前者の課題の内容を図２に示す．
マージン
送信周期
マージン
周期
OK
時間
NG
検知
図 1
自動車におけるセキュリティの脅威
OK
周期±マージンまで、完了しないと
判定できない
：正規の ECU から送信されたメッセージ
図 2
Fig. 1 Threats of Automobile Security
OK？NG？
判定不可
：不正な ECU から送信されたメッセージ
周期を使った判定方法における課題
Fig. 2 Problems of Detection Method with Messages Cycle
†
パナソニック株式会社
先端研究本部
Panasonic Corporation, Advanced Research Division
1006 Kadoma, Kadoma City, Osaka 571-8501, Japan
E-mail: [email protected]
††
パナソニック株式会社オートモーティブ＆インダストリアル
システムズ社インフォテイメント事業部
Panasonic Corporation, Automotive & Industrial Systems Company,
Automotive Infotainment Systems Business Division
4261 Ikonobe-cho, Tsuzuki-ku, Yokohama City 224-8520, Japan
1
を記載している．図 4 の縦軸には同一 ID を持つメッセ
ージの受信周期，横軸には同一の ID を持つメッセージ
の時系列の受信順を示している．
ⅰ. 安定型
抽出したメッセージの中には，周期が安定している
ものが存在した．この種のメッセージについては，フ
レームの送信周期と，適切なマージンを一定値で設定
図 3
複数フィルタによる不正検知手法
Fig. 3 The Detection Method with Multi-Filters
正常に動作している正規の ECU のみが存在する環境
だと仮定すると，周期±マージンの判定範囲内に複数
メッセージを受信する可能性は低い．このため，複数
メッセージの受信有無によって，正規の ECU から送信
されたメッセージであるかどうかの判定を行うことが
可能である．しかし，複数メッセージの受信有無を上
記のような判定に利用するためには，複数メッセージ
の受信有無を待機するための時間がかかってしまい，
即時応答性が求められるフィルタリング技術への適応
が難しい．受信メッセージ毎に即時に判定を行うため
には，上記のような周期を用いた判定のみでは実現困
難である．そこで図 3 に示す通り，周期だけでなく，
メッセージの識別子である ID，データの長さを示す
することで，高い検知率が可能であると考えられる．
ⅱ. 調停発生型
その他の ID を持つメッセージでは，CSMA/CA によ
る調停が発生したと思われるものが存在した．図 3 に
示す通り，主に周期が 2 値に集約されている．これは
通信調停が特定 ID に発生しやすいことを示している．
上述の通り，同一の車種内のメッセージであっても
ID 毎に周期の揺れ幅に大きな差があることが観測され
た．これは ID 毎の通信調停の発生率が，ID の送信
優先度からだけでは判断できないことを示している．
そのため，ID 毎の通信調停発生率に応じたマージン
設定を行う必要がある．
1024
1005
1023
1004
ID: 0xAAD
1003
1003
ID: 0xAAC
1002
1002
DLC(Data Length Code，データ長コード)，最大 8byte
のデータなどを使ったフィルタリング技術と組み合わ
せる手法を提案する．ここで，想定する攻撃メッセー
1001
1000
ジは，メッセージ内容と送信タイミングをランダム
に変化させて作成したものである．本方式の有効性を
実車データを元に試算した結果，ID や DLC，頻度，周
期によるフィルタを組み合わせることで 99.63%の検知
率を達成した．この結果，ネットワークの IDS(Intrusion
Detection System、侵入検知システム)の一般的な目標値
である検知率 99%をクリアすることが可能となる．
後者の課題を解決し，より高い精度の検知率を実現
するためには，実際の自動車の環境における CAN メッ
セージの振る舞いを明確にする必要がある．本稿では，
実際に車を走行している最中に CAN を流れるメッセ
ージを取得し，そのメッセージデータの解析を行った．
3．実車データを使った解析
本稿では，A 社が一般ユーザ向けに販売している車
種 X を用いて，走行中に汎用の車載情報 IF である
OBD2(On-Board Diagnostics 2nd edition)経由で取得した
CAN メッセージデータを元に解析を行った．
まず，取得データの中から送信周期が類似している
1000
0
500
図 4
実車データを使った解析結果の一例
Fig. 4 An Example of Result Analyzing the Data of a Real Car
4．まとめ
本稿では，CAN のセキュリティ上の脅威への対策と
して複数のフィルタを組み合わせたフィルタリング技
1003
術の有用性について述べた．さらに，適切なマージン
の設定のため，実際の車で送信されている CAN メッセ
ージを解析した結果について述べた．今回の解析によ
り，ID の優先度によって通信調停の発生の予測は困難
であることが分かった．より高精度なフィルタリング
機能を実現するためには，ID 毎の送信周期のゆらぎ幅
の分布にも着目した，
より実際の車に近い CAN バス全
1002
体のシミュレーションが不可欠となる．
今後は，様々な状況における，幅広い車種や年式の
CAN メッセージデータを取得・解析を行い，フィルタ
リング技術の検知率向上を図る予定である．
文
メッセージを複数抽出した．そして，それぞれのメッ
[1]
[2]
セージ周期が異なる特徴を示すことを確認することが
[3]
できた．異なる特徴を示した例を図 4 に記載する．な
[4]
お，図中の ID は実際に取得されたデータとは異なる ID
1001
献
CiA : Controller Area Network(CAN) Protocol 2.0
Karl Koscher, et al: Experimental security analysis of a modern automotive.
IEEE Symposium on Security and Privacy2010. P.447-462
Stephen Checkoway, et al: Comprehensive Experimental Analyses of
Automotive Attack Surfaces. USENIX Security, 2011.
大塚敏史他：既存 ECU を変更不要な車載 LAN 向け侵入検知手法，情
報処理学会(2013)
1001
2

Download Report