Automotive Report 技術・市場 レポート トヨタグループがセキュリティー対策に本腰 ECUの「設計指針」 、 富士通と協業 トヨタ自動車やデンソーなどが出資 どを自在に操れることを証明し、ハッキ ング対策は急務になっていた。 するトヨタIT開発センターと富士通は、 ングするのに必要な情報を詳細に書い トヨタIT開発センターと富士通が開 自動車のセキュリティーを高める取り た論文を公開した。 発中の技術は、自動車に搭載する複数 組みで協業する。2社は2015年4月、 ただ成果は広域無線通信網を使った の電子制御ユニット(ECU)の間と、 自動車をハッキングから守る技術を共 遠隔攻撃ではなく、車両に乗り込んで ECUとデータセンターの間でやり取り 同で開発していることを明らかにした。 実施するもの。この時点で脅威の度合 する情報を暗号化するなどして、セキュ いは小さいと言える。それでもトヨタに リティーを高めるもの。ECUに搭載す 2014 年、トヨタを震撼させる出来事 与えた衝撃は大きかった。 「あれ(デフ る専用のICで暗号 を生成して管理す があった。著名なハッカーらが「プリウ コンの成果)は危険すぎる」 (同社関係 る。加えて正規のECUであることを確 ス」と米Ford Motor社の「Escape」 者)との認識が社内で一気に広がった。 かめる認証機能や、ソフトウエアを安 をハッキングしたと発表したことだ。 今後、広域無線通信機能を搭載した 全に遠隔で更新する技術もある。 ハッカーは、現在米Twitter社に籍 自動車は確実に増える。トヨタは 2014 トヨタIT開発センターの小熊寿氏 を置くCharlie Miller氏と、米IOActive 年に通信サービス「T-Connect」を実 は、 「自動車ユーザーの安全と安心を担 社のChris Valasek氏。両氏は米国に 用化し、 “つながるクルマ”の普及に本 保するため、悪意ある攻撃や侵入に対 おける情報セキュリティーのイベント 気で取り組み始めた。悪意あるハッカ してECUを守りたい」と意気込む。さ 「DEFCON(デフコン) 」で成果を発表 ーから見ると自動車に遠隔攻撃を仕掛 らに開発中の新しい技術は、ECUなど した。発表ではステアリングやドアな ける環境が整いつつあるといえ、ハッキ を手掛ける自動車部品メーカーに対す ECU1 ECU2 ECU3 (アクチュエーター) (LED) (LED) モニター 車載サーバーECU 車載ディスプレー クラウド 広域無線通信 無線LAN (3G/4G) 車載サーバーECU TPM 遠隔保守サーバー 車載LAN (CANなど) 車載モーター TPM ECU1 (アクチュエーター) 図1 トヨタIT開発センターと富士通が実演 2015年4月22日から開催された 「SAE 2015 World Congress & Exhibition」 で開発中のセキュリティー技術を実演した。4個のECUにセキュリティーチッ プを搭載し、信号を安全にやり取りする。さらに、車載サーバー ECUを介して ソフトウエアをアップデートする機能を用意した。 18 TPM ECU2・3 (LED) 図2 セキュリティーを高める仕組み ECU にセキュリティーチップを搭載し、車載 LAN に流れるデータを暗号化する。 さらに車載サーバー ECUを新たに搭載して、外部との通信の窓口にする。外部の 遠隔保守サーバーを利用して、車載機器の認証やソフトウエアアップデート機能 なども用意する。セキュリティーチップには TPM の自動車版を採用する考えだ。 Nikkei Automotive 2015. 6 SID=aafbaa9553c8b8c435b6f5729c49279650096a1b613c2e38 無断複製・無断転載禁止 日経BP社 る「今後の設計指針になる」と述べた。 2 社は、2015 年 4 月に米国デトロイ 車載通信機 トで開催された学会「SAE 2015 World Congress & Exhibition」で開発中の 技術について講演したことに加えて、 実演した(図1) 。 実演ではモーター制御ECUとLED BIOS情報 OS ドライバー CPU/HDD 周辺機器 設定条件 (発光ダイオード)制御ECU、 「車載サ TPM 保護領域 ICを搭載する車両の識別情報 構成情報 秘密 を生成し、格納 秘密 ストレージ 機密情報を格納 識別情報をICで署名して送る 暗号化処理 暗号化と復号化 ーバー」と呼ぶ外部と通信する窓口とな 改ざんチェック るECUに、専用ICの機能を代替する ソフトウエアを搭載してデータを安全 にやり取りした(図2) 。専用ICはまだ 図3 暗号化に加えて認証機能に力を入れる TPM で実現する機能を示した。車両を識別する情報を TPM に内蔵し、その情報をやり取りすることで通信 相手が正しい車両かどうかを確かめる。 実用化したものはなく、 「TPM(Trusted Platform Module) 」と呼ばれる仕様 (1) 相互認証 を採用したハードウエア・セキュリティ ー・モジュール(HSM)を想定する。 T P M は、業 界 団 体 で あ る T C G (Trusted Computing Group)が策 定した仕様。米Intel社や同IBM社、 同Microsoft社、富士通などが 2003 年 にTCGを 設 立 し、2015 年 3 月 に TPMの自動車版を策定した。トヨタは 2012 年にTCGに加わっていた。 データセンターの 信頼性を確認 (2) 自動車への報告書を要求 TPMで車両の 識別情報を生成 (3) 識別情報を送信 プログラムを更新 (4) 適合プログラム (パッチ) を送信 更新後に再び 識別情報を作成 (5) 識別情報を送信 ホワイトリストに基づき 車両の信頼性を確認 リコール情報などに応じて 最適なパッチを選択 完了したことの確認、 やり取りした履歴を保存 図4 車載ソフトウエアを更新する仕組み TPMを用いて通信相手の信頼性を確かめ、信頼に値する場合のみプログラムを更新する。 計算量を抑えてセキュリティー向上 TPMの自動車版は 2 種類あり、メモ ーを高めやすいものの計算負荷の大き めである。更新前に認証機能で正規の リー容量やマイコンの計算能力が限ら な公開 暗号方式のPKI(Public Key ECUであることを確かめる必要がある。 れるECUで使うために機能を限定して Infrastructure)に加えて、計算負荷 認証は、マイコンや周辺機器などの 計算負荷を抑えた「Thin」と、パソコン が小さい共通 暗号方式のAES 複数の個体識別情報を基に「証明書」を 用に似ており機能を充実させた「Rich」 (Advanced Encryption Standard) 作り、その情報をTPMに保存すること である。TPM(Thin)は基 本 的に、 に対応する。なお現時点でTPM(Thin) で実施する(図3) 。証明書の情報を暗 ECUの状態を検知して電子署名を付与 の仕様は公開してあるものの、TPM 号化して車両からデータセンターに送 し、TPM(Rich)にデータを送信する (Rich)は議論中の段階にある。 り、同センターにあらかじめ登録してあ 機能にとどめてある。 「機能を絞り込み、 TPMにはECUのハッキングを防ぐ る記録(ホワイトリスト)と照合するこ 安く小さく、省電力化しやすくした」 (富 ことに加えて、ECUのソフトウエアを とで正当性を確かめる(図4) 。加えて更 士通研究所R&D戦略本部の小谷誠剛 遠隔で更新しやすくする機能がある。 新が終わったかどうかの指標である完 氏) 。モーターやLEDの制御ECUには 認証機能に力を注いで実現した。ソフ 遂性を測る。更新が未完の状態ならば TPM(Thin)を、車載サーバーECU ト更新で認証機能が重要なのは、例え 最初の状態に戻すこと(ロールバック) にTPM(Rich)を使うことを想定する。 ば改ざんされたECUと知らずに更新し や、 更新を繰り返すことなどを実施する。 暗号方式は 2 種類とも、セキュリティ てしまい不具合につながるのを防ぐた (清水直茂) Nikkei Automotive 2015. 6 SID=aafbaa9553c8b8c435b6f5729c49279650096a1b613c2e38 無断複製・無断転載禁止 日経BP社 19
© Copyright 2024 ExpyDoc