連載
» 2015年11月13日 10時00分 UPDATE

いまさら聞けない 車載セキュリティ入門(3):車載ソフトウェアのアップデートを実現するOTAと遠隔診断 (1/4)

車載ソフトウェアの規模増大と複雑化が進む中で、無線ネットワークによるアップデート(OTA:Over-The-Air)の実用化が求められている。同じく無線ネットワークを使った遠隔診断に対する要求も高まっている。これらOTAと遠隔診断を運用するには、セキュリティの枠組みが必要だ。

[岡デニス健五(イータス エンベデッドセキュリティ シニア・コンサルタント),MONOist]

車載ソフトが不具合原因のリコールが多発

 今回は、クルマのソフトウェアアップデートに用いられるOver-The-Air(OTA:無線ネットワーク経由)と遠隔診断に対するセキュリティについて紹介します。

 現在の車両1台に搭載されるソフトウェアの規模は8千万〜1億のコードライン(行)に達するほどに膨れ上がり、2015年度に生産される車両のコストは半分以上がエレクトロニクス部品に関連したものであるといわれています。その上、より高度な機能を管理するために車載ソフトウェアは複雑化しており、ソフトウェアバグを引き起こす危険も増加しています。

 この2〜3年間に車載ソフトウェアに起因する不具合で何百万台もの車両がリコールされました。この問題に対して、自動車メーカーが近い将来目指すべき有望な解決策として期待されているのが、無線ネットワークを用いたソフトウェアアップデートです。正式には、SOTA(Software Updates Over-The-Air)と呼ばれています。例えば、電気自動車メーカーのTesla Motorsが既にSOTAを提供しています。

 SOTAには幾つかの利点があります。

  1. 実際に車両を販売店や整備工場などに持ち込んでリコールを行う必要がないため、これまで掛かっていたリコール費用のコスト削減が可能になる
  2. もしセキュリティの観点で脆弱性を持つ車載ソフトウェアがあっても、即座に新しいソフトウェアを配布できる。すなわち攻撃されやすい脆弱なソフトウェアを搭載する車両車が路上に存在する時間を減少させられる
  3. 同時に多くの車載ソフトウェアをアップデートするなど一括更新が容易になる

 SOTAの利点を得る前提として、セキュリティの必要性は明らかです。セキュリティが確保されていなければ、攻撃者が特別な機能をもった独自のソフトウェアを作ったり、また自動車事故につながるようなウイルスやワームを作りSOTAの脆弱性をターゲットにする可能性があります。このような悪意のあるソフトウェアは、例えば、ある一定の速度に達した車両のブレーキが作動しないというような望ましくない行為の引き金になり得ます※1)

 遠隔診断は、自動車メーカーが車両に関する情報を集められるとともに、これらの情報を適宜に調査・分析できます。

 遠隔診断の利点は以下の通りです。

  1. 問題のある車両を整備工場まで運転している間、整備工場のエンジニアはあらかじめ問題の車両の遠隔診断を施して事前に分析し、必要なスペアのパーツを用意しておける
  2. あらかじめ分析ができているので、その車両のオーナーが整備工場で待つ時間を短縮できる。例えば、部品を取り換える作業時間だけ待てばよい
  3. 将来的に発生し得る潜在的な故障を減らしたり、発生した故障に対して効果的に対処したりするため、適時に多くのデータの収集し分析することができる

 遠隔診断を運用する上で、認証された人のみが車載ソフトウェアにアクセスでき、ある特別の診断機能を遂行できるようなセキュリティの仕組みが必要なことは明白です。診断機能の種類によって、どのようなセキュリティプロパティが要求されるのかを慎重に考慮する必要があります。

 そうでなければ、攻撃者が遠隔診断を悪用して機密情報にアクセスするかもしれません。もっと悪い場合は、安全に関わるファンクションテストを実施して事故を誘発する可能性もあります※2)

参考文献

※1)Nilsson D.K., and Larson U.E.(2008)“Simulated Attacks on CAN Buses: Vehicle virus” in ASIACSN 2008

※2)Oka D.K., Furue T., Bayer S., and Vuillaume C.(2014)“Analysis of Performing Secure Remote Vehicle Diagnostics” in CSS 2014


       1|2|3|4 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.