i

３

技術本部 セキュリティセンター

2012年度

自動車の情報セキュリティ 動向に関する調査

世界各国で進む自動車の情報セキュリティ

2013 年 3 月

ii

目次

図目次 ....................................................................................................................................... iii

略語 ........................................................................................................................................... iv

1 はじめに .............................................................................................................................. 1

2 国内外の自動車情報セキュリティの動向 .......................................................................... 2

2.1 欧州の自動車情報セキュリティの動向 .............................................................................................. 2

2.1.1 EVITAプロジェクトのHSM評価試験結果 ............................................................................. 2

2.1.2 PRESERVEプロジェクトの動向 ................................................................................................ 4

2.1.3 自動車組込みセキュリティ会議「escar 2012」 ....................................................................... 7

2.2 米国の自動車情報セキュリティの動向 ............................................................................................ 10

2.2.1 SAE のセキュリティ関連活動 .................................................................................................. 10

2.2.2 米国運輸省 Safety Pilot (SAFETY PILOT) ............................................................................... 11

2.2.3 CyberAutoチャレンジ .............................................................................................................. 13

2.2.4 TCGの活動.................................................................................................................................. 13

2.3 日本国内の自動車情報セキュリティの動向 .................................................................................... 14

2.3.1 自動車の情報セキュリティに関する活動 ............................................................................... 14

2.3.2 OBD-IIを活用する製品の例 ..................................................................................................... 16

2.3.3 「オートパイロットシステムに関する検討会」 ................................................................... 17

3 自動車情報セキュリティの脅威の事例 ............................................................................ 18

3.1 Hitag2 イモビライザーキーの脆弱性問題 ...................................................................................... 18

3.1.1 Hitag2イモビライザーキーの認証鍵を 5分程度で解読 ...................................................... 18

3.1.2 FPGAによる、低消費電力で高速なパスワード解読 ........................................................... 19

3.2 OBD-II経由で一部旧車種のスマートキーを複製できてしまう問題 .............................................. 19

3.3 Bluetooth実装に多数の脆弱性がある問題 ................................................................................... 20

4 自動車におけるネットワーク接続の動向 ......................................................................... 21

4.1 車載 Ethernet ................................................................................................................................... 21

4.2 車載機向けHTML5 ワークショップ ................................................................................................ 21

4.3 oneM2M ........................................................................................................................................... 22

4.3.1 ITUの国際電気通信規則(ITR)改正 .......................................................................................... 22

iii

図目次

図 2-1 PRESERVE – V2Xセキュリティアーキテクチャ ......................................................................... 5

図 2-2 OVERSEEのセキュリティモデル ................................................................................................... 9

図 2-3 米国「SAFETY PILOT」のイメージ ........................................................................................... 12

図 2-4 DriveMate用の OBD-IIアダプターと iPhoneアプリの例 ....................................................... 16

iv

略語

本書では以下の略語を使用する。一部は社団法人自動車技術会・基準キーワード1を参照して

いる。

略語 名称

A2DP Advanced Audio Distribution Profile

AES Advanced Encryption Standard

API Application Programming Interface

ASIC Application Specific Integrated Circuit

C2C-CC CAR 2 CAR Communication Consortium

CAN Controller Area Network 1

ECU Electronic Control Unit 1

EmSys WG Embedded Systems Work Group

ESC Electronic Stability Control2

ETSI European Telecommunications Standards Institute

EU European Union

EVITA E-safety Vehicle Intrusion proTected Applications

FP7 Seventh Framework Programme

FPGA Field-Programmable Gate Array

GM General Motors

HIS Hersteller Initiative Software

HSM Hardware Security Module

HTML HyperText Markup Language

IEEE The Institute of Electrical and Electronics Engineers, Inc.

IP Internet Protocol (IP接続), Intellectual Property (IP)

IPA Information-technology Promotion Agency, Japan

ISO International Organization for Standardization

ITS Intelligent Transport System 1

ITU International Telecommunication Union

JSAE Society Automotive Engineers of Japan: 自動車技術会

JSSEC Japan Smartphone Security Forum

1 社団法人自動車技術会基準キーワード

https://tech.jsae.or.jp/rireki/keyword.pdf 2 ESC普及委員会

http://www.esc-jpromo-activesafety.com/

v

略語 名称

LAN Local Area Network

LF Low Frequency

NHTSA National Highway Traffic Safety Administration

NIST National Institute of Standards and Technology

OBD-II On Board Diagnosis-II 1 3

OVERSEE Open VEhiculaR SEcurE platform

PC Personal Computer

PKI Public Key Infrastructure

PRECIOSA PRivacy Enabled Capability In co-Operative systems and Safety

Applications

PRESERVE Preparing Secure Vehicle-to-X Communication Systems

RFID Radio Frequency IDentification

RITA The Research and Innovative Technology Administration

SAE Society of Automotive Engineers

SHE Secure Hardware Extension

STRIDE Spoofing, Tampering, Repudiation, Information Disclosure, Denial of

Service, Elevation of Privilege

TC Technical Committee: 専門委員会

TCG Trusted Computing Group

TCP/IP Transmission Control Protocol/Internet Protocol

TPM Trusted Platform Module

USDOT United States Department of Transportation

V2I Vehicle to Infrastructure

V2V Vehicle to Vehicle

V2X Vehicle to X

W3C The World Wide Web Consortium

WG Working Group

3 国土交通省「安全 OBD」

http://www.mlit.go.jp/kisha/kisha07/09/090914_2_.html

1

1 はじめに

2012年は「ぶつからないクルマ」が相次いで発売され、高速道路での自動運転を目指した「オ

ートパイロットシステムに関する検討会」も国土交通省により設置された。ITS (Intelligent

Transport System)と自動車のソフトウェアに対する期待はますます高まっており、その信頼に

対応するためのセキュリティ対策の重要性はセーフティの実現と同じレベルで高まっている。

また、自動車の外部とのインタフェースである OBD-II を活用したスマートフォンアプリは燃

費管理などのエコドライブ支援の機能や、スピード超過警報や前方の衝突警報など、多様化・高

機能化している。その一方でスマートフォンに関するインシデント件数は 2012 年に急増し、相

次いでスマートフォンに関するセキュリティガイドラインが公開される4状況にある。まさに自

動車の情報セキュリティは現在、荒波の中にあると言える。

本調査は、自動車の情報セキュリティ対策の普及啓発を推進するために、昨年度に引き続き自

動車の情報セキュリティの動向や対策について、主にネットワーク接続手法と持込み機器に関す

る調査検討を行い、その結果を自動車に関連する開発者向けの報告書としてとりまとめることを

目的とする。今年度は、昨年度調査5とテクニカルウォッチ6で整理した動向を踏まえた上で、自

動車の情報セキュリティに関する動向の調査を行った。

4 スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン, JSSEC, 2011-12-14

http://www.jssec.org/news/20111214.html

スマートフォン プライバシー ガイド, 総務省, 2012-07

http://www.soumu.go.jp/main_content/000168377.pdf

アンドロイド スマートフォン プライバシー ガイドライン by タオソフトウェア （安心なアプリケーションを

提供するために）, タオソフトウェア, 2012-10-11, http://www.taosoftware.co.jp/android/android_privacy_policy/

Android アプリのセキュア設計・セキュアコーディングガイド 2012年 11月 1日版, JSSEC, 2012-11-01

http://www.jssec.org/news/20121119_securecoding.html 5「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開、～ネットワーク化・オープン化の進

む自動車にセキュリティを～, IPA, 2012-05-31, http://www.ipa.go.jp/security/fy23/reports/emb_car/index.html 6 IPA テクニカルウォッチ: 「自動車の情報セキュリティ」に関するレポート」～必要性が高まる自動車の情報セ

キュリティ～, IPA, 2012-05-31, http://www.ipa.go.jp/about/technicalwatch/20120531.html

2

2 国内外の自動車情報セキュリティの動向

本章では、欧州、米国及び国内における自動車情報セキュリティの動向を報告する。

2.1 欧州の自動車情報セキュリティの動向

本節では欧州の自動車情報セキュリティの動向を報告する。

2.1.1 EVITAプロジェクトの HSM評価試験結果

欧州の EVITA プロジェクト(以下、EVITA と記述)は、FPGA (Field-Programmable Gate Array)

で実装したHSM (Hardware Security Module)ハードウェアセキュリティモジュールの評価試験

の結果をまとめて 2011年 11 月に報告会を開催、活動を終了した。その後 2012年に、EVITAが

開発した HSMの評価試験の報告が公開されているため、一部を紹介する。

2.1.1.1 HSM と低レベルドライバのファジング試験

EVITA が公開した”D4.4.2 Test Results”7では、FPGA で開発した HSM に対する試験結果がま

とめられており、この中で HSM に対してファジング試験（問題を引き起こしそうなデータを大

量に送り込み、その応答や挙動を監視することで未知の脆弱性を検出する検査手法）を行ったこ

とが報告されている。EVITA では FPGA で実装したハードウェアと、これを利用するためのド

ライバソフトウェアが同時に開発されているが、評価試験ではハードウェアとドライバの両方に

ついてファジング試験が行われた。

EVITA のファジング試験では、ハードウェアである HSM と低レベルドライバに対し、脆弱

性試験を行うために別々のファジングエンジンを開発している。HSMに対しては同じ FPGA 上

に搭載された PowerPC を、組込み Linux(ELDK: Embedded Linux Development Kit8)で駆動し

てファジングを実行している。低レベルドライバに対しては Infineon のマルチコア型車載マイ

コンである TriCore TC1797/MCAL を利用して、ファジングデータを注入している。マイコンに

対してマイコンでファジングを行う手法は一般的なソフトウェア製品の手法に比べると独特なも

のとなっている。

7 EVITA - Deliverable D4.4.2: Test Results, 2012-02-15

http://www.evita-project.org/Deliverables/EVITAD4.4.2.pdf 8 Embedded Linux Development Kit (ELDK), XILINX, http://wiki.xilinx.com/installing-eldk

3

2.1.1.2 EMVY RPCのセッション認証対策

EVITA セキュリティ仕様を利用する際は、BMW 社の車載システム開発フレームワークであ

る「EMVY」を利用する。EMVY 上では RPC (Remote Procedure Call)のようなクライアント・

サーバ間通信が利用されているが、EMVY の RPC ではサービスを呼び出すクライアントのセッ

ションがなりすまされる脆弱性があったという。そのため EVITA では認証チケットを利用して

セッションを保護する機能を追加している。

2.1.1.3 システムレベル検証 - 性能評価

EVITA ではシステムレベルの検証として、MATLAB Simulink を使って CAN バスの性能評価

を行っている。MATLAB Simulink はモデル化されたコンポーネントを GUI (Graphical User

Interface)でつなぎあわせることで簡単にシミュレーションによる評価・試験を行うツールであ

る9。内部では CAN バス上のハードウェアレベルでの通信が模擬されるため実機に近い評価が

可能である。

2.1.1.4 動的試験 - 侵入検知

侵入検知は未知の脆弱性への攻撃を防御する方法のひとつとして、特に制御系への侵入経路と

なる機能を一時停止させる、フェールセーフのために重要であるとしている。EVITA では侵入

検知を行うため、複数の EVITA 対応 ECU (Electronic Control Unit)上で動作する EMVY クライ

アントからログを集めて監視するソフトウェア・ウォッチドッグ(SWD: Software Watchdog)を

開発した。SWD は収集したログから異常なイベントと振る舞いを検出し、特定の通信や機能を

停止させるなどの保護対応を行う。

EVITA では実証実装として、プローブとフィルタを実装し、毎秒でイベントを収集する試験

を行っている。なお、実証実装時は UNIX OS 上に実装しており、HSMとは連携していない。

2.1.1.5 EVITAの成果と今後の課題

EVITAでは車載 LANのセキュリティ仕様のAPI (Application Programming Interface)を仕様

化し、FPGA への実装を実現し、EMVY フレームワークによる試験環境を開発した。その結果、

保護されたメッセージ交換の機能と性能について良好な試験結果を得たが、製品として採用する

ための洗練されたレベルではなく、あくまで研究目的での成果と位置づけている。今後は、特定

の通信バス向けの製品化のための正式な試験と、既存の部品との通信時の脆弱性検証を行う必要

があるとしている。また、EVITA ではセキュアブートについて必須の機能であるとしているが、

EVITA プロジェクトにおいては試験が行われず、今後の課題としている。

9 MATLAB Simulink, http://www.mathworks.co.jp/products/simulink/

4

2.1.2 PRESERVEプロジェクトの動向

EVITAで開発したHSMをASIC (Application Specific Integrated Circuit)として実装して量産

化・低価格化し、公開鍵インフラ(PKI: Public Key Infrastructure)と連携した実証試験を行うの

が PRESERVE プロジェクト(以下、 PRESERVE と記述)である。PRESERVE の総予算は 544 万

ユーロ、そのうち 385万ユーロを欧州の研究開発予算である FP710から助成されている。活動予

定は 2011 年 1 月から 2014 年 12 月まで。実作業にあたるプロジェクトパートナーは Twente 大

学（蘭）、escrypt 社（独）、フラウンホーファー研究所（独）、スウェーデン KTH ストックホル

ム社（典）、ルノー社（仏）、Trialog 社（仏）である。諮問機関であるアドバイザリーボードに

は、アウディ社（独）、BMW 社（独）、ダイムラー社（独）、デンソー社（日）、インフィニオン

社（独）、フォルクスワーゲン社（独）と、ドイツの主要自動車メーカーが中心に参加している。

米国からも、サポートメンバーとして、路車間・車車間通信を利用したセーフティ機能の研究

開発を行う団体である CAMP VSC3(Crash Avoidance Metrics Partnership, Vehicle Safety

Communications 3)コンソーシアムが参加している。CAMP VSC3は後述する米国SAFETY PILOT

実験で主要な役割を果たしている。

2.1.2.1 V2Xセキュリティアーキテクチャ(VSA)

PRESERVE の最初の成果は、これまでの EU’s Seventh Framework Programme for Research

(FP7)での自動車関連セキュリティ研究開発活動における SeVeCom、EVITA PRECIOSA の成果

をとりこんだ、V2X セキュリティアーキテクチャ(VSA:V2X Security Architecture)である。V2X

は自動車と何か(Vehicle to X)の略で路車間・車車間通信の意味である。主要な成果のひとつは互

換レイヤ(convergence layer)で、通信スタックと車載セキュリティサブシステムの間で通信 API

を提供するレイヤである。図2-1では左下左から2列目にある。互換レイヤはフランス「Score@F11」

などのような V2X 通信機能で他社製品と相互運用するためのインタフェースとなっている。な

お、Score@F はフランスの研究開発プロジェクトで、路車間・車車間通信によってセーフティを

向上させることを目標にしている。

10 FP7: EU’s Seventh Framework Programme for Research

http://ec.europa.eu/research/fp7/index_en.cfm 11 SCORE@F, ITS World 2012, http://2012.itsworldcongress.com/zone/ExhibitorList/Exhibitor/8633/SCOREF

5

図 2-1 PRESERVE – V2Xセキュリティアーキテクチャ

2.1.2.2 フィールド運用試験

PRESERVE では、小規模なフィールド運用試験から開始し、大規模な組み合わせ型のフィー

ルド運用試験、フランスの V2Xプロジェクト「Score@F」との合同試験、という順番で数年にわ

たり試験を行う予定である。

2.1.2.3 PRESERVEの普及活動

PRESERVE は世界標準への普及活動として、欧州と米国の ITS 向けのセキュリティ標準仕様

を調和させる活動(ハーモナイゼーション)も行っており、USDOT (United States Department of

Transportation : 米国運輸省)や IEEEなどを含む EU-US ITS Cooperation HTG Harmonization

Task Group (EU-US HTG)に参加している。欧州側の上位にあたる組織は欧州の C2C-CC (CAR 2

CAR Communication Consortium) 12 、 標 準 化 に つ い て は 欧 州 ETSI (European

12 C2C-CC: CAR 2 CAR Communication Consortium, http://www.car-to-car.org/

6

Telecommunications Standards Institute)13となっている。欧州では欧州委員会による M/453 指令

14により、2013年までに ITSの標準化を行う目標がある。

欧米協調の EU-US HTG については 2012 年 11 月 15 日にワークショップが開催され15、活動

状況が報告されている16。欧州と米国の間では、別々に定義された ITS 向けセキュリティ標準仕

様の間で相互接続可能にするための調和活動を行ってきたが、100件前後の細かな仕様の食い違

いの問題があり、そのうち半分程度が中から高のレベルで問題があったと報告している。具体的

には、セキュリティ API がどのソフトウエアスタックから呼び出されるのかの不整合や、公開

鍵インフラ(PKI)を利用するときに 5 年以上など長期間の証明を行うことがあるか、といった課

題が指摘されている。そのため HTG としては EU と US 間での標準仕様の統一には至っていな

い状況である。

なお、日本を含めた地域間でのメッセージの比較と違いについては JARI の報告が詳しい17。

また、EU-US HTG に関する経緯と動向、日本、韓国を含めた協力関係については JSAE の資料18

が詳しい。今後も PRESERVE による仕様の世界統一化活動は継続されていくものと見られるた

め、注意が必要である。

13 ETSI: European Telecommunications Standards Institute, http://www.etsi.org/ 14 EC M/453: STANDARDISATION MANDATE ADDRESSED TO CEN, CENELEC AND ETSI

IN THE FIELD OF INFORMATION AND COMMUNICATION TECHNOLOGIES TO SUPPORT

THE INTEROPERABILITY OF CO-OPERATIVE SYSTEMS FOR INTELLIGENT TRANSPORT

IN THE EUROPEAN COMMUNITY, EU, 2009-10-06

http://ec.europa.eu/enterprise/sectors/ict/files/standardisation_mandate_en.pdf 15 “International ITS Harmonization Workshop”, EU-US HTG と PRESERVE共催、2012-11-15

http://www.preserve-project.eu/harmonization-workshop 16 EU-US HTG 活動報告集, EU-US HTG1&3, 2012-11-15

https://www.dropbox.com/s/e1z0uuxubr0znhi/HTG1%263_Reports.zip 17 路車・車車協調システムの統合化に向けて, JARI, 鈴木 尋善, 2012-10-06

http://www.jari.or.jp/resource/pdf/JRJ/JRJ20121006_q.pdf 18 「ITS標準化動向」、JSAE, 2012-11-30, http://www.jsae.or.jp/01info/its/doc121130.zip

ISO TC204 WG14 Convenor, WG14 分科会長, 赤津洋介, 日産自動車

http://www.its-jp.org/wp-content/uploads/2011/03/1-2-3-akatsu.pdf

7

2.1.3 自動車組込みセキュリティ会議「escar 2012」

「escar (Embedded Security in Cars)」19は毎年ドイツで開催されている、自動車向けの組込み

セキュリティ関連の国際会議である。2012年は 10回目の開催（会場はベルリン）で会期は 2日

間、参加者は約 100名であった。参加者は半分以上がドイツ国内から、その他は欧州、米国、韓

国、日本などからの参加で、日本からは約 10 名の参加があった。

2.1.3.1 Bosch社による基調講演

Bosch 社は「Internet of Things」の視点から自動車のセキュリティの考え方を提示していた20。

現在、ネットワークにつながる機器は家から電話、モノへと普及し、全てがインターネットに繋

がる社会が実現しつつあるとしている。その中で自動車も同じようにインターネットに繋がるモ

ノのひとつとして、信頼性と安全性を考える必要があるとしている。このとき、セーフティとセ

キュリティは互いを実現するために不可分であると指摘している。

2.1.3.2 キャタピラー社による基調講演

ショベルカーや鉱山運搬車など建設機械を開発・販売しているキャタピラー社からは、自動車

の情報セキュリティの典型的な課題が具体的に示されていた21。建設機械も自動車と同じように

電子制御化されており、多機能であるため CAN バスや Ethernet を利用して車載システムのネ

ットワーク化が進んでいる。その一方、建設機械は継続して 20 年以上使用することや、使用現

場で頻繁に修理するため、自動車と同じセキュリティ上の脅威が存在している。現実に存在して

いる脅威の例として、米国のホームランドセキュリテイ省が 2007 年に行った、発電用のディー

ゼルエンジンを破壊に至らせる運転実験22を紹介している。

キャタピラー社は自動車のセキュリティの課題について、パソコンとは異なる組込みセキュリ

ティ特有の課題として、脆弱性が発見されると数百以上の機器について対応しなければならない

困難さや、外部の公開鍵インフラ(PKI)に常時依存することはできない点を指摘している。また、

PKI についてはキャタピラー社の場合、製品寿命が 20 年以上に及ぶため、証明書の有効期間及

び無効化の考え方を取り入れることは容易ではなく、別の考え方が必要だとしている。

その上でキャタピラー社では、現在のプラットフォームに追加型のセキュリティ技術か、根本

的なセキュリティ技術を採用したプラットフォームへの移行が必要であるとまとめた。

19 escar: Embedded Security in Cars, https://www.escar.info/ 20 Automotive Security in the Internet of Things and Services (IoTS), 10th escar, Dr. Klaus Dieterich, Bosch,

2012-11-28

https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/Dieterich_Bosch_Keynote_Presentation.pdf 21 Earth Moving Security Vision, PWBierdeman, Caterpillar, 2012-11-28

https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/Caterpillar_Keynote_Presentation.pdf 22 Can Your Generator Be Hacked?, DATA CENTER KNOWLEDGE, Rich Miller, 2007-09-27

http://www.datacenterknowledge.com/archives/2007/09/27/can-your-generator-be-hacked/

8

2.1.3.3 DIAMONDSプロジェクト

ドイツ・ドルニエコンサルティング社23から、高いセキュリティを必要とするシステムにおけ

る、モデルベースのセキュリティ試験の手法とツールの開発を行う「DIAMONDS プロジェク

ト」24の紹介があった25。

DIAMONDSプロジェクトは欧州の研究開発助成プログラムであるEUREKA26の一部である、

情報技術関連の ITEA2 (Information Technology for European Advancement)27に属している。

DIAMONDS プロジェクトではセキュリティ試験を開発の早い段階で自動的に行うため、モデ

ルベースの試験と監視を行う方法を目指している。その結果、設計段階から脆弱性を発見し、セ

キュリティに対応するための効率的なシステム設計が可能だとしている。また、本プロジェクト

の対象としては、産業向けに、銀行、交通、通信などのマルチドメインのセキュリティに対応す

るとしている。

DIAMONDS プロジェクトのようにセキュリティ試験を自動化・機械化することは、設計期間

の短縮のほか、第三者によって漏れや間違いを検証することも容易にすると考えられる。

23 Dornier Consulting GmbH, http://www.dornier-consulting.com 24 DIAMONDS Project, http://www.itea2-diamonds.org/ 25 A case study report on security testing of Bluetooth functionality in an automotive environment, Dornier

Consulting, 2012-11-29

https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/Dornier_Presentation.pdf 26 EUREKA, http://www.eurekanetwork.org/ 27 ITEA2: Information Technology for European Advancement, http://www.itea2.org/

9

2.1.3.4 OVERSEEプロジェクト

OVERSEE プロジェクト28は FP7 の交通系セキュリティプロジェクトのひとつである。車載シ

ステム上で複数のメーカーの複数のアプリケーションをひとつのマルチコアボード上で共存させ

るため、仮想マシンを利用して実行環境を分割しながら、ポリシー制御を適用することでセキュ

リティを提供する。

図 2-2 OVERSEEのセキュリティモデル

図 2-2 は OVERSEE の入出力管理を示す図29である。図の右上で、複数のアプリケーションが

同じハイパーバイザー上の仮想マシンである「ユーザーパーティション」として実行されている。

これらアプリケーションが図の下にあるハードウェアを経由して入出力を行う場合、必ず図の左

上にある入出力管理のポリシーモジュール(Policy Module)を経由して許可または遮断される形

でセキュリティが提供される。

OVERSEE プロジェクトは 2012 年 12 月に最終発表を行い終了した。この成果は前述の

PRESERVE に引き継がれて ASIC上に実装されている。

28 OVERSEE Project (Open Vehicle Secure Platform), https://www.oversee-project.com/ 29 OVERSEE - A Secure and Open In-Vehicle IT Platform, Hakan Cankaya, escrypt, 2012-11-28

https://www.escar.info/fileadmin/Datastore/2012_escar-Vortraege/ESCRYPT_OVERSEE_Presentation.pdf

10

2.2 米国の自動車情報セキュリティの動向

本節では米国の自動車情報セキュリティの動向を報告する。米国で活動する関係者によると、

全般的に、米国では自動車情報セキュリティに関する活動が目立つようになってきたとのことで

ある。

2.2.1 SAEのセキュリティ関連活動

SAE (自動車技術会, SAE International)では 2011年 2月から自動車の情報セキュリティに関す

る活動グループが立ち上がり、2012年 11月現在、”SAE Motor Vehicle Council, Electrical Systems

Group (TEVEES18)”という委員会で活動している。ここでは escar 2012で GM (General Motors)

社が発表した SAE 活動報告の内容を紹介する。

TEVEES18 では、車載の電子システムのセキュリティを対象に、システムへの侵害の発見・回

避し、その被害を受けたとしても軽減するための方法を検討している。当委員会では自動車情報

セキュリティと航空関連のセキュリティ専門家を招いて発表会を行うなどして、情報共有を行っ

ている。また、委員会では自動車・道路・交通関連の情報共有分析センター(ISAC: Information

Sharing and Analysis Center)30との連携も行っている。

委員会では 2つのサブ委員会を立ち上げている。1つは自動車のセキュリティガイドラインと

リスク評価のタスクフォース(TEVEES18A)である。もうひとつは車載電子機器のセキュリティ

タスクフォース(TEVEES18B)である。

2.2.1.1 SAE TEVEES18A - セキュリティ評価手法

TEVEES18A では、車載システムに関連したセキュリテイリスクの評価手法に注目しており、

EVITA リスク評価手法31、NIST (National Institute of Standards and Technology) SP 800-53手法

32、Microsoft STRIDE 脅威モデル手法33が検討されている。最終的には脅威の区分を元にリスク

評価手法とセキュリティ要件のガイドラインを提案する予定である。

2.2.1.2 SAE TEVEES18B – ECUハードウェアセキュリティ

TEVEES18B では、特にセキュリティの影響が大きい ECU についてハードウェアでセキュリ

ティに対応する方法について検討している。候補としてHISのSHE、EVITAのHSM、TCG (Trusted

Computing Group)の TPM (Trusted Platform Module)が検討されている。

30 National Council of ISAC, http://www.isaccouncil.org/ 31 EVITA Deliverable 2.3, EVITA Project, 2009-12, http://evita-project.org/Deliverables/EVITAD2.3.pdf 32 NIST SP 800-53 Rev. 4, 2012-02-28, http://csrc.nist.gov/publications/PubsSPs.html 33 STRIDE: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege.,

Microsoft, 2006, http://msdn.microsoft.com/ja-jp/magazine/cc163519.aspx

11

2.2.1.3 SAEのセキュリティ関連活動の背景

米国においては自動車の情報セキュリティが必要であるとされる背景に、議会による規制であ

る MAP-21 (Moving Ahead for Progress in the 21st Century Act)があるとしている。MAP-21で

は NHTSA (National Highway Traffic Safety Administration)に対し 2014 年までに電子的なセー

フティ標準の検討が要請されており34、これが事実上自動車の情報セキュリティを必須としてい

ると考えられている。

SAE には USDOT と、USDOT に属する研究機関である RITA(The Research and Innovative

Technology Administration)35、RITA の一部門である Volpe Center36もリエゾンとして参加して

おり、毎年 1月には米国自動車業界と米国政府の情報交換を行う会議37を開催している。

米国 SAE と日本の JSAE との間では活動について全体的に情報交換を行っているが、日本の

多くのメーカーに向けた、世界的な情報セキュリティ技術に関する情報交換を今後拡充してく必

要があると考えられる。

2.2.2 米国運輸省 Safety Pilot (SAFETY PILOT)

「SAFETY PILOT」38は USDOT が行う車車間通信を利用したフィールド運用試験である。

USDOT 傘下の研究機関「RITA (The Research and Innovative Technology Administration)」39の

研究プロジェクトのひとつで、ミシガン大学交通研究所・人的要因部門 (The University of

Michigan Transportation Research Institute, Human Factors Division)がプロジェクトを進めてい

る。実施期間は 2011 年 8 月から 2014 年 2 月までである。SAFETY PILOT では、路車間通信を

使って運転者に周囲の警告や交通標識を知らせることで安全運転を実現しつつ、運転者への効果

を検証する。フィールド運用試験に使われる自動車、トラック、バスは合計 2,800 台以上40、車

載機と路側機はあわせて約 20 機種を投入し、複数メーカーと複数機種の間での相互運用性も試

験する41。

34 H.R. 4348: MAP-21, Govtrack.us/Civic Impulse, LLC, 2012-04-16

http://www.govtrack.us/congress/bills/112/hr4348 35 RITA: The Research and Innovative Technology Administration, http://www.rita.dot.gov/ 36 Volpe Center, http://www.volpe.dot.gov/ 37 “SAE 2013 Government/Industry Meeting, Technical & Business Session”, SAE, 2012

http://www.sae.org/servlets/techSession?EVT_NAME=GI&GROUP_CD=SPEC&SCHED_NUM=199952&REQUES

T_TYPE=SESSION_LIST 38 “Connected Vehicle Safety Pilot Program”, NHTSA, 2012-08-21, http://www.safercar.gov/ConnectedVehicles/

“Connected Cars Hit the Road in Safety Pilot Program”, PC Magazine, 2012-08-22

http://www.pcmag.com/article2/0,2817,2408774,00.asp 39 RITA: The Research and Innovative Technology Administration, http://www.rita.dot.gov/ 40 “SAFETY PILOT MODEL DEPLOYMENT”, UMTRI, 2011

http://www.umtri.umich.edu/content/SafetyPilot_brochure_v3.pdf 41 “Safety Pilot”, 米国 RITA, 2012-11-21, http://www.its.dot.gov/safety_pilot/

12

図 2-3 米国「SAFETY PILOT」のイメージ

SAFETY PILOT ではセキュリティとプライバシーについても評価の対象となっている。RITA

による ITS業界向けのセミナー資料では、セキュリティのため V2I (Vehicle to Infrastructure, 路

車間通信)には双方向通信を利用するが、V2V (Vehicle to Vehicle, 車車間通信)には一方向通信だ

けを使う方法が示されている42。また、米国 SAEの 2012年プレゼン資料43などによれば、SAFETY

PILOT では IEEE 1609.244で標準化された電子証明書技術が採用され、CAMP VSC3 による電子

証明書の検証回数を削減する”Verify-On-Demand”などの工夫45が導入されているもようである。

42 “USDOT ITS Research Program”, RITA, 2012-05--01

http://www.pcb.its.dot.gov/t3/s120501/s120501_row.pdf

“What is the Connected Vehicle Research Program? Status and Span”, JPO T3 Webinar archives”, 2012-05-01

http://www.pcb.its.dot.gov/t3/s120501/s120501_res_prog_intro.asp 43 Presentations from the 2012 Event, “Crash Avoidance II”, SAE, 2012

http://www.sae.org/events/gim/presentations/2012/ 44 ITS Standards Fact Sheets, IEEE 1609 - Family of Standards for Wireless Access in Vehicular Environments

(WAVE), RITA, http://www.standards.its.dot.gov/fact_sheet.asp?f=80 45オーランド ITS 世界会議報告

http://www.its-jp.org/wp-content/uploads/2011/11/IS09-Security-for-Cooperative-Mobility.pdf

13

2.2.3 CyberAutoチャレンジ

2012年 8 月、メリーランド州にあるエイバーディーン米国陸軍試験場で、高校生・大学生が

参加して自動車へのサイバー攻撃を実験するワークショップ「CyberAuto Challenge」が開催

された46。主催は技術革新を支援する非営利団体「Battelle47」である。

会場では、指導者として米国国防省、米国運輸省の担当者のほか、自動車メーカー3 社から

技術者が参加していた。このイベントは今後も継続される予定で、自動車の情報セキュリティ

に関する新しい人材育成の場として機能すると見られる。

2.2.4 TCGの活動

TCG (Trusted Computing Group)48は、信頼できるプラットフォーム・インフラを構築するた

め、ハードウェア、ソフトウェアの業界標準仕様を策定し、普及活動を行っている国際的な業界

団体である。具体的には情報通信機器向けにソフトやデータの検証・証明機能を提供する TPM

(Trusted Platform Module)など仕様がある。2012年3月にはトヨタ自動車がTCGに新規加盟し、

TCG 内で自動車を含む組込み機器向けの検討を行う「EmSys WG (Embedded Systems Work

Group)」で自動車向けユースケース等を展開・検討している。

2012 年 11 月に東京で行われた、TCG 日本支部主催第 4 回 TCG 公開ワークショップ49では、

TCG 理事会社で EmSysWG 共同議長でもある富士通から、車載向けの TPM の可能性などにつ

いて講演があった。このワークショップでは TPM の可能性について、「ARM は Android 搭載

機器で利用されており、スマートフォンなどでの活用が期待されること」や「車載機器のソフト

ウェア更新(リモートメンテナンス)において、更新すべきソフトウェアの特定とコード検証、お

よび一連の作業ログの証拠保存・担保について TPMを活用することができること」が報告され

ている。こうした機能を利用した運用が、自動車のように広く普及するためには、政府機関等の

ガイドライン整備も必要になると TCG では指摘しており、このとき TPM は世界標準の一つで

ある ISO (International Organization for Standardization, 国際標準化機構)標準化が完了してい

ること が強みであるとしている。

TPM については、必ずしもハードウェアとしてチップが実装される必要はなく、ソフトウェ

アとしてセキュアな実行環境で実現したり、計測と検証の機能が分割されることがあったり、仮

想的に実現することもあるなど、様々な適用可能性があるため配慮が必要である。

46 CyberAuto Challenge Helps Expose Car Security Flaws, TechNewsDaily, 2012-08-17

http://www.technewsdaily.com/6109-cyberauto-challenge-car-security.html 47 Battelle, http://www.battelle.org/ 48 TCG: Trusted Computing Group, http://www.trustedcomputinggroup.org/ 49 第 4回 TCG公開ワークショップ, TCG日本支部, 2012-11

http://www.trustedcomputinggroup.org/jp/jrfworkshop/jrfworkshop

14

2.3 日本国内の自動車情報セキュリティの動向

2.3.1 自動車の情報セキュリティに関する活動

2.3.1.1 IPAにおける自動車情報セキュリティの検討

IPA では「2011 年度 自動車の情報セキュリティ動向に関する調査」50と、IPA テクニカルウ

ォッチ「自動車の情報セキュリティ」に関するレポート51を公開した。この中で、スマートフォ

ンの普及と自動車のインターネット接続、車載機器間のオープン化、これに伴いネットワーク経

由で自動車が外部から攻撃を受ける可能性が高まっていることを指摘している。

2012 年 10 月に開催された ITS 関連の世界的な会議である「ITS 世界大会 2012」52では自動車

の情報セキュリティに関する専門のセッション53が初めて設けられ、escrypt 社、IPA を含む 5

名が発表を行った。ITS世界大会はほとんどの内容が利用に関する展示・発表だが、今後セキュ

リティに関する情報提供もあわせて展開する必要があるだろう。

2.3.1.2 JSAE及び JEITAによる標準化活動

自動車技術会(JSAE: Society of Automotive Engineers of Japan)は 2010 年から情報セキュリテ

ィに関する標準化を目指して「セキュリティ標準化企画小委員会」で検討を行っている。2012

年12月現在、当委員会ではSAE内部で利用可能なガイドラインを整備しているとのことである。

JSAE では ITS 関連の国際的な標準化活動に日本の業界団体の代表としても参加しており、担

当している「ITS 標準化委員会」は自動車、道路、通信、消費者などの委員 27 名で構成されて

いる54。

また、電子情報技術産業協会(JEITA: Japan Electronics and Information Technology Industries

Association )55が担当している ISO TC204 (Technical Committee, 専門委員会)では、自動車本体

の標準化を担当する ISO TC22 とのリエゾン活動が行われており、そうした中で持ち込み機器と

自動車本体のインタフェース標準である ISO 13185 などが検討されている56。

50 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開、～ネットワーク化・オープン化の

進む自動車にセキュリティを～, IPA, 2012-05-31

http://www.ipa.go.jp/security/fy23/reports/emb_car/index.html 51 IPA テクニカルウォッチ「自動車の情報セキュリティ」に関するレポート, IPA, 2012-05-31

http://www.ipa.go.jp/about/technicalwatch/20120531.html 52 ITS World Congress 2012, 2012-10-22, http://2012.itsworldcongress.com/ 53 Cybersecurity and the impacts on the Intelligent Transportation System, ITS World Congress, 2012-10-25

http://2012.itsworldcongress.com/zone/Timetable/Event/178 54 2012年度ＩＴＳ標準化委員会 委員・関係者名簿、JSAE、2012-08-27, http://www.jsae.or.jp/01info/org/its/its.pdf 55 JEITA: 一般社団法人 電子情報技術産業協会, http://www.jeita.or.jp/ 56 Nomadic Device*の自動車関連活用並びに関連標準化動向, JARI, 2012-06-27, “３．携帯機 携帯機器・自動 携 動

15

ISO TC204 と、WG17 Nomadic Device は今車載システムとスマートフォンなどとのインタフ

ェースとして、さらに自動車の車外やインターネットと接続するための通信インタフェースとし

て諸団体が関与を強めており、セキュリティ的にも重要な標準化活動だと考えられる。

2.3.1.3 ITS Japanがセキュリティガイドラインを更新

「ITS情報通信システム推進会議」(ITS Forum)57は ITS普及促進のため研究開発と標準化を進

める業界団体である。ITS Forum は 2011年 4月に車車間・路車間通信の運用システムと、通信

システムについてセキュリティガイドラインを公開し、2012 年に通信システムについてセキュ

リティガイドラインの更新版を公開58している。

ITS Forum のセキュリティガイドラインは、車車間・路車間通信のしくみと利用想定が詳しく

紹介されており、わかりやすい。ガイドラインの検討手順は、モデルの定義、サービスの特定、

脅威の分析を行い、これに必要なセキュリティ対策を提示する順である。セキュリティ対策には、

米国の IEEE 1609.2を利用した PKI方式も含まれており、国際的な協調に配慮されている。また、

車車間、路車間、運用管理の 3形態についてセキュリティ対策が提示されており、運用管理まで

含めた網羅性がある。

2012年の更新では「付録」に以下の情報が追加されている。

(1) 共通鍵アルゴリズム適用時の鍵管理について

(2) リプレイ攻撃について

(3) 路情報(間)への攻撃と対策例

(4) セキュリティ情報の格納・更新・設定変更を行うプリミティブの検討

ただし、ITS Forum のセキュリティガイドラインは仕様として規定されていない部分を補完し

たものと見られるため今後、標準仕様としてどのように進めるか注目が必要だと考えられる。

2.3.1.4 日本におけるフィールド運用試験

トヨタ自動車は「ITS 実験場」59として 3.5 ヘクタールの広大な敷地で 700MHz 帯の電波を利

用できる実験場をトヨタ・東富士研究所（静岡県裾野市）に設置した。ITS 実験場では一般道路

と信号機などを含む市街地を再現し、安全運転支援システムや環境システムの研究開発を加速さ

せるとしている。今後、自動運転などを含め ITS をより積極的に活用した新しい応用を実現する

ために重要な役割を持つと考えられる。

車連携関連の国際標準化”, http://www.jari.or.jp/resource/pdf/H23jigyo/20120627-7.pdf 57 ITS情報通信システム推進会議, http://www.itsforum.gr.jp/ 58 運転支援システムに関するセキュリティガイドライン, ITS FORUM RC009 1.1 版, ITS Forum, 2012-04-25

http://www.itsforum.gr.jp/Public/J7Database/p41/p41.pdf 59 ITS技術の早期実用化をめざし、「ITS実験場」を新設【トヨタ自動車】, JSAE, 2012-11-12

http://guide.jsae.or.jp/topics/44144/

16

2.3.2 OBD-IIを活用する製品の例

2.3.2.1 カーメイト「ドライブメイト・コネクト DX500」

カーメイト社は無線 LAN型の OBD-II アダプター製品「ドライブメイト・コネクト DX500」

と、これとセットで利用するスマートフォンアプリを開発・販売している。カーメイトではスマ

ートフォン用のアプリ「DriveMate(ドライブメイト)シリーズ」60として、ドライブレコーダー、

衝突警報、エコ運転支援などのアプリを 10種類以上提供している。

図 2-4 DriveMate用の OBD-IIアダプターと iPhoneアプリの例

カーメイト社へのヒアリングによれば、セキュリティについて現在できるかぎりの配慮を行っ

ているとのことである。例えばドライブメイトで DX500 に同時に接続できる端末は 1 台に限ら

れている。また、DX500を通じて OBD-II と交換するデータは CAN メッセージとは別の専用形

式に変換しており、CANバスに対する干渉は難しくなっているとのことである。

カーメイト社のような情報セキュリティへの取り組みは、今後他のメーカーやサービス事業者

にも普及を図るための先例となると考えられる。

60 DriveMate, カーメイト, http://www.drivemate.jp/

17

2.3.2.2 テクトム「CAR～Wi」

テクトム社は ODB-II ポートに装着する「車両情報取得用無線 LAN 端末『CAR～Wi』」の販

売を 2012 年から開始した61。CAR～Wi は OBD-II から取得した情報を利用したアプリケーショ

ンのメーカーが開発に利用するツールとなっており、その一例として SDV ソリューションズ社

が安全運転支援を行うサービス「CiEMS」62を発売している。

この事例のように、OBD-II ポートを経由した車載システムの情報を活用したビジネスが今後

も加速するものと考えられ、セキュリティ対策への配慮が求められる。

2.3.3 「オートパイロットシステムに関する検討会」

2012年は「ぶつからないクルマ」を掲げた自動車製品が相次いで登場している。米国 Google

社は自動運転車を開発・試験しているが、2012 年 9 月には米国カリフォルニア州で自動運転車

が公道を走行できる法案が署名されている63。こうした中、日本の国土交通省は 2020 年代初頭

までに自動運転を実用化するため、「オートパイロットシステムに関する検討会」を開催してい

る64。

自動運転についてはその機能とセーフティを実現するためにソフトウェアとネットワークが必

須であり、同時にセキュリティへの対応が不可欠となる。自動運転は段階的に機能が追加されて

実現されると見られるが、こうしたステップごとにセキュリティ対応が必要になると考えられる。

61 車両情報取得用無線 LANアダプター「CAR～Wi®」, テクトム, http://www.techtom.co.jp/CAR-Wi.html

ニュースリリース, テクトム, 2011-11-30, http://www.techtom.co.jp/archive/car_wi_press.html 62 CiEMS, http://www.ciems.jp/ 63 Google の自動運転カー、カリフォルニア州の公道での運転が可能に, ITmedia, 2012-09-26

http://www.itmedia.co.jp/news/articles/1209/26/news064.html 64 2020年代初頭に自動車の自動運転を実用化、国土交通省が検討会, 日経 Automotive Technology, 2012-06-27

http://www.nikkei.com/article/DGXNASFK27023_X20C12A6000000/

オートパイロットシステムに関する検討会, 国土交通省, 2012-06-27

http://www.mlit.go.jp/road/ir/ir-council/autopilot/index.html

18

3 自動車情報セキュリティの脅威の事例

本章では、自動車情報セキュリティに関して、実際に発生した事例や研究者による実証に基づ

く脅威について調査を行った結果を示す。

3.1 Hitag2イモビライザーキーの脆弱性問題

3.1.1 Hitag2 イモビライザーキーの認証鍵を 5分程度で解読

2012年 8 月、第 21 回 USENIX Security で「Hitag2」というイモビライザーキーの認証鍵が 5

分ほどで解読できる問題について発表が行われた65。

Hitag2 は 1990 年代に開発された、RFID タグを利用してエンジン始動の許可を制御するイモ

ビライザーである。専用の暗号方式で、48ビットの鍵を認証と暗号化に使っている。発表では、

Hitag2 の脆弱性を応用し、認証手順のデータを 1 分間収集して、5分間試せば鍵の解読が可能で

あることの報告とデモが行われている。

脆弱性の検証は RFIDシステムの試験を行うための Proxmark III ボード66を利用して、スマー

トキーと車載イモビライザーの間の電波を盗聴して解読し、正しいキーになりすます形となって

いる。Proxmark III には HF/LF 帯の電波の符号化・復号化を処理するための FPGA と、フレー

ム処理を行うマイコンなどが搭載されており環境が整っているが、一般利用者から見れば攻撃を

行う難易度はやや高い。

この論文に対する NXP セミコンダクタ社のコメント67によれば、この方法で自動車を盗むに

は、旧型の Hitag2 であること、個別の自動車のドアを開く必要や、その自動車の鍵に無線通信

する必要があることなど 10 のステップを満たさなければならないことを挙げ、一定の難易度が

あることを示している。また、2009年以降はAESベースの製品を提供しているとのことである。

この問題に対する利用者の対策としては、自動車の鍵を他人が触れないようにすること、ドア

を施錠すること、ハンドルをロックすること、などがある。自動車メーカーによる製品への対策

としては、「専用暗号化方式ではなく AES などを利用する」「乱数生成器を改良する」などの点

が指摘されている。

65 Gone in 360 Seconds: Hijacking with Hitag2, 21st USENIX Security Symosium, Radboud University Nijmegen,

2012-08-08

[ビデオ] https://www.usenix.org/conference/usenixsecurity12/gone-360-seconds-hijacking-hitag2

[スライド資料] http://www.cs.usfca.edu/~ejung/courses/683/presentations/hitag3.pptx 66 A Test Instrument for HF/LF RFID, Proxmark 3, 2009-02, http://cq.cx/proxmark3.pl 67 Statement by NXP Semiconductors on the research results of Radboud University Nijmegen, the Netherlands,

on vulnerabilities of NXP’s vehicle immobilizer chipset Hitag2, NXP, 2012-08-07

http://www.nxp.com/news/statement-by-nxp-semiconductors-on-the-research-results-of-radboud-university-nijm

egen.html

19

3.1.2 FPGAによる、低消費電力で高速なパスワード解読

Hitag2の脆弱性については BlackHat 2012でも FPGAを利用して 50秒で認証鍵を解読したと

の報告がある68。この手法も一般利用者から見れば攻撃の難易度はやや高く、対策も前述したも

のと同じではあるが、FPGA による高速なパスワード解読について指摘されている。

汎用的なパスワードリカバリー(パスワード解読)ソフトを販売するELCOMSOFT社によれば69、

現在高速なパスワード解読を提供しているグラフィックチップを利用した並列計算よりも、FPGA

を利用したほうが数倍以上高速で、消費電力は 10分の 1 以上低くコンパクト化が可能であると

指摘している。この理由として、グラフィックチップはパスワード解読処理に最適化されていな

いが、FPGAはパスワード解読専用にハードウェア処理を最適化できるためだとしている。今後、

攻撃者の能力を想定する場合には注意が必要である。

3.2 OBD-II 経由で一部旧車種のスマートキーを複製

できてしまう問題

2012 年 4 月、電子ロック式の自動車の合鍵を作る「イモビライザーテスター」と呼ばれる機

械が悪用され、自動車が盗まれる被害が日本で報じられた70。

イモビライザーテスターの正規品は数十万円で販売されているが71、中国製の類似品が数万円

で販売されているという。盗まれる自動車はいったんドアを開けられ、OBD-II ポートにイモビ

ライザーテスターを接続されたあと、合鍵が追加されている模様である。

イモビライザーテスターをOBD-IIに接続するだけで合鍵を作製できるのは数年前以上の旧型

の車種に限られ、最近の機種については ECU を分解し、ECU 上の特定チップの情報を書き換え

る必要がある72。なお、イモビライザーテスターを悪用した合鍵追加による被害は BMW の一部

旧車種などで海外でも報告されており73範囲が広い。

利用者の対応としては、ハンドルロックを利用するなどの対応が必要である。

68 Pico Computing Sponsors Black Hat USA 2012 - Company to Demonstrate HITAG2 Vulnerability, Pico

Computing, 2012-07-02, http://www.picocomputing.com/pdf/PR_Pico_BH_HITAG2.pdf 69 Accelerating Password Recovery: the Addition of FPGA, ELCOMSOFT, 2012-07-17

http://blog.crackpassword.com/2012/07/accelerating-password-recovery-the-addition-of-fpga/ 70 自動車診断ツールが盗難に悪用, SBD Japan, 2012-05-01

http://www.sbdjapan.co.jp/jpnews/post/news_release_automobile_diagnostic_tool_J.aspx 71 AD100 Pro , ADVANCED DIAGNOSTICS

http://www.advanced-diagnostics.co.uk/htm/Product-AD100Pro-Main.php 72 イモビライザー用合鍵作成業者(複数), 2012, http://www.keytechone.com/blog/?cat=13

http://www.heart-lock.com/immobilizer/immobilizer.htm

http://homepage3.nifty.com/lockdoctorkobe/lockdoctor_autoimobi.html 73 Watch Hackers Steal A BMW In Three Minutes, JALOPNIK, 2012-07-06

http://jalopnik.com/5923802/watch-hackers-steal-a-bmw-in-three-minutes

20

3.3 Bluetooth実装に多数の脆弱性がある問題

2011年度の本調査報告・付録編74で、Codenomicon (コードノミコン)社によるファジング結果

と車載向け Bluetooth 製品に多数の脆弱性がある問題を紹介した。この問題に関連するデモを示

すビデオが 2012年 2月に動画サイトに公開されていた75。

ビデオでは、Bluetoothの A2DP (Advanced Audio Distribution Profile)テスト一式を実行しよ

うとしたが、テスト用のBluetooth機器を接続しようとするとペアリング対象の一覧に”/dev/zero”

という名前の機器名が表示されたあと、車載機がハングアップする。ビデオによれば、車載機は

再起動させても復旧することがないという。Bluetooth の A2DP はモノラルまたはステレオの音

声データを伝送するプロファイルで、Bluetooth 車載機ではハンズフリーシステム用に搭載され

ているのが普通である。

Codenomicon 社の報告では、車載機のうち多くの Bluetooth 製品に基本的な脆弱性が多数含

まれていると指摘している。脆弱性が発見されたプロトコルスタックや対策方法については

Codenomicon社のホワイトペーパー「Fuzzing Bluetooth」76を参照されたい。

参考に、このビデオとは別の、攻略系のセキュリティ会議である GrrCON 201277での指摘も紹

介する。自動車のほかにバスや航空機を含むセキュリティについて攻略を行う視点で講演、発表

を行っている Chris Roberts 氏によれば、オスロ市街地に駐車してあったタクシーの車列で、

Bluetoothの PIN を解読して接続し、特定の CANバスメッセージを送ってタクシーのトランス

ミッションをニュートラルに投入させられるという78。

74 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開, IPA, 2012-05-31

http://www.ipa.go.jp/security/fy23/reports/emb_car/ 75 Fuzzing the latest cars with Bluetooth - Porsche Volvo Kenwood Alpine, mannyg08, 2012-02-06

http://www.youtube.com/watch?v=3ONDIoMYedI

2012 Audi Q5 MMI Fuzz Testing – Crashing, mannyg08, 2011-11-01

http://www.youtube.com/watch?v=J7qokDWnmro 76 Fuzzing Bluetooth, Codenomicon, 2011-09-19

http://www.codenomicon.com/resources/whitepapers/2011-bluetooth-fuzzing.shtml 77 GrrCON – Archives, MidWest InfoSec, LLC., 2012, http://grrcon.org/archive/ 78 GrrCON 2012 - Chris Roberts - By Land, By Sea, By Air, GrrCON 2012, 2012-11-18

http://www.youtube.com/watch?v=H0F2J_Xh6MA

21

4 自動車におけるネットワーク接続の動向

4.1 車載 Ethernet

車載 Ethernet の MAC レイヤ仕様を標準化する AVnu Alliance では、次期バージョンで車載

の制御系でも利用できる仕様を 2014 年以降に策定する模様である79。2011 年 3 月にトヨタ、ル

ネサス、NECエンジニアリング、ブロードコムが公開した AVB システムプロファイルへの要求

仕様80では、Ethernet レベルでのセキュリティ関連機能の例として以下のものが示されている。

(1) ポート単位のアクセス制御方式である IEEE 802.1X。鍵管理の仕様は IEEE 802.1X-2010で追

加されている

(2) Ethernet の MAC レベルでの暗号化方式である IEEE 802.1AE (MACSec または LinkSec)

(3) ハードウェアで保護された機器の鍵である IEEE 802.1AR

(4) 別の Ethernet セグメント、特にセキュアではないセグメントとのブリッジ: IEEE 802.1Q

これらは例であるが、Ethernet の MAC レベルでこうしたセキュリティ機能を利用できること

は、リアルタイムに対応する車載システム開発のためには非常に有用であると考えられる。ただ

し路車間通信や車車間通信では、自動車の車外に車載 Ethernet の通信が延長されるとは限られ

ないため、これらセキュリティ機能の応用範囲に注意が必要である。

4.2 車載機向け HTML5ワークショップ

HTML (HyperText Markup Language)の標準化を行っている W3C (The World Wide Web

Consortium)が車載機の HTML5 対応を見据えて、「Web and Automotive ワークショップ」81を

ローマで開催した。プログラム委員には、トヨタ ITC、BMW、QNX、ACCESS、KDDI など自

動車業界と携帯電話業界の企業が参加した。HTML5 は最新の Web ブラウザ機能の標準で、3D

やビデオを含むグラフィック機能、メッセージ交換、スレッド、ローカルストレージなど豊富な

機能を持っている。そのためユーザーインターフェースに限らず車載機の間での機能連携に利用

される可能性も持っており、セキュリティ的にも重要である。

このワークショップではセキュリティに関して API 関連でテーマの一つとして掲げられてい

た。セキュリティに関する発表は見当たらないが、参加者の立場表明では半分以上がセキュリテ

79 車載 Ethernetの基礎知識（上）データリンク層でリアルタイム性とフェールセーフを確保, 日経エレクトロニ

クス, 2012-08-31, http://itpro.nikkeibp.co.jp/article/COLUMN/20120828/418782/ 80 Requirements for Automotive AVB System Profiles, Junichi Takeuchi, 2011-03-15

http://www.avnu.org/files/static_page_files/9F0A4E3F-1D09-3519-ADBA4F0C747D7640/Contributed%20Automot

ive%20Whitepaper_April%202011.pdf 81 Web and Automotive Workshop, W3C, 2012-11-14, http://www.w3.org/2012/08/web-and-automotive/

22

ィを求めているなど82関心は高い。

今後、車載機も携帯電話やスマートフォンとともに HTML5 に対応する可能性は高い。そのよ

うな環境でどのようにしてセーフティを保護しつつ、利便性を実現してゆくか、十分な配慮が必

要である。

4.3 oneM2M

oneM2M83は 2012 年 7月に設立された、マシン間通信(M2M: Machine to Machine)を世界的に

標準化する組織で、世界の主な通信関連の標準化組織 7 団体を中心に各国で対応が進められてい

る。主な団体は日本の ARIB、TTC、欧州 ETSI、中国 CCSA、米国 ATIS、TIA、韓国 TTAであ

る。現在は各団体が M2Mの標準案を持ち寄って検討している模様である84。

関係者によれば、oneM2M では一般的な M2M 仕様の中で自動車の通信も扱う動きとのこと

である。なお、セキュリティについては WG4で Dragan Vujcic 氏が担当している。関連する提

案としては ETSI からの資料に、3GPP 系の携帯電話端末に利用される端末機器認証で、oneM2M

が用意するルート鍵に従う方法が見られ85、OMA の 3GPP 携帯電話のアプリケーション標準に

含まれる仕様も提案されている模様である。

自動車についてはプローブ情報のように状態を示すデータの収集のほか、制御や情報コンテン

ツの提供などの機能もあるため、他の M2M と同じように扱えるか検討する必要がある。しかし

oneM2M は自動車の通信についても標準化しようとする面もあるため、今後の活動に注意が必

要だと考えられる。

4.3.1 ITUの国際電気通信規則(ITR)改正

電気通信に関する国連の専門機関である ITU (International Telecommunication Union, 国際

電気通信連合)において、各国政府を法的に拘束する国際電気通信規則 (ITR: International

Telecommunication Regulations)が 2012 年 12 月に改正された86。主な改正内容は以下のとおり

である。

82 Workshop Papers, W3C, 2012-11-14, http://www.w3.org/2012/08/web-and-automotive/papers.html 83 OneM2M, http://www.onem2m.org/press/oneM2M%20Launch%20Release.pdf

http://www.ttc.or.jp/j/std/committee/wg/onem2m/ 84 oneM2M第 1回技術総会及び第 2回運営委員会会合報告, 日本 ITU協会, 2012-11

http://www.ituaj.jp/04_re/itu_journal/latest/2012_11-15oneM2M.pdf 85 8. M2M Architecture Description - ETSI, oneM2M, 2012-11-27

ftp://ftp.onem2m.org/Meetings/REQ/2012-11-27/oneM2M-REQ-2012-0053R01-ETSI_M2M_Architecture_Introduct

ion_-_Remote_Entity_Management.DOC 86 国際電気通信連合（ITU）2012年世界国際電気通信会議（WCIT-12）の結果, 総務省, 2012-12-15

http://www.soumu.go.jp/menu_news/s-news/01tsushin06_02000042.html

国家によるネット遮断が正当化される――ITR改正、日本など 55カ国が署名拒否, INTERNET Watch, 2012-12-17

http://internet.watch.impress.co.jp/docs/news/20121217_579155.html

23

(1) ネットワーク・セキュリティの確保、スパム拡散防止等について規定

(2) 携帯電話の海外ローミング料金の透明性向上、海外ローミング料金の競争の促進

(3) ITU によるインターネットへの取組、関与の強化

今回 2012 年の ITR 改正については日米欧などの 55 カ国が、インターネットのコンテンツ規

制や検閲、遮断等の規制強化につながりかねないとして署名していない。それ以外の 89 カ国は

署名を行ったため、日米欧以外の地域で改正 ITRが 2015年以降適用されると見られる。アジア

については中国、シンガポール、インドネシア、ベトナム、マレーシアなどが署名している87。

ITRによる影響は国家的な要請によるものであるため、自動車のセキュリティ対策が損なわれ

る場合は、相当のセーフティ機能やソフトウェア機能も停止または削除するなど、適切な配慮が

必要になると考えられる。

87 WCIT 2012: Signatories of the Final Acts: 89 (in green), ITU, 2012-12-14

http://www.itu.int/osg/wcit-12/highlights/signatories.html