自動車に対する有名な攻撃

皆様はCANをご存じでしょうか？
CANというのはController Area Network の略で、主に自動車内のネットワーク等で使用される通信方法です。

このCANを利用した攻撃で有名なのが、CANインベーダーです。
詳細な説明は避けますが、自動車内のCAN通信経路上に不正なデータを流し込むことで、自動車の正当な所有者でない(鍵を持っていない)攻撃者でもドアロックの解除や、エンジンの始動が出来てしまうという攻撃です。

自動車のサイバーセキュリティ

前述のCANインベーダーは、自動車に対する物理的なアクセスを用いて攻撃をするという手口が一般的です。
しかし、近年ではTCP/IPの様な標準的な通信プロトコルで外部と接続する車が一般的になりつつあります。例えば、インターネット経由で自動車に攻撃を仕掛けられ、内部のコンピューター(自動車では一般的にはECUと呼びます)が乗っ取られ、遠隔でドアロックの解除やエンジンの始動がされてしまうようになったら、とても怖いですよね。

実際、過去に何度かインターネット経由で外部から不正に自動車を制御できてしまう例も報告されています。

自動車業界に求められるセキュリティ対策

こうした自動車に対するサイバーセキュリティの脅威の増加を受けて、UNECE(国連欧州経済委員会)の作業部会WP29(自動車基準調和フォーラム)が2020年6月に採択したのが、UN-R155/UN-R156です。
また、UN-R155から参照するガイドラインとして、ISO/SAE 21434があります。

UN-R155の構成と概要

• サイバーセキュリティマネジメントシステム(CSMS)
• 車両型式

概要　

各工程（設計・開発・生産・納品・納品後）においてサイバーセキュリティの適切さが担保されているか、車両のリスクアセスメントおよびリスクへの対処・管理を行うとともに、セキュリティ対策の有効性を検証するための適切なかつ十分な試験を実施していることを主な要件としている。
参照されるガイドラインとして、ISO/SAE 21434という規格がある。

UN-R156の構成と概要

• ソフトウェアアップデートマネジメントシステム(SUMS)
• 車両型式

概要

ソフトウェアアップデートの適切さが担保されていること、危険・無効なソフトウェアアップデートの防止やソフトウェアアップデート可能である事の事前確認等、ソフトウェアアップデートの適切な実施が確保されていることを主な要件としている。

ISO/SAE 21434とは

• 自動車のライフサイクル全体におけるセキュリティ確保に関する規格
• UN-R155のガイドラインとなり得るが、UN-R155全体をカバーしているわけではないので注意が必要

日本では、無線ソフトウェアアップデートに対応している新型車は2022年7月、継続生産車は2024年7月、無線ソフトウェアアップデートに対応していない新型車は、2024年1月、継続生産車は2026年5月までにUN-R155/UN-R156への適応が義務付けられています。

なお、UN-R155/UN-R156はOEM(自動車メーカー)様が対応する規約となりますが、OEM様がUN-R155/UN-R156に対応する為に、各サプライヤー様にも対応が求められることになるため、弊社ではサプライヤー様へISO/SAE 21434の準拠をお勧めしております。

セキュアイノベーションが提供するサービス

セキュアイノベーションでは、上記でご説明した、UN-R155/UN-R156、また、それぞれから参照されるガイドラインとしての ISO/SAE 21434 に準拠したセキュリティサービスを提供しております。
合わせて、車載機器単体での診断サービスも承っておりますのでお気軽にお問い合わせください。

サービス紹介
　車載セキュリティサービス