J-Auto-ISACの活動開始から約2年を経たいま、自動車を取り巻く脅威はどう変化し、どのような課題があるのか、J-Auto-ISAC SOCセンター長の井上弘敏 氏、副センター長 青山昌寛 氏をお招きし、NDIAS自動車セキュリティ部の中尾将吾、上松亮介、高木辰則がお話をうかがいました。
競争ではなく協調領域|脅威・脆弱性情報の共有は自動車業界では自然な流れ
J-Auto-ISAC SOCセンター長 井上弘敏 氏
J-Auto-ISAC井上:自動車の分野でも、コネクテッドカーが進化し、一方でさまざまなサイバー攻撃が起こる中、セキュリティの脅威情報を集め、分析していく必要があるとの認識が業界にはありました。もともとは各社が個別に自動車に関する脅威・脆弱性情報を収集していましたが、個社の取り組みでは効率が悪く、コストもかかります。
J-Auto-ISACのSOCは、これらの脅威情報をまとめて収集し、セキュリティの専門家の力も借りながら分析したものを各社に展開し、活用していこうという趣旨で設立されました。
J-Auto-ISACは大きく3つの組織から成り立っています。1つ目がSOC、2つ目が技術委員会で、さまざまなワーキンググループに分かれ、セキュリティ対応能力の底上げ活動等を進めています。3つ目はサポートセンターで、各社に対し簡易的なリスク診断を行う、等の活動を行っています。これらの活動を通じてJ-Auto-ISACは、自動車業界において、脅威・脆弱性情報を共有することで、セキュリティインシデントの予防および発生時の被害を最小化することを目的としています。
Q:競争関係にある企業が協調するのはなぜですか
J-Auto-ISAC井上:自動車業界では以前から、共通の課題に対する取り組みが数多くありました。脅威情報の収集・展開も同様です。もし一社が攻撃を受けたらその情報を共有し、同様の攻撃を受けないよう備えることが重要だと考え、競争ではなく協調領域として取り組んでいます。
Q:SOCの活動を具体的に教えてください
J-Auto-ISAC井上:情報を収集・分析・展開していく3つの要素を軸に活動しています。収集に関しては脅威・脆弱性情報やダークウェブ情報、そして業界動向情報を対象にしています。情報収集ベンダとしてNDIASさんのようなセキュリティ専門企業複数社にご協力いただいており、対象の情報を幅広く収集しています。収集した情報はSOCが管理する情報データベースにすべて格納し、会員の皆さんが必要に応じて検索できる仕組みを提供しているほか、週次でタイムリーな情報を展開、月次で詳細事例分析、四半期毎に総括レポートを配信しています。
開始から2年ほどですが、自動車に関する脆弱性・脅威情報の収集・分析・展開という基本的なシステムはほぼ出来上がり、各領域での課題もありつつ、基本的にはうまく運用できていると思います。
自動車の機能追加にともなって高まるリスク、アンテナを常時張ることが重要に
J-Auto-ISAC SOC 副センター長 青山昌寛 氏
Q:自動車を取り巻くサイバー攻撃や脅威の現状をどう見ていますか
J-Auto-ISAC青山:活動開始前は、設立のきっかけにもなったリコールに至るような深刻なインシデントが発生するのではないかと想定していました。しかしこの2年間、少なくとも国内の自動車メーカーを狙った走行安全に関わるような深刻な攻撃は発生していません。
一方で、脆弱性については、当初の想定以上の広がりを感じています。自動車の攻撃経路は、無線通信だけでもモバイル通信やWi-Fi、BluetoothやNFC(Near Field Communication:近距離無線通信)などがある上に、物理的に接続するOBD(On Board Diagnostics:車載故障診断装置)のポート、さらにはCANなど車載ネットワーク、カーナビシステム等のインフォテイメント系につながるUSBやSDカード、EVの充電ポートなど多種多様です。この2年間で、そうした経路それぞれに脆弱性が報告されており、想定以上に広い範囲の情報が集まっています。
NDIAS中尾:情報を分析する側としても、物理層やセキュリティチップにはじまり、OSやドライバ、アプリケーションに至るまで、さまざまなレイヤで自動車に関連する脆弱性情報が集まっていることを実感しています。
Q:自動車特有のサイバー攻撃にはどんなものがありますか
J-Auto-ISAC青山:最近はFlipper Zero1のように攻撃にも使えてしまうツールが、比較的容易に入手できるようになったと感じています。また、車そのものがEV化やコネクテッド、SDV(Software Defined Vehicle) 2といった方向で進化し、より多くの機能を搭載するにつれ、より多くの脆弱性が見つかる状況だとも感じています。
コネクテッドが当たり前になると、プライバシーへの配慮も必要になります。たとえば、ISO/SAE 21434で「SFOP」として定義されている、セーフティ、ファイナンシャル、オペレーショナル、プライバシーという4つの観点を考慮しなければならないと思います。
1 Flipper Zero:赤外線やBluetoothなど多種多様な無線通信規格に対応した小型無線デバイス。
2 SDV(Software Defined Vehicle):スマホのようにソフトウェアアップデートで機能を更新できる自動車。
NDIAS 自動車セキュリティ事業部 エキスパートセキュリティコンサルタント 上松亮介
NDIAS上松:診断を行うアナリストから見ると、かつてのジープ・チェロキーの脆弱性のように、外部から遠隔制御されるような深刻な脆弱性は、この2年ほどは見つかっていません。任意のコード実行やファームウェアの改ざんも困難になっています。私が取っている診断データでも、ECU1つ当たりの脆弱性は、2年ほど前は平均で10件余りありましたが、今や5件未満となり、リスク値も低いものばかりになっています。
ですが楽観視もできません。現時点では、たとえばCANのメッセージ認証対応のように、不正アクセスを受けても悪用されない対策が打たれていますが、何か一つ前提が崩れれば玉突き式に突破される恐れは常にあります。
J-Auto-ISAC青山:今後、無線でのソフトウェアアップデートに対応する車両も増えていきます。それに伴ってセキュリティリスクも高まっていきます。
J-Auto-ISAC井上:自動車のセキュリティ対応は、ITなど他の業界に比べ遅れもありましたが、後発だからこそ、実際に攻撃を受ける前に手を打つことができた側面もあると思います。ただこの先、金銭的な動機などが高まり、攻撃が成立する条件が揃ってくると危険性は高まってくると思っています。
NDIAS中尾:過去に軽微なリスクとして取り扱った脆弱性が、他の脆弱性と組み合わせて悪用することで攻撃に結びつく事例として公開されたことで、あらためて注意喚起を行うこともあります。こういった例のように、当初は深刻だととらえていなかった問題が、後に攻撃に結びつく可能性もあります。
もう一つ気になるのはSNSによる情報の広がりです。専門的な媒体ではなく、だれもが使用するSNSをきっかけにしてハッキング手法が広がるケースが増えています。
NDIAS 自動車セキュリティ事業部 シニアセキュリティコンサルタント 高木 辰則
NDIAS高木:金銭的な動機に加え、とにかくインパクトのあることをして「世間の注目を浴びたい」という目的で危険な行動を起こす人もいます。たとえば昨年アメリカで、ある特定メーカーの車両盗難の模倣動画をSNSへ投稿する行為が若者の間で流行し、車両盗難が急増して社会問題となりました。
Q:ハードウェアに対する攻撃のトレンドをどのように見ていますか
J-Auto-ISAC井上:昔からサイドチャネル攻撃3 やフォールトインジェクション4 といったハードウェアへの攻撃は難易度が高く、そう簡単に実現できないと言われてきましたが、最近は傾向が変化しています。
J-Auto-ISAC青山:車載用ハードウェアには汎用的な半導体が使われるケースがあり、ある一つの半導体にセキュリティ上の問題が発覚すると、多くの製品に影響する可能性があります。ハードウェアに関しても脆弱性情報をきちんと追いかけていく必要があるでしょう。
3 サイドチャネル攻撃:攻撃対象となるハードウェアの物理的な特性(電磁波や消費電力、処理時間など)を観測することで秘匿された情報を推測する攻撃手法。
4 フォールトインジェクション:攻撃対象となるハードウェアに対して電磁放射や電圧操作を行って異常動作を引き起こし、セキュリティ機能の無効化やデータ漏洩を引き起こす攻撃手法。
Q:守る側である自動車業界はどのような対策を講じ、進化させてきたのでしょうか
J-Auto-ISAC青山:自動車業界におけるセキュリティ対策は、10年ほど前は、盗難防止といった観点が中心でした。しかしCANの脆弱性に関するレポートなどが公表されるにつれ、セキュリティについてきちんと考えなければならないという認識が高まり、各社が対策を模索し始めました。
当初は開発者目線・技術者目線で、「自動車にどのような対策を取り入れれば良いか」が関心事でした。しかしセキュリティでは、技術だけでなく運用もあわせて考慮することが重要です。脆弱性が見つかることを前提にどう対応すべきかについても関心が高まり、その中でJ-Auto-ISACの活動もはじまりました。今では自動車メーカーだけでなくサプライヤも含め、技術と運用の両面にまたがる取り組みが進んでいます。
NDIAS中尾:NDIASはそうした動きと歩調を合わせながら、2018年の設立以来自動車セキュリティの支援サービスを提供してきました。当初はリスクアセスメントや設計時のプロセス構築支援が主体でしたが、今は各社のPSIRT運用やバグバウンティ制度の支援といった部分にサービスが広がっています。こうした活動を通してどのような課題が見えてきたのでしょうか?
他業界と連携、情報のフォーマット化やスピード感が課題
J-Auto-ISAC井上:J-Auto-ISACで提供している汎用的な情報に加え、個社が独自に収集している情報をどのように共有していくかが課題の一つです。また他業界との連携も課題で、製品領域に関してISCA活動を行っている分野が少ないなか、どのように情報連携していくかが2つ目の課題だと捉えています。
NDIAS高木:他業界との連携に関しては、自動車の高機能化によって、さまざまなインフラとの繋がりが生まれています。EV化であれば充電ステーションを介した電力インフラとの繋がりが、コネクテッド化であれば通信インフラとの繋がりがあるため、それらの業界と連携することで情報収集やインシデント対応をより強力に進めることができると言えます。
J-Auto-ISAC井上:自動車業界において、国内のISACの連携会議を通して互いの活動状況を共有し、取り入れるべきものは採用していくべきだと考えています。ただ、具体的な脆弱性情報の共有に関してはこれからです。どのような形でどんな情報を共有するのが最も有効なのか、必要とする情報をどのように抽出するかを検討していく必要があるでしょう。
また、手作業で情報を共有していくのは非常に大変ですから、いかに自動で取り込み、機械処理していくかも課題です。
NDIAS中尾:自動車メーカーやティア1サプライヤ(自動車メーカーに部品を提供するサプライヤ)・ティア2サプライヤ(ティア1サプライヤに部品を提供するサプライヤ)といった、立ち位置によっても求める情報の種類や提供の形は異なっていると思います。そのような中で業界をまたいでの情報共有となると、有益な情報共有の枠組みを作ることは大きな課題になると感じました。
また、窓口に届いたインシデント情報といった各社が持つ情報をどのように共有していくかも課題になると感じています。
J-Auto-ISAC井上:各社のインシデント情報をいかに共有していくかは、他の業界でも課題になっているようです。ただ、いただいた事象をそのまま共有することは考えていません。あまりに抽象化してしまうと事象のポイントがよくわからなくなるため、バランスが重要です。ただ、J-Auto-ISACおよびISACの本来の目的は、各社が所有する情報を共有していくことです。今後もいろいろな方法でトライしていく予定です。
NDIAS高木:脆弱性情報の管理および製品の構成情報の管理に関してもさまざまな方法があり、各社・各業界で独自のやり方で管理していると、サプライチェーン間・業界間の情報共有や連携は難しいでしょう。業界団体がリードしつつ、フォーマットの統一を進めていく必要があると感じています。
J-Auto-ISAC井上:もう1つの課題はスピード感です。インシデントを検知し、影響度を分析するプロセスは、時間をかけてならば各社とも対応はできると思います。しかし、そんなに時間をかけた対応でよいのかが問題です。欧米では、「脆弱性には何時間以内に対処すべき」といった法令が定められつつあるため、次の課題はそこになるでしょう。
NDIAS 自動車セキュリティ事業部 エキスパートセキュリティコンサルタント 中尾 将吾
NDIAS中尾:自動車でもアフターマーケット品が対象となる欧州のサイバーレジリエンス法案(CRA:Cyber Resilience Act)では、インシデント認識後24時間以内に当局への報告を含むインシデント対応が求められています。
J-Auto-ISAC井上:果たして自動車業界がそうした時間軸で対応が取れるかどうかがポイントだと思います。J-Auto-ISACでも演習を行っていますが、社内の連絡体制などが整備されていても実際スムーズに動けるのかどうか、やってみなければわからないところもあるでしょう。
NDIAS高木:自動車業界ではティア1サプライヤやティア2サプライヤなど複数の企業が関わるため、24時間以内の対応は難しいように思います。また、自動車業界のお客様にPSIRT訓練サービスを提供していて感じるのは、製品開発担当者など、セキュリティ部門ではない方にはサイバーセキュリティの意識がまだ浸透しておらず、脅威・脆弱性に関する一報を受け取っても従来通りの品質問題と捉えてしまい、セキュリティインシデント対応としての初動が遅れてしまう場合が多いように感じます。
NDIAS上松:サプライヤによって、脆弱性に関する問い合わせへの反応が大きく異なると聞いています。一両日中に返答を返してくるサプライヤがある一方で、一週間経っても回答のないサプライヤもいて、対応能力にかなり差があるので、この点は継続して取り組むべき課題と感じています。
J-Auto-ISAC青山:サプライチェーンの階層が深い自動車業界ならではの課題と言えるでしょう。自社内での体制を整備するだけではなく、自動車メーカーとサプライヤ、サプライヤどうしの連携がどこまでスムーズに行えるかも課題になります。
NDIAS高木:社外との連携(ヨコの連携)も重要ですが、実際には社内の連携(タテの連携)のなかでインシデント対応に躓く事例を目にしますので、まずは部署間連携など社内のインシデント対応がスムーズにできることが必要だと考えます。我々が提供するPSIRT訓練サービスでは社内の連携(タテの連携)をお客様に確認していただいています。
J-Auto-ISAC青山:タテの連携に加え、自動車業界ではビジネスをグローバルに展開している企業が多いため、たとえば北米で起こった事象に対して、開発元の日本との間でどう連携するのかという別のヨコの連携も課題になると考えています。自動車業界は裾野も広く、グローバルにビジネスを展開しており、どのように連携体制を作るかは各社とも頭を悩ませていると思います。
今後の展望|自動車業界にもセキュリティ業界の知見を生かす取り組みを
Q:今後はどのような領域に注力していく計画でしょうか
J-Auto-ISAC井上:SOCには情報収集・分析・展開という3つの大きな業務があります。今年はまず、展開のための情報データベースを改善し、検索能力を高めたいと考えています。また、この2年で集めてきた数百件の案件をベースに、どのように分析・展開すれば最も効果があるのかを考え、より深い分析を行いたいですね。情報収集に関しては、他業界との連携も含め情報量を増やしていく予定です。
ただ、やみくもに情報を集めてもノイズだけが増え、重要な情報を見逃してしまう可能性があるため、集めた後の処理については慎重にする必要があります。今後、より幅広い情報を収集していく際、どのように適切に絞りこむかに関して、NDIASさんに協力をお願いしたいと思います。
NDIAS中尾:PSIRT活動におけるアナリストとしての知見とインカー・アウトカーの両方のサービスを提供してきた知見を活かして、さまざまな側面からアップデートをご支援できればと思います。
J-Auto-ISAC青山:自動車業界におけるサイバーセキュリティの歴史が浅いですが、他業界のナレッジを生かし、かつ自動車特有の事情を理解した上での支援に期待しています。たとえばセキュリティ研究者から脆弱性の指摘を受けたときのコミュニケーションにはまだ不慣れな点も多く、IT業界での経験を元にアドバイスしていただけるとありがたいと思います。
J-Auto-ISAC井上:自動車業界は幸運にも、IT業界ほど日々攻撃を受ける状況にはなっていません。それだけに心配なのは、各社がそれぞれ準備をし、体制を整えていても、実際に攻撃を受けたときにうまく動けるのかどうかです。皆さんのアドバイスをいただきながら見直し、スピーディに動けるような準備を進めていきたいと思います。
また、脅威や脆弱性情報の記載の仕方やSBOM(Software Bill Of Materials:ソフトウェア部品表)の活用についても、自動車業界だけではなく他業界と協調しながら検討したいと考えています。
NDIAS中尾:自動車業界にも詳しいセキュリティエンジニアを増やす活動を進めていきたいと思っています。また私たちは、世界中のイベントやSNSを通して、バグバウンティに参加する研究者らとのコネクションを持ち、情報交換を行っています。コミュニティのつながりを生かし、自動車メーカーやサプライヤの皆さまとの橋渡し役を果たし、他の業界との架け橋にもなっていきたいと思います。
Q:今後、自動車のサイバーセキュリティはどのように変化していくと思われますか
J-Auto-ISAC井上:自動車の世界では電動化や自動運転の技術が進化しています。それにともなって充電ステーションやセンサー系への攻撃など、いろいろな脅威が出てくるでしょう。今の段階ですべて予測するのは非常に困難ですが、アンテナを張って監視していかなければなりません。早めに各社に情報を提供し、必要に応じて対策を打っていただけるよう、今後も活動していきます。
J-Auto-ISAC青山:自動車業界では数年前に機能安全が取り込まれ、今では安全を考慮した設計は、自動車のエンジニアにとって重要なスキルと位置付けられています。同じことが、今度はセキュリティで起きつつあると考えています。
CASE(Connected, Autonomous, Shared & Services, Electricの頭文字を取った言葉)やSDVといったトレンドにともない、ソフトウェアが重みを増してくる中で、セキュリティリスクもどんどん高まっていくでしょう。その中で、自動車のどのような部品を扱っていても、セキュリティを考慮した設計ができることが自動車エンジニアに求められていくと思います。
またJ-Auto-ISACは、自動車業界のサイバーセキュリティにおける情報のハブとして、協調領域である脅威・脆弱性情報の共有をさらに推進していきます。中には機微な情報もありますから、きちんと秘匿性を担保した上で各社の情報を共有していきます。
NDIAS中尾:自動車のサイバーセキュリティ情報のハブであるJ-Auto-ISACをさらに他の業界と繋げ、有効に情報共有ができるよういっそう努力していきたいと思います。本日はありがとうございました。
