第1回で、車載ソフトが悪意ある攻撃者の対象になりつつある自動車技術の大きなトレンドを示した。現在、情報セキュリティの研究者らは自動車への攻撃手法を検討し始めている。情報セキュリティの世界では防御の手法を練るのと同時に、どんな攻撃を受ける可能性があるのか研究することが大切である。第2回は現時点で公開されている研究のうち、代表的な4例を紹介する。

【事例1】発端となった米国の研究論文

 2010年、実証実験に基づく論文「Experimental Security Analysis of a Modern Automobile」が公開された(図1)。論文では、自動車の保守点検用ポートに特別な機械を設置し、並走する車両から車載システムの脆弱性をついた攻撃することで、ブレーキやワイパーの制御に影響を与えられることを明らかにした。  

 この論文では、対象車両の通信を盗聴して解析し、認証すること、および発信元アドレスがないのでなりすましが簡単だったことが述べられている。さらに、本来なら走行中に無視しなければならないコマンドが、走行中に実行可能だったことも合わせて記してある。

[画像のクリックで拡大表示]
図1 ECU単体の解析(左)、静止時の車台上でのECU間解析と試験(中)、走行中の動作試験(右)

 こうした脆弱性を悪用する攻撃を成功さるための難易度は現時点では高い。情報セキュリティの専門知識と攻撃用ソフトウエアの開発能力、車載ネットワークに接続して任意の制御命令を注入する電子基盤を作る能力がいる。さらに攻撃するための機材とソフトウエアは市販品では機能が足りないので新しく開発する必要もある。

 しかし、今後自動車の持つ情報資産の価値が高まり、悪意ある攻撃者たちにとっての攻撃対象になると、民生機器の情報セキュリティの現状と同様に、攻撃を簡単にするツールがインターネットに出回るだろう。そうなれば攻撃の難易度は一気に下がる。