SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2017 イベントレポート

もしも「もしも社長がセキュリティ対策を聞いてきたら」の著者が社長になったら

ITセキュリティの多重防御構造を自動車のセキュリティにも応用

 続いてIT環境と自動車に対するサイバー攻撃の違いなどについて紹介された。IT環境では、通常攻撃者は末端のクライアントをターゲットとして侵入し、横展開しながらより深い、中層部へと侵入を続ける。最終的にはドメインを掌握するというのが定番だ。インフラのセキュリティコンサルのアプローチの一つでは、クライアントPCレベルの「Tier2」は”汚染領域”とし、そこからいかに内部にいかないように対策を立てられるか、ということを考える。

 その知見から、自動車に対するサイバー攻撃も同様にインフォテイメント等を“汚染領域”として、自動運転を司るADASや電子制御系であるECUに影響を与えない方法を考えるのが自然と言えるだろう。  

出所:合同会社WHITE MOTION 蔵本雄一氏、Security Online Day(主催:翔泳社)講演資料より

出所:合同会社WHITE MOTION 蔵本雄一氏、Security Online Day(主催:翔泳社)講演資料より

 その対策をまとめたのが、下の図だ。縦軸が防御・検知・対処・復旧の時間軸、これはCybersecurity Frameworkをベースとした、おそらくITセキュリティを知る人にとってはおなじみの考え方だろう。しかし、ITセキュリティを知る人も分からないのが横軸であり、車独自のカバー領域となる。この縦と横の両軸を知り、高次元で対策を立てて網羅することが今後の自動車セキュリティの課題というわけだ。

合同会社WHITE MOTION 蔵本雄一氏、Security Online Day(主催:翔泳社)講演資料より
[クリックすると図が拡大します]

 ここで蔵本氏は、実際に自動車がハッキングを受けた事例について紹介した。

 まず、2015年にジープチェロキーのセルラー回線から侵入し、パワートレイン系等を遠隔から操作されるという事件が起きた。チャットのチャンネルである6667/TCPが常時オープンしており、パスワード奪取でroot権限がとられ、LinuxのOMAPが完全掌握された。さらに、不幸なことに通信管理ツールが生きていたこともあって、後ろにいた制御系マイコンであるV850にリーチされ、ファームウェアを書き換えられてしまった。その結果、パワートレイン系のアクセルやブレーキが操られることとなってしまった。

出所:合同会社WHITE MOTION 蔵本雄一氏、Security Online Day(主催:翔泳社)講演資料より

 そしてもう1つ、テスラの場合は、自動車販売店、バッテリー充電スポットの無線LAN APへの自動接続から侵入されたことが明らかになっている。パスワードが脆弱だったことに加え、Webブラウザが開いていたWebページを自動リロードする仕組みになっていた。そのWebブラウザは「WebKit」をレンダリングエンジンとして使用するQtCarBrowserという古いもので、11年に出た脆弱性「CVE-2011-3928」を突いて侵入されたという。そして情報端末の Linuxが脆弱性「CVE-2013-6282」を突かれてAppArmorを無効化され、コントローラーのファームウェアを書き換えられてしまった。なお、ファームウェアにコード署名チェックはなされていなかったという。

 蔵本氏は実際にハッキングの様子をその場で見せながら、「実はこうしたハッキングはそう難しくない。事例で言えばLinuxまでの侵入を100%防ぐことは、ほぼ不可能と言えるだろう。しかし、ナビやGPSがおかしくなったとしても、ブレーキやアクセルに影響が及ぶことはどうしても避けなければならない。どこが重要なのか、しっかりと見極めることが大切だ」と強調した。

次のページ
次世代の自動車開発に向けて、求められるモノづくりとITの融合

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9983 2017/11/07 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング