**********************************************************************
セッションs2a チュートリアル
テーマ：『組込み／自動車セキュリティ研究の最前線-チュートリアル編』
講師：井上博之(広島大学),倉地亮(名古屋大学),松原豊(名古屋大学)
日時：2016/8/26 9:00〜10:20	
参加人数：約60名（終了時）
**********************************************************************

(松原豊)組込みセキュリティの現状
セキュリティ保護対象として、IoT機器は2013年ぐらいからセキュリティ保護の対象となっている。
組込みセキュリティが注目される背景
・製品サービスの多様化によりネットワークにつながる組込みシステムが増加
・独自開発ではなく既存技術の転用できる
具体的な脅威として
・情報家電
・医療機器
・自動車 など
組込みシステムの位置づけ
・サイバーフィジカルシステム：物理システムとサイバーシステムの両方の特徴を持つ物理セキュリティとサイバーセキュリティの両面から組込み機器のセキュリティ対策を
　考える必要がある。現状では両方をカバーする対策は議論の途中である。
組込みセキュリティ対応の現状
・セキュリティ専門家の不足
国内の大学で研究している大学は、東北大、情報セキュリティ大学、横浜国立大学、名古屋大学、広島大学


(井上博之)ネットに綱上がる自動車の脅威と保護メカニズムに関する研究
自動車の高機能化やサービスの多様化
・広域ネットワークと通信
・車載LANに接続
・自動運転における遠隔からの運転支援
CANの特徴として、
・ペイロードが小さい
・ソースアドレスがない
・共有バスである
・通信速度が低い

攻撃検証用プラットフォーム
想定する攻撃シナリオ例
１．テレマティックス装置にも下車載機を車載LANと診断用ポートへつなぐ→車載機には攻撃プログラムが仕掛けられている
２．車載機はGPS測位した値や自動車の状態などを定期的に支援サーバに送る
３．攻撃者はweb経由で攻撃メッセージを送る
実車を用いた実験
ボディ系へのなりすまし攻撃
・ドアロック解除
・窓を開ける
・ハザードランプの点滅
なりすまし攻撃
・メッセージを送信し表示パネルを誤表示させる(タコメータや速度計の数値操作)
　→これによりトリップメータへの干渉も確認できた
DoS攻撃
・システムにエラーを与える
・パワーステアリングやブレーキへの干渉
実験により、攻撃プロトタイプシステムの動作を通じてインターネット経由での車載LANへの攻撃が可能であることを確認し、攻撃検証用プラットフォームの有効性を実証した
　→この実験を生かして防御用の仕組みへ

防御検証用プラットフォーム
機械学習による動的ルール生成
・メッセージ受信→データ整形→予測分類→フィルタリング→ルール更新
初期ルールの分類は9割の正解率で正しく分類可能
→偽陽率が一割以上になるメッセージの種類も存在する
　→初期ルールを用いて攻撃メッセージをオンライン学習する。正常メッセージと攻撃メッセージのスコアを併用して動的ルールを生成
動的ルールの分類精度としては97%以上の正解率に向上
→偽陽率が高かったメッセージが正しく分類されている攻撃メッセージの学習によって精度が向上している

車載LAN のデータを第三者に安全に提供する仕組みの研究
・すべてのデータを情報管理サーバで管理し、様々なサービスを実現する
第三者に情報提供可能である場合のサービス例
・個人：運転評価、ドライブマップ
・自動車メーカー・ディーラー：不具合感知、実写の走行評価
・保険会社：運転リスク評価
サービス実現の課題
・車種ごとの車載LANデータの違い
・通信手段、データ量の問題
・リアルタイム性
・スケーラビリティの確保

まとめ
IoTシステムとしての情報セキュリティ
・ネットにつながる家電や自動車、産業機器に潜む脆弱性→世界レベルからの攻撃に対する防御策
車載LANの情報セキュリティに関する分析プラットフォームの開発およびその検証を行った
　・実車を使った攻撃手法の評価
　・機械学習を用いたセキュリティゲートウェイの評価を行った
　・車載LANの情報をまるごと安全に第三者に提供する手法とその研究

(倉地亮)自動車制御システムに対するセキュリティの強化の取り組み
セキュリティの課題
自動車のCANネットワークに対する機器接続
・実現した脅威の例
　・急ブレーキ無効化
　・運転手の意図としないハンドル操作
研究課題：システム、車種、制御方法に応じてどのような対策をとるか
１．自動車の安全性を侵害する脅威への対策技術
２．自動車セキュリティ評価技術

セキュリティ対策の観点
・予防と検知が重要、回復は冗長系が許される
・ECU、車載ネットワーク、システムアーキテクチャ、車載間通信といった各観点における対策を考える

対策技術
１．エラーフレーム監視
２．CaCAN
想定される脅威
・悪意のある危機から不正なメッセージを注入、CANメッセージの競合
対策アイデア
・AUTOSARにおけるメッセージ認証
・不正メッセージの打ち落とし

自動車セキュリティ評価技術
・セキュリティに対応した開発プロセスを定義
　・ハードウェアの脆弱性テストを行う
　・プラクティスな脆弱性テスト

まとめ
・自動車のセキュリティに対する脅威技術が増えている
・現在のECUにはよい対策がない。組込みの技術を生かしていきたい
・自動車の対策技術として情報セキュリティと異なるアプローチもあるため、組込み技術者が優位に立てる場面が多い可能性がある


質疑応答
Q.(IoT関連)：サーバにデータを送る際、単位時間でどのぐらいの情報量を流しているのか
A.(井):1秒間に約100kbps、1時間動かすと数十Mbyte
Q.(IoT関連)：メッセージ認証にMacを付加する際、CANの速度はどのぐらい劣化するのか(送受信の効率がどのぐらい落ちるのか)
A.(倉)：Macの長さによって異なる。すべてのメッセージにつけてしまうと20%ぐらい劣化するため、重要な部分にのみMacつけるといった工夫が必要