⁠コラム「自動車業界よもやま話」では、自動車業界で働く人の視点から、自動車関連のさまざまな話題を取り上げていきます。  

前回の記事では、OTA（Over The Air）を悪用したサイバー攻撃の種類や、サイバー攻撃された結果どのような事象が生じるかを紹介しました。今回の記事では、OTAを悪用したサイバー攻撃への対策について解説します。

OTAを悪用されないために必要な対策

OTAを悪用したサイバー攻撃のリスクを低減するためには、さまざまな観点での対策が必要です。ここでは、代表的な対策をいくつか紹介します。

【通信データの暗号化】

車載ECU間でやり取りされる通信データ、車両メーカーのクラウドと個別車両でやり取りする通信データなどは、データの改ざんや盗用を防ぐために暗号化することが重要です。通信データが適切に暗号化されていれば、仮に途中で改ざんされていたとしても、データを受信した際に異常値として検出できます。また、車載センサーが取得しECUで処理した状態でクラウドにアップロードするデータも、暗号化が適切にされていれば盗用したデータがどのような意味合いなのか、攻撃側が正確に解析するのは困難でしょう。

具体的な通信データ暗号化の手段としては、通信相手を確認するための証明書の用意、通信内容自体を暗号化することなどが考えられます。しかし、通信の暗号化技術についてはサイバー攻撃を仕掛ける側も重要性を理解しているため、双方が競うように技術開発していると想定されます。

【アップデートの正当性検証】

意図しないソフトウェアの書き換えによって、ECUのリセットや車両に意図しない動きが生じる可能性があります。また、一度意図しないソフトウェアが書き込まれてしまうと、正規のソフトウェアをOTAで再度書き込もうとしても、適切に書き込めなくなることがあります。そこで、ソフトウェアをアップデートする際には、対象のソフトウェアが正規の手順で準備された適切なソフトウェアなのかどうかの検証が必要です。

例えば、「書き込むソフトウェアにあらかじめ設定された暗号が埋め込まれているかどうか」「現在のソフトウェアと書き込み対象のソフトウェアとの関係性が適切かどうか」などの情報を基に正当なソフトウェアかどうかを判断できます。これらは、「デジタル署名」と呼ばれることもあります。

これらの対策を行うことで、ソフトウェアの改ざんやなりすましを防止でき、信頼性を確保した状態でソフトウェアのアップデートが可能です。

【ECU単体ごとのアクセス制御】

ECUごとのアクセス制御とは、各ECUに対してどこからでもアクセスできるようにするのではなく、アクセスできる対象を制限することです。仮に社内ネットワークに対してサイバー攻撃が仕掛けられたとしても、攻撃対象のECUを限定できるため同時に全てのECUが攻撃を受けることはなく、被害を最低限に抑えられます。

具体的には、「診断ツールからの書き込み制限などのアクセス権を設定すること」または「認証されていない操作は受け付けないように設定すること」が考えられます。もし、車載ネットワークに信号を転送するゲートウェイECUが設定されている場合には、アクセス権が不適切なアクセスをゲートウェイで検出し、遮断することも可能です。

【サイバーセキュリティ規格・法規への対応】

自動車のサイバーセキュリティに関しては、さまざまな規格や法規が設定されています。

• ISO/SAE21434：自動車のサイバーセキュリティマネジメント全般が対象に関する規格
• UNECE WP.29 R155：サイバーセキュリティ管理システムの導入義務に関する法規
• UNECE WP.29 R156：ソフトウェアアップデートやOTAのセキュリティに関する法規
• ISO24089：ソフトウェアアップデートの技術要求、安全性指針に関する規格
• ISO26262：自動車の機能安全規格

UNECE WP.29は法規であり、対応が必須となっています。また、ISOの各項目は任意ですが、多くの自動車メーカーが準拠しており、サプライヤーへも対応が要求されているため業界標準となっています。これらの法規や規格に対応することで、必要最低限のセキュリティを確保することが可能です。

難易度が高いセキュリティ対策

このように、OTAを安全に活用するためにはさまざまなセキュリティ対策を取る必要があります。また、いずれも専門的な知識が必要であり難易度が高いため、外部の協力を受けつつ社内で必要な人材を育成することが重要です。

次回は、サイバーセキュリティ規格・法規の具体的な内容について紹介します。