بعض محتويات هذا التطبيق غير متوفرة في الوقت الحالي.
إذا استمرت هذه الحالة ، يرجى الاتصال بنا علىتعليق وإتصال
1. (WO2019026352) DETECTOR, DETECTION METHOD, AND DETECTION PROGRAM
Document

明 細 書

発明の名称 検知装置、検知方法および検知プログラム

技術分野

0001  

背景技術

0002  

先行技術文献

特許文献

0003  

非特許文献

0004  

発明の概要

0005   0006   0007   0008  

図面の簡単な説明

0009  

発明を実施するための形態

0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139   0140   0141   0142   0143   0144   0145   0146   0147   0148   0149   0150   0151   0152   0153   0154   0155   0156   0157   0158   0159   0160   0161   0162   0163   0164   0165   0166   0167   0168   0169   0170   0171   0172   0173   0174   0175   0176   0177   0178   0179   0180   0181   0182   0183   0184   0185   0186   0187   0188   0189   0190   0191   0192   0193   0194   0195   0196   0197   0198   0199   0200   0201   0202   0203   0204   0205   0206   0207   0208   0209   0210   0211  

符号の説明

0212  

請求の範囲

1   2   3   4   5   6   7  

図面

1   2   3   4   5   6   7   8   9   10   11   12  

明 細 書

発明の名称 : 検知装置、検知方法および検知プログラム

技術分野

[0001]
 本発明は、検知装置、検知方法および検知プログラムに関する。
 この出願は、2017年8月3日に出願された日本出願特願2017-150771号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

背景技術

[0002]
 特許文献1(特開2016-116075号公報)には、以下のような車載通信システムが開示されている。すなわち、車載通信システムは、通信データの送信側が生成するメッセージ認証コードである送信側コードと、前記通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、車載ネットワークに接続され、第1の暗号鍵と前記第1の暗号鍵とは異なる第2の暗号鍵のうち前記第1の暗号鍵だけを保持する第1のECUと、前記車載ネットワークに接続され、前記第1の暗号鍵を少なくとも保持する第2のECUと、前記車載ネットワーク及び車外ネットワークに接続され、前記第1の暗号鍵と前記第2の暗号鍵のうち前記第2の暗号鍵だけを保持して、前記第2の暗号鍵を使用して前記車載ネットワークにおける通信時に前記送信側コード又は前記受信側コードを生成する第3のECUとを備え、前記第2のECUは、前記第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、前記第1のECUは、前記通信データを受信した場合に、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う。

先行技術文献

特許文献

[0003]
特許文献1 : 特開2016-116075号公報
特許文献2 : 特開2016-97879号公報
特許文献3 : 特開2015-136107号公報

非特許文献

[0004]
非特許文献1 : ルネサス エレクトロニクス株式会社、”CAN入門書 Rev. 1.00”、[online]、[平成29年6月17日検索]、インターネット〈URL:https://www.renesas.com/ja-jp/doc/products/mpumcu/apn/003/rjj05b0937_canap.pdf〉
非特許文献2 : K. Cho、外1名、「Error Handling of In-vehicle Networks Makes Them Vulnerable」、CCS ’16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security、P.1044-1055
非特許文献3 : 亀岡 良太、外5名、「ラズベリーパイからのスタッフエラー注入によるCAN ECUへのバスオフ攻撃」、2017 Symposium on Cryptography and Information Security、1E2-2
非特許文献4 : 中山 淑文、外3名、「車載CANバスにおける電気的データ改竄の効果」、2017 Symposium on Cryptography and Information Security、1E2-3

発明の概要

[0005]
 (1)本開示の検知装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える。
[0006]
 (6)本開示の検知方法は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視するステップと、監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、集計結果に基づいて前記攻撃を検知するステップとを含む。
[0007]
 (7)本開示の検知プログラムは、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、コンピュータを、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部、として機能させるためのプログラムである。
[0008]
 本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得る。

図面の簡単な説明

[0009]
[図1] 図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
[図2] 図2は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。
[図3] 図3は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。
[図4] 図4は、本発明の実施の形態に係る車載通信システムにおけるトランシーバの状態遷移の一例を示す図である。
[図5] 図5は、本発明の実施の形態に係る車載ネットワークにおける攻撃を説明するための図である。
[図6] 図6は、本発明の実施の形態に係る車載ネットワークにおける電気的データ改ざん攻撃を説明するための図である。
[図7] 図7は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
[図8] 図8は、本発明の実施の形態に係るゲートウェイ装置において用いられる長監視間隔期間および短監視間隔期間の一例を示す図である。
[図9] 図9は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
[図10] 図10は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
[図11] 図11は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
[図12] 図12は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。

発明を実施するための形態

[0010]
 従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
[0011]
 [本開示が解決しようとする課題]
 特許文献1に記載の車載通信システムでは、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防いでいる。
[0012]
 しかしながら、たとえば、各ECU間を接続するバスにおいて伝送される信号を電気的に操作するようなサイバー攻撃に対しては、上記のようなセキュリティ対策が無効化されることがある。
[0013]
 このような攻撃を受けた場合において、車載ネットワークにおける攻撃を精度よく検知するための技術が求められる。
[0014]
 本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける攻撃を精度よく検知することが可能な検知装置、検知方法および検知プログラムを提供することである。
[0015]
 [本開示の効果]
 本開示によれば、車載ネットワークにおける攻撃を精度よく検知することができる。
[0016]
 [本願発明の実施形態の説明]
 最初に、本発明の実施形態の内容を列記して説明する。
[0017]
 (1)本発明の実施の形態に係る検知装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える。
[0018]
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
[0019]
 (2)好ましくは、前記検知部は、前記集計結果における各前記識別情報間での通信エラーの発生状況の偏りに基づいて前記攻撃を検知する。
[0020]
 このような構成により、各識別情報間での通信エラーの発生状況の偏りに基づいて、たとえば、車載ネットワークにおける各車載装置において満遍なく通信エラーが発生しているのか、または当該各車載装置のうちの特定の少数の車載装置に通信エラーが発生しているのかを認識することができる。これにより、たとえば、各車載装置において満遍なく通信エラーが発生している場合には電気的ノイズの影響も考慮して攻撃の検知を慎重に判断することができ、また、特定の少数の車載装置に通信エラーが発生している場合には、攻撃の可能性が高いと判断することができる。
[0021]
 (3)好ましくは、前記検知部は、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する。
[0022]
 このような構成により、たとえば、通信エラーの発生回数の多い車載装置に対して攻撃を受けたと判断しようとする場合において、通信エラーの発生した車載装置数を考慮することができるので、攻撃の有無をより正しく判断することができる。
[0023]
 (4)より好ましくは、前記検知部は、第1の監視間隔における前記合計と第1のしきい値との第1の比較結果および前記エラーID数と第2のしきい値との第2の比較結果、ならびに複数の前記第1の監視間隔からなる第2の監視間隔における前記合計と第3のしきい値との第3の比較結果および前記エラーID数の平均と第4のしきい値との第4の比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する。
[0024]
 このような構成により、たとえば、第1の監視間隔における合計が第1のしきい値より大きい場合においても、エラーID数が第2のしきい値以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、第1の監視間隔における合計が第1のしきい値より大きく、かつエラーID数が第2のしきい値より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。また、第2の監視間隔における合計が第3のしきい値より大きい場合においても、エラーID数の平均が第4のしきい値以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、第2の監視間隔における合計が第3のしきい値より大きく、かつエラーID数の平均が第4のしきい値より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。
[0025]
 (5)より好ましくは、前記検知部は、前記第1の比較結果、前記第2の比較結果および前記エラーID数と前記第2のしきい値より大きい第5のしきい値との比較結果、ならびに前記第3の比較結果、前記第4の比較結果および前記平均と前記第4のしきい値より大きい第6のしきい値との比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する。
[0026]
 たとえば、第1の監視間隔におけるエラーID数、および第2の監視間隔におけるエラーID数の平均の少なくともいずれか一方が極端に大きい場合、車載ネットワークにおける多数の車載装置に対して攻撃が行われていると考えられる。上記の構成により、車載ネットワークにおける各車載装置に対する一斉攻撃をより精度よく検知することができる。
[0027]
 (6)本発明の実施の形態に係る検知方法は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視するステップと、監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、集計結果に基づいて前記攻撃を検知するステップとを含む。
[0028]
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
[0029]
 (7)本発明の実施の形態に係る検知プログラムは、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、コンピュータを、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部、として機能させるためのプログラムである。
[0030]
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
[0031]
 以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
[0032]
 [構成および基本動作]
 図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
[0033]
 図1を参照して、車載通信システム301は、ゲートウェイ装置(検知装置)101と、複数の車載ECU(Electronic Control Unit)121とを備える。
[0034]
 車載通信システム301は、車両1に搭載される。車載ネットワーク12は、車両1の内部における車載装置の一例である、複数の車載ECU121およびゲートウェイ装置101を含む。
[0035]
 ゲートウェイ装置101には、バス13A,13B,13C,13Dが接続される。以下、バス13A,13B,13C,13Dの各々を、バス13とも称する。
[0036]
 なお、ゲートウェイ装置101には、4つのバス13が接続される構成に限らず、3つ以下または5つ以上のバス13が接続されてもよい。
[0037]
 バス13には、たとえば複数の車載ECU121が接続される。バス13は、たとえば、非特許文献1(ルネサス エレクトロニクス株式会社、”CAN入門書 Rev. 1.00”、[online]、[平成29年6月17日検索]、インターネット〈URL:https://www.renesas.com/ja-jp/doc/products/mpumcu/apn/003/rjj05b0937_canap.pdf〉)に記載のCAN(Controller Area Network)(登録商標)の規格に従うバスである。
[0038]
 なお、バス13には、複数の車載ECU121が接続される構成に限らず、1つの車載ECU121が接続される構成であってもよい。また、バス13は、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスであってもよい。
[0039]
 車載ECU121は、たとえば、TCU(Telematics Communication Unit)、自動運転ECU、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェース、およびカメラ等である。
[0040]
 ゲートウェイ装置101は、バス13を介して車載ECU121と通信を行うことが可能である。ゲートウェイ装置101は、車両1において、異なるバス13に接続された車載ECU121間でやり取りされる情報を中継する中継処理を行う。
[0041]
 図2は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。図2には、標準フォーマットのデータフレームが示される。
[0042]
 図2を参照して、バス13において、データフレームは、インターフレームスペースIFS間において伝送される。
[0043]
 データフレームは、先頭から、SOF(Start Of Frame)、ID(Identifier)、RTR(Remote Transmission Request)、CONTROL、DATA、CRC(Cyclic Redundancy Check)、CRC DELIMITER、ACK SLOT、ACK DELIMITERおよびEOF(End Of Frame)の領域を有する。
[0044]
 領域は、対応のビット数の長さを有する。また、各領域におけるビットのレベルは、レセシブ固定、ドミナント固定、ならびにレセシブおよびドミナントの可変のうちのいずれか1つである。
[0045]
 具体的には、SOF領域は、1ビットの長さを有する。SOF領域における1ビットのレベルは、ドミナント固定である。
[0046]
 ID領域は、11ビットの長さを有する。ID領域における11個のビットは、レセシブおよびドミナントの可変である。
[0047]
 ID領域における11個のビットの示す値(以下、CAN-IDとも称する。)は、識別情報の一例であり、データフレームの差出元および宛先を認識可能である。
[0048]
 また、CAN-IDは、たとえば、データフレームに含まれるデータの種類を示す。
[0049]
 車載ネットワーク12におけるバス13において、互いに異なるCAN-IDを含む複数のデータフレームが伝送される。
[0050]
 車載ネットワーク12では、データフレームの送信は、たとえばブロードキャストにより行われる。たとえば、バス13に接続されたある車載装置が、送信ノードとして、予め設定されたCAN-IDを含むデータフレームをブロードキャストした場合、当該バス13に接続された他の車載装置は受信ノードとして動作し、ブロードキャストされたデータフレームを受信する。
[0051]
 この際、受信ノードは、受信したデータフレームに含まれるCAN-IDに基づいて、受信したデータフレームが自己にとって必要であるか否かを判断する。
[0052]
 車載ネットワーク12では、1つの受信ノードが、受信したデータフレームを自己にとって必要であると判断することもあるし、複数の受信ノードが、受信したデータフレームを自己にとって必要であると判断することもある。
[0053]
 上記のように、車載ネットワーク12では、データフレームに含まれるCAN-IDに基づいて、当該データフレームの差出元および宛先を特定することが可能である。
[0054]
 また、CAN-IDは、たとえば、通信調停の優先順位に用いられる。
[0055]
 バス13では、CAMA/CA(Carrier Sense Multiple Access with Collision Avoidance)方式に従って、最初にデータフレームを送信した車載ECU121が送信権を獲得する。
[0056]
 たとえば、2つ以上の車載ECU121がほぼ同時にデータフレームの送信を開始した場合、ID領域の1ビット目から調停を行い、ドミナントレベルを最も長く連続して送信した車載ECU121がデータフレームの送信を行うことができる。調停の敗者となった車載ECU121は、データフレームの送信を停止し、受信動作を開始する。
[0057]
 車載ネットワーク12では、レセシブレベルおよびドミナントレベルは、それぞれ論理値1および論理値ゼロに対応するので、より小さいCAN-IDを含むデータフレームが優先的に伝送される。
[0058]
 図3は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。図3には、拡張フォーマットのデータフレームが示される。
[0059]
 図3を参照して、拡張フォーマットのデータフレームでは、図2に示す標準フォーマットのデータフレームと比べて、ID領域とRTR領域との間において、SRR(Substitute Remote Request)、IDE(Identifier Extension)およびEXTENDED IDの領域がさらに設けられる。
[0060]
 [バスオフ攻撃]
 図4は、本発明の実施の形態に係る車載通信システムにおけるトランシーバの状態遷移の一例を示す図である。
[0061]
 図4を参照して、バス13を介して通信するゲートウェイ装置101および車載ECU121には、トランシーバが設けられる。トランシーバは、送信エラーカウンタTECおよび受信エラーカウンタRECを有する。
[0062]
 トランシーバは、CANの通信規格に従って動作し、エラーアクティブ状態、エラーパッシブ状態およびバスオフ状態のいずれか1つの状態をとる。
[0063]
 エラーアクティブ状態は、バス13上の通信に正常に参加することができる状態である。エラーパッシブ状態は、エラーを起こしやすい状態である。バスオフ状態は、バス13上の通信に参加できない状態であり、すべての通信が禁止される。
[0064]
 エラーアクティブ状態またはエラーパッシブ状態にあるトランシーバは、エラーを検出した場合、エラーを検出したことを示すエラーフレームをバス13へ送信する。また、当該トランシーバは、たとえば、ID毎プロトコルエラー監視区間(図2および図3参照)におけるデータの送信中にエラーを検出した場合、データフレームの送信を中断することもある。
[0065]
 また、トランシーバは、自己が送信ユニットとして動作するときにエラーを検出した場合、送信エラーカウンタTECのカウント値を、検出したエラーの内容に応じて増加させる。
[0066]
 また、トランシーバは、自己が受信ユニットとして動作するときにエラーを検出した場合、受信エラーカウンタRECのカウント値を、検出したエラーの内容に応じて増加させる。
[0067]
 また、トランシーバは、自己が送信ユニットとして動作するときにエラーを検出せずにメッセージを送信できた場合、送信エラーカウンタTECのカウント値をデクリメントする。
[0068]
 また、トランシーバは、自己が受信ユニットとして動作するときにエラーを検出せずにメッセージを受信できた場合、受信エラーカウンタRECのカウント値をデクリメントする。
[0069]
 トランシーバは、たとえば、起動されると初期状態を経てエラーアクティブ状態になる。
[0070]
 エラーアクティブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値または受信エラーカウンタRECのカウント値が127より大きい値になると、エラーパッシブ状態へ遷移する。
[0071]
 エラーパッシブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値および受信エラーカウンタRECのカウント値の両方が128より小さい値になると、エラーアクティブ状態へ遷移する。
[0072]
 また、エラーパッシブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値が255より大きい値になると、バスオフ状態へ遷移する。
[0073]
 バスオフ状態にあるトランシーバは、連続する11ビットのレセシブビットを128回バス13上において検出した場合、送信エラーカウンタTECのカウント値および受信エラーカウンタRECのカウント値の両方をゼロにリセットするとともに、エラーアクティブ状態へ遷移する。
[0074]
 図5は、本発明の実施の形態に係る車載ネットワークにおける攻撃を説明するための図である。
[0075]
 図5を参照して、バス13には、車載ECU121である車載ECU121A,121Bと、攻撃デバイス123とが接続されている。車載ECU121A,121Bは、トランシーバ122を含む。
[0076]
 バスオフ攻撃は、たとえば、非特許文献2(K. Cho、外1名、「Error Handling of In-vehicle Networks Makes Them Vulnerable」、CCS ’16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security、P.1044-1055)および非特許文献3(亀岡 良太、外5名、「ラズベリーパイからのスタッフエラー注入によるCAN ECUへのバスオフ攻撃」、2017 Symposium on Cryptography and Information Security、1E2-2)に記載されている。
[0077]
 バスオフ攻撃では、攻撃デバイス123は、攻撃対象の車載ECU121におけるトランシーバ122の自己検査機能を攻撃することにより当該トランシーバ122の送信品質が低下したと誤認識させ、攻撃対象の車載ECU121をバス13から離脱させる。この結果、攻撃を受けた車載ECU121は、通信不能に追い込まれる。
[0078]
 より詳細には、トランシーバ122は、たとえば、データフレームを送信する際に受信も同時に行うことにより、バス13へ送信したデータと同じデータがバス13から受信されたか否かを確認する。
[0079]
 トランシーバ122は、バス13へ送信したデータと同じデータがバス13から受信された場合、送信が正常に行われたと判断する。一方、トランシーバ122は、バス13へ送信したデータと異なるデータがバス13から受信された場合、送信においてエラーが発生したと判断する。
[0080]
 より詳細には、攻撃デバイス123は、たとえば、車載ECU121Bを攻撃する場合、ID毎プロトコルエラー監視区間(図2および図3参照)において、車載ECU121Bが送信するレセシブビットをドミナントビットで上書きする。
[0081]
 これにより、車載ECU121Bにおけるトランシーバ122は、レセシブビットを送信したにも関わらずドミナントビットを受信したため送信においてエラーが発生したと判断し、送信エラーカウンタTECのカウント値を増加させる。
[0082]
 攻撃デバイス123がこの攻撃を繰り返すことにより、車載ECU121Bのトランシーバ122における送信エラーカウンタTECのカウント値はさらに増加する。当該送信エラーカウンタTECのカウント値が255より大きくなると、車載ECU121Bにおけるトランシーバ122はバスオフ状態に遷移し、トランシーバ122は、バス13上の通信に参加できなくなってしまう。
[0083]
 [電気的データ改ざん攻撃]
 図6は、本発明の実施の形態に係る車載ネットワークにおける電気的データ改ざん攻撃を説明するための図である。
[0084]
 図6を参照して、図2および図3に示すデータフレームにおける1ビットの期間には、シンクロナイゼーションセグメントSS、プロパゲーションタイムセグメントPTS、フェーズバッファセグメントPBS1およびフェーズバッファセグメントPBS2が含まれる。
[0085]
 各セグメントは、Tq(Time quantum)という最小時間単位で構成される。SSのTq数は、1に固定である。PTS、PBS1およびPBS2のTq数は、所定の範囲内で任意の値に設定可能である。
[0086]
 また、サンプリングポイントSPは、PBS1とPBS2との間に設けられる。車載ネットワーク12において、PTS、PBS1およびPBS2のTq数は車載ECU121ごとに様々な値に設定されるので、車載ネットワーク12における各車載ECU121のサンプリングポイントSPは、一般にばらついている。
[0087]
 電気的データ改ざん攻撃は、たとえば、非特許文献4(中山 淑文、外3名、「車載CANバスにおける電気的データ改竄の効果」、2017 Symposium on Cryptography and Information Security、1E2-3)に記載されている。
[0088]
 電気的データ改ざん攻撃では、送信ユニットのサンプリングポイントSPより遅いサンプリングポイントSPを有する受信ユニットに対して攻撃が行われる。
[0089]
 たとえば、図5において、車載ECU121Bにおけるトランシーバ122および車載ECU121Aにおけるトランシーバ122がそれぞれ送信ユニットおよび受信ユニットとして動作する状況を想定する。
[0090]
 この例では、送信ユニットにおけるサンプリングポイントSPがビットの先頭から4Tq目であり、また受信ユニットにおけるサンプリングポイントSPがビットの先頭から6Tq目である。
[0091]
 攻撃デバイス123は、送信ユニットのサンプリングポイントSPでは改ざんせずに、受信ユニットのサンプリングポイントSPにおいてデータ改ざん用の電気信号をバス13へ送信することで、送信ユニットからのデータを改ざんする。これにより、送信ユニットにおけるビットエラー検出を回避しつつ受信ユニットが受信するデータを改ざんすることが可能となる。
[0092]
 より詳細には、攻撃デバイス123は、送信ユニットがデータビットを送信する場合において、ビットの先頭から4Tq目が経過してから6Tq目に至るまでに、当該データビットを改ざんするための電気信号をバス13へ送信する。
[0093]
 送信ユニットは、自己が送信したデータビットを4Tq目のサンプリングポイントで取得するので、正常に送信したと判断する。
[0094]
 一方、受信ユニットは、攻撃デバイス123によって改ざんされた不正なデータビットを6Tq目に取得してしまう。
[0095]
 このような電気的データ改ざん攻撃では、送信ユニットおよび受信ユニットの両方においてエラーが検出されない。
[0096]
 しかしながら、上述したように、各車載ECU121のサンプリングポイントSPがばらついているので、車載ネットワーク12におけるすべての車載ECU121においてエラーを検出させずに電気的データ改ざん攻撃を行うことは困難であると考えられる。
[0097]
 したがって、一般に、車載ネットワーク12における一部の車載ECU121が、電気的データ改ざん攻撃を検出してエラーフレームをバス13へ送信する状況となる。
[0098]
 このような、バスオフ攻撃および電気的データ改ざん攻撃等の車載ネットワーク12における攻撃をより精度よく検知するための技術が求められる。
[0099]
 そこで、本発明の実施の形態に係るゲートウェイ装置では、以下のような構成および動作により、このような課題を解決する。
[0100]
 [ゲートウェイ装置101の構成]
 図7は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
[0101]
 図7を参照して、ゲートウェイ装置101は、送受信部(監視部)51A,51B,51C,51Dと、中継部52と、集計部54と、検知部55と、記憶部56とを備える。以下、送受信部51A,51B,51C,51Dの各々を、送受信部51とも称する。
[0102]
 なお、ゲートウェイ装置101は、4つの送受信部51を備える構成に限らず、3つ以下、または5つ以上の送受信部51を備える構成であってもよい。
[0103]
 ゲートウェイ装置101は、検知装置として機能し、識別情報を含むデータフレームが伝送されるバス13を含む車載ネットワーク12における攻撃を検知する。
[0104]
 より詳細には、ゲートウェイ装置101における送受信部51は、たとえば、トランシーバであり、バス13に接続される。具体的には、送受信部51A,51B,51C,51Dは、それぞれバス13A,13B,13C,13Dに接続される。
[0105]
 送受信部51は、自己の接続されたバス13からデータフレームを受信すると、ID監視区間において受信した各ビットのレベルからCAN-IDを取得する(図2および図3参照)。
[0106]
 送受信部51は、取得したCAN-IDに基づいて、受信したデータフレームが中継を要するフレームであるか否かを判断する。
[0107]
 送受信部51は、受信したデータフレームが中継を要するフレームであると判断した場合、当該データフレームを中継部52へ出力する。
[0108]
 中継部52は、データフレームの中継処理を行う。具体的には、中継部52は、たとえば、送受信部51Aからデータフレームを受けると、受けたデータフレームに含まれるCAN-IDに基づいて、当該データフレームを出力すべき送受信部51を特定する。
[0109]
 より詳細には、中継部52は、たとえば、CAN-IDと送受信部51との対応関係を示すテーブルを有している。この例では、中継部52は、当該対応関係に基づいて、当該CAN-IDに対応する送受信部51として送受信部51Bを特定する。そして、中継部52は、上記データフレームを送受信部51Bへ出力する。
[0110]
 送受信部51Bは、中継部52からデータフレームを受けると、受けたデータフレームをバス13Bへ送信する。
[0111]
 また、送受信部51は、バス13における通信エラーを監視する。より詳細には、送受信部51は、ID監視区間においてCAN-IDを取得した後、ID毎プロトコルエラー監視区間におけるビット列を監視する。
[0112]
 送受信部51は、たとえば、差出元の車載ECU121によるデータフレームの送信の中断を検出した場合、およびエラーフレームを受信した場合、通信エラーが発生したと判断する。
[0113]
 そして、送受信部51は、通信エラーが発生したと判断したデータフレームのCAN-IDを集計部54へ通知する。
[0114]
 図8は、本発明の実施の形態に係るゲートウェイ装置において用いられる長監視間隔期間および短監視間隔期間の一例を示す図である。なお、図8において、横軸は時間を示す。
[0115]
 図8を参照して、集計部54は、送受信部51の監視結果に基づいて、識別情報ごとの通信エラーの発生状況を集計する。
[0116]
 より詳細には、集計部54は、たとえば、短監視間隔期間ST1,ST2,ST3,ST4,ST5を含む長監視間隔期間LTを設定する。短監視間隔期間ST1~ST5は、連続している。以下、短監視間隔期間ST1,ST2,ST3,ST4,ST5の各々を、短監視間隔期間STとも称する。
[0117]
 なお、集計部54は、5つの短監視間隔期間STを含む長監視間隔期間LTを設定する構成に限らず、2つ、3つ、4つまたは6つ以上の短監視間隔期間STを含む長監視間隔期間LTを設定してもよい。
[0118]
 図9は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
[0119]
 図9を参照して、集計部54は、たとえば、短監視間隔期間STの各々における通信エラーの発生回数の合計値、および長監視間隔期間LTにおける通信エラーの発生回数の合計値を含む集計表Tbl1を送受信部51ごとに作成して保持する。図9に示す集計表Tbl1は、たとえば、送受信部51A用の集計表である。
[0120]
 集計表Tbl1では、車載ネットワーク12において用いられるCAN-ID数分の行が設けられ、各行には、短監視間隔期間ST1~ST5および長監視間隔期間LTにそれぞれ対応するフィールドが設けられる。
[0121]
 集計部54は、送受信部51AからCAN-IDの通知を受けるごとに、以下の処理を行う。
[0122]
 すなわち、集計部54は、集計表Tbl1において、通知されたCAN-IDに対応する行において、通知を受けたタイミングを含む短監視間隔期間STに対応するフィールドにおけるプロトコルエラー発生回数をインクリメントする。
[0123]
 具体的には、集計部54は、たとえば、短監視間隔期間ST1において、送受信部51AからCAN-IDとして「1」の通知を受けると、CAN-IDが「1」の行において、短監視間隔期間ST1に対応するフィールドにおけるプロトコルエラー発生回数をインクリメントする。
[0124]
 集計部54がこのような処理を行うことにより、短監視間隔期間ST1が満了すると、CAN-IDが「1」、「2」および「N」の行において、短監視間隔期間ST1に対応するフィールドにおけるプロトコルエラー発生回数としてそれぞれ5回、5回およびゼロ回が集計表Tbl1に記録される。
[0125]
 集計部54は、短監視間隔期間ST2~短監視間隔期間ST5においても、同様の処理を行う。
[0126]
 そして、集計部54は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるCAN-IDごとのプロトコルエラー発生回数を集計表Tbl1に書き込む。
[0127]
 より詳細には、集計部54は、短監視間隔期間ST1~ST5におけるプロトコルエラー発生回数の合計値をCAN-IDごとに算出する。
[0128]
 集計部54は、CAN-IDごとに、算出した合計値を、当該CAN-IDの行において長監視間隔期間LTに対応するフィールドに書き込む。
[0129]
 具体的には、集計部54は、たとえば、CAN-IDが「1」の行において、短監視間隔期間ST1~ST5におけるプロトコルエラー発生回数の合計値として50回を算出する。
[0130]
 集計部54は、算出した50回を、CAN-IDが「1」の行において長監視間隔期間LTに対応するフィールドに書き込む。
[0131]
 図10は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
[0132]
 図10を参照して、集計部54は、たとえば、各短監視間隔期間STにおけるバス内プロトコルエラー分布、および長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を含む集計表Tbl2を送受信部51ごとに作成して保持する。図10に示す集計表Tbl2は、たとえば、送受信部51A用の集計表である。
[0133]
 集計表Tbl2では、短監視間隔期間ST1~ST5および長監視間隔期間LTにそれぞれ対応するフィールドが設けられる。
[0134]
 集計部54は、短監視間隔期間STが満了すると、当該短監視間隔期間STにおけるバス内プロトコルエラー分布を算出し、算出したバス内プロトコルエラー分布を当該短監視間隔期間STに対応するフィールドに書き込む。
[0135]
 ここで、バス内プロトコルエラー分布は、通信エラーの発生した識別情報の数であるエラーID数の一例である。具体的には、バス内プロトコルエラー分布は、短監視間隔期間STにおいて、プロトコルエラー発生回数が1回以上となったCAN-IDの個数である。
[0136]
 具体的には、集計部54は、たとえば、短監視間隔期間ST1が満了すると、短監視間隔期間ST1において、プロトコルエラー発生回数が1回以上のCAN-IDが「1」および「2」であることから、バス内プロトコルエラー分布として2を算出する。
[0137]
 そして、集計部54は、算出した2を当該短監視間隔期間ST1に対応するフィールドに書き込む。
[0138]
 集計部54は、短監視間隔期間ST2~短監視間隔期間ST5の各々が満了した場合においても、同様の処理を行う。
[0139]
 そして、集計部54は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を長監視間隔期間LTに対応するフィールドに書き込む。
[0140]
 具体的には、集計部54は、短監視間隔期間ST1~ST5における各バス内プロトコルエラー分布の平均として、(2+2+1+1+1)を5で除した値である1.4を算出する。
[0141]
 集計部54は、算出した1.4を長監視間隔期間LTに対応するフィールドに書き込む。
[0142]
 再び図7を参照して、検知部55は、集計部54の集計結果に基づいて車載ネットワーク12における攻撃を検知する。
[0143]
 詳細には、検知部55は、たとえば、集計結果における各CAN-ID間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する。
[0144]
 より詳細には、検知部55は、たとえば、通信エラーの発生回数のCAN-IDごとの合計、およびバス内プロトコルエラー分布に基づいて車載ネットワーク12における攻撃を検知する。
[0145]
 検知部55は、たとえば、短監視間隔ごとに短間隔検知処理を行う。具体的には、検知部55は、たとえば、短監視間隔期間STにおける通信エラーの発生回数のCAN-IDごとの合計としきい値Th1との比較結果Rst1、バス内プロトコルエラー分布としきい値Th2との比較結果Rst2、およびバス内プロトコルエラー分布としきい値Th2より大きいしきい値Th5との比較結果Rst5に基づいて車載ネットワーク12における攻撃を検知する。
[0146]
 より具体的には、検知部55は、たとえば、集計部54によって設定された短監視間隔期間ST1,ST2,ST3,ST4,ST5および長監視間隔期間LTに従って動作し、短監視間隔期間ST1が満了すると、以下の処理を行う。
[0147]
 すなわち、検知部55は、短監視間隔期間ST1におけるプロトコルエラー発生回数のCAN-IDごとの合計値を、集計部54が保持する集計表Tbl1(図9参照)から取得する。
[0148]
 また、検知部55は、短監視間隔期間ST1におけるバス内プロトコルエラー分布を、集計部54が保持する集計表Tbl2(図10参照)から取得する。
[0149]
 検知部55は、たとえば、「1」~「N」のCAN-IDの中から昇順にCAN-IDを1つずつ選択し、選択したCAN-IDに対応するプロトコルエラー発生回数を用いた評価を行う。
[0150]
 具体的には、検知部55は、たとえば、選択したCAN-ID(以下、対象CAN-IDとも称する。)に対応するプロトコルエラー発生回数の合計がしきい値Th1より大きく、かつバス内プロトコルエラー分布がしきい値Th2より小さい場合、少数の車載ECU121に対するサイバー攻撃である少数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
[0151]
 たとえば、1~2個の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。一方、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数は少数であるため、バス内プロトコルエラー分布は大きくならない。上記の構成により、検知部55は、少数攻撃が発生したことをより正しく判断することができる。
[0152]
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th1より大きく、かつバス内プロトコルエラー分布がしきい値Th5より大きい場合、多数の車載ECU121に対するサイバー攻撃である多数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
[0153]
 たとえば、多数の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。また、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数も多数であるため、バス内プロトコルエラー分布が極めて大きくなる。上記の構成により、検知部55は、多数攻撃が発生したことをより正しく判断することができる。
[0154]
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th1以下であるか、またはバス内プロトコルエラー分布がしきい値Th2以上でありかつしきい値Th5以下である場合、ノイズまたは車載ECU121の故障等による通信エラーが発生したと判断する。この場合、検知部55は、判断結果を記憶部56に記録しない。
[0155]
 たとえば、ノイズはランダムに発生することが多いので、通信エラーの発生するデータフレームもランダムとなる。このため、バス内プロトコルエラー分布は大きくなる。また、車載ECU121が経年劣化する場合、車載ECU121が差出元または宛先となるデータフレームの通信エラーが散発的に発生すると考えられる。このため、バス内プロトコルエラー分布が小さくても、車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数も小さくなる。上記の構成により、検知部55は、少数攻撃または多数攻撃の発生を誤って判断してしまうことを防ぐことができる。
[0156]
 検知部55は、たとえば、集計部54によって設定された短監視間隔期間ST2,ST3,ST4,ST5が満了した場合の各々においても、短監視間隔期間ST1が満了した場合と同様に、短間隔検知処理を行う。
[0157]
 また、検知部55は、たとえば、長監視間隔ごとに長間隔検知処理を行う。具体的には、検知部55は、たとえば、長監視間隔期間LTにおける通信エラーの発生回数のCAN-IDごとの合計としきい値Th3との比較結果Rst3、バス内プロトコルエラー分布の平均としきい値Th4との比較結果Rst4、および当該平均としきい値Th4より大きいしきい値Th6との比較結果Rst6に基づいて車載ネットワーク12における攻撃を検知する。
[0158]
 より具体的には、検知部55は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるプロトコルエラー発生回数のCAN-IDごとの合計値を、集計部54が保持する集計表Tbl1(図9参照)から取得する。
[0159]
 また、検知部55は、長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を、集計部54が保持する集計表Tbl2(図10参照)から取得する。
[0160]
 検知部55は、たとえば、「1」~「N」のCAN-IDの中から昇順にCAN-IDを1つずつ選択し、選択したCAN-IDに対応するプロトコルエラー発生回数を用いた評価を行う。
[0161]
 具体的には、検知部55は、たとえば、選択したCAN-IDすなわち対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th3より大きく、かつバス内プロトコルエラー分布の平均がしきい値Th4より小さい場合、少数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
[0162]
 たとえば、1~2個の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。一方、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数は少数であるため、バス内プロトコルエラー分布の平均は大きくならない。上記の構成により、検知部55は、少数攻撃が発生したことをより正しく判断することができる。
[0163]
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th3より大きく、かつバス内プロトコルエラー分布の平均がしきい値Th6より大きい場合、多数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
[0164]
 たとえば、多数の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。また、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数も多数であるため、バス内プロトコルエラー分布の平均が極めて大きくなる。上記の構成により、検知部55は、多数攻撃が発生したことをより正しく判断することができる。
[0165]
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th3以下であるか、またはバス内プロトコルエラー分布の平均がしきい値Th4以上でありかつしきい値Th6以下である場合、ノイズまたは車載ECU121の故障等による通信エラーが発生したと判断する。この場合、検知部55は、判断結果を記憶部56に記録しない。
[0166]
 たとえば、ノイズはランダムに発生することが多いので、通信エラーの発生するデータフレームもランダムとなる。このため、バス内プロトコルエラー分布の平均は大きくなる。また、車載ECU121が経年劣化する場合、車載ECU121が差出元または宛先となるデータフレームの通信エラーが散発的に発生すると考えられる。このため、バス内プロトコルエラー分布の平均が小さくても、車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数も小さくなる。上記の構成により、検知部55は、少数攻撃または多数攻撃の発生を誤って判断してしまうことを防ぐことができる。
[0167]
 [動作の流れ]
 ゲートウェイ装置101は、コンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下に示すフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリから読み出して実行する。この装置のプログラムは、外部からインストールすることができる。この装置のプログラムは、記録媒体に格納された状態で流通する。
[0168]
 図11は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
[0169]
 図11を参照して、まず、ゲートウェイ装置101は、短監視間隔期間STが満了するまで、データフレームの中継処理を行いながら、発生した通信エラーを記録する(ステップS102でNO)。
[0170]
 そして、ゲートウェイ装置101は、短監視間隔期間STが満了すると(ステップS102でYES)、当該短監視間隔期間STにおいて発生した通信エラーを集計する(ステップS104)。
[0171]
 次に、ゲートウェイ装置101は、車載ネットワーク12において用いられる複数のCAN-IDのうちの1つを選択する(ステップS106)。
[0172]
 次に、ゲートウェイ装置101は、選択したCAN-IDすなわち対象CAN-IDに対応するプロトコルエラー発生回数の短監視間隔期間STにおける合計ENsがしきい値Th1より大きく、かつ当該短監視間隔期間STにおけるバス内プロトコルエラー分布EDsがしきい値Th2より小さい場合(ステップS108でYES)、少数攻撃を検知する(ステップS118)。
[0173]
 また、ゲートウェイ装置101は、合計ENsがしきい値Th1より大きく、かつバス内プロトコルエラー分布EDsがしきい値Th5より大きい場合(ステップS108でNOおよびステップS110でYES)、多数攻撃を検知する(ステップS112)。
[0174]
 次に、ゲートウェイ装置101は、少数攻撃を検知するか(ステップS118)、または多数攻撃を検知すると(ステップS112)、検知結果をログに記録する(ステップS114)。
[0175]
 また、ゲートウェイ装置101は、合計ENsがしきい値Th1以下であるか、もしくはバス内プロトコルエラー分布EDsがしきい値Th2以上かつしきい値Th5以下である場合(ステップS108でNOおよびステップS110でNO)、または検知結果をログに記録すると(ステップS114)、車載ネットワーク12において用いられる複数のCAN-IDをすべて選択したか否かを確認する(ステップS116)。
[0176]
 ゲートウェイ装置101は、上記複数のCAN-IDの中で未選択のCAN-IDが存在する場合(ステップS116でNO)、上記複数のCAN-IDにおいて未選択のCAN-IDを1つ選択する(ステップS106)。
[0177]
 一方、ゲートウェイ装置101は、上記複数のCAN-IDをすべて選択した場合(ステップS116でYES)、新たな短監視間隔期間STが満了するまで、データフレームの中継処理を行いながら、発生した通信エラーを記録する(ステップS102でNO)。
[0178]
 図12は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
[0179]
 図12を参照して、まず、ゲートウェイ装置101は、長監視間隔期間LTが満了するまで、データフレームの中継処理を行いながら、長監視間隔期間LTに含まれる各短監視間隔期間STにおいて発生した通信エラーを記録する(ステップS202でNO)。
[0180]
 そして、ゲートウェイ装置101は、長監視間隔期間LTが満了すると(ステップS202でYES)、当該各短監視間隔期間STにおいて発生した通信エラーを集計する(ステップS204)。
[0181]
 次に、ゲートウェイ装置101は、車載ネットワーク12において用いられる複数のCAN-IDのうちの1つを選択する(ステップS206)。
[0182]
 次に、ゲートウェイ装置101は、選択したCAN-IDすなわち対象CAN-IDに対応するプロトコルエラー発生回数の長監視間隔期間LTにおける合計ENpがしきい値Th3より大きく、かつ当該長監視間隔期間LTにおけるバス内プロトコルエラー分布EDpがしきい値Th4より小さい場合(ステップS208でYES)、少数攻撃を検知する(ステップS218)。
[0183]
 また、ゲートウェイ装置101は、合計ENpがしきい値Th3より大きく、かつバス内プロトコルエラー分布EDpがしきい値Th6より大きい場合(ステップS208でNOおよびステップS210でYES)、多数攻撃を検知する(ステップS212)。
[0184]
 次に、ゲートウェイ装置101は、少数攻撃を検知するか(ステップS218)、または多数攻撃を検知すると(ステップS212)、検知結果をログに記録する(ステップS214)。
[0185]
 また、ゲートウェイ装置101は、合計ENpがしきい値Th3以下であるか、もしくはバス内プロトコルエラー分布EDpがしきい値Th4以上かつしきい値Th6以下である場合(ステップS208でNOおよびステップS210でNO)、または検知結果をログに記録すると(ステップS214)、車載ネットワーク12において用いられる複数のCAN-IDをすべて選択したか否かを確認する(ステップS216)。
[0186]
 ゲートウェイ装置101は、上記複数のCAN-IDの中で未選択のCAN-IDが存在する場合(ステップS216でNO)、上記複数のCAN-IDにおいて未選択のCAN-IDを1つ選択する(ステップS206)。
[0187]
 一方、ゲートウェイ装置101は、上記複数のCAN-IDをすべて選択した場合(ステップS216でYES)、新たな長監視間隔期間LTが満了するまで、データフレームの中継処理を行いながら、新たな長監視間隔期間LTにおいて発生した通信エラーを記録する(ステップS202でNO)。
[0188]
 なお、本発明の実施の形態に係るゲートウェイ装置は、バス13A~13Dのすべてを攻撃の検知対象とする構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、バス13A~13Dの一部を攻撃の検知対象とする構成であってもよい。
[0189]
 また、本発明の実施の形態に係る車載ネットワークでは、ゲートウェイ装置101が、車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。バス13に接続された各車載ECU121のうちの少なくともいずれか1つが、ゲートウェイ装置101と同様に、検知装置として動作し、対応のバス13における攻撃を検知する構成であってもよい。
[0190]
 また、本発明の実施の形態に係る車載ネットワークでは、差出元および宛先の両方を認識可能な識別情報を含むデータフレームが伝送される構成であるとしたが、これに限定するものではない。差出元および宛先のいずれか一方を認識可能な識別情報を含むデータフレームが伝送される構成であってもよい。
[0191]
 また、本発明の実施の形態に係る車載ネットワークでは、差出元および宛先の両方を認識可能なCAN-IDを含むデータフレームが伝送される構成であるとしたが、これに限定するものではない。差出元および宛先の少なくともいずれか一方を直接示す識別情報、たとえばアドレスを含むデータフレームが伝送される構成であってもよい。
[0192]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、集計部54における集計結果における各CAN-ID間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、上記偏りに基づかずに車載ネットワーク12における攻撃を検知する構成であってもよい。具体的には、検知部55は、たとえば、図10に示す集計表Tbl2を用いずに、車載ネットワーク12における攻撃を検知する。
[0193]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、短間隔検知処理および長間隔検知処理の両方を行う構成であるとしたが、これに限定するものではない。検知部55は、短間隔検知処理および長間隔検知処理のいずれか一方を行う構成であってもよい。
[0194]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst1、比較結果Rst2および比較結果Rst5に基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、比較結果Rst1および比較結果Rst2に基づいて車載ネットワーク12における攻撃を検知する構成であってもよい。
[0195]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst3、比較結果Rst4および比較結果Rst6に基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、比較結果Rst3および比較結果Rst4に基づいて車載ネットワーク12における攻撃を検知する構成であってもよい。
[0196]
 ところで、特許文献1に記載の車載通信システムでは、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防いでいる。
[0197]
 しかしながら、たとえば、各ECU間を接続するバスにおいて伝送される信号を電気的に操作するようなサイバー攻撃に対しては、上記のようなセキュリティ対策が無効化されることがある。
[0198]
 このような攻撃を受けた場合において、車載ネットワークにおける攻撃を精度よく検知するための技術が求められる。
[0199]
 これに対して、本発明の実施の形態に係るゲートウェイ装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むデータフレームが伝送されるバス13を含む車載ネットワーク12における攻撃を検知する。バス13において、互いに異なる識別情報を含む複数のデータフレームが伝送される。送受信部51は、バス13における通信エラーを監視する。集計部54は、送受信部51の監視結果に基づいて、識別情報ごとの通信エラーの発生状況を集計する。そして、検知部55は、集計部54の集計結果に基づいて車載ネットワーク12における攻撃を検知する。
[0200]
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、データフレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バス13において伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
[0201]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、集計結果における各識別情報間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する。
[0202]
 このような構成により、各識別情報間での通信エラーの発生状況の偏りに基づいて、たとえば、車載ネットワーク12における各車載装置において満遍なく通信エラーが発生しているのか、または当該各車載装置のうちの特定の少数の車載装置に通信エラーが発生しているのかを認識することができる。これにより、たとえば、各車載装置において満遍なく通信エラーが発生している場合には電気的ノイズの影響も考慮して攻撃の検知を慎重に判断することができ、また、特定の少数の車載装置に通信エラーが発生している場合には、攻撃の可能性が高いと判断することができる。
[0203]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、通信エラーの発生回数の識別情報ごとの合計、および通信エラーの発生した識別情報の数であるエラーID数に基づいて車載ネットワーク12における攻撃を検知する。
[0204]
 このような構成により、たとえば、通信エラーの発生回数の多い車載装置に対して攻撃を受けたと判断しようとする場合において、通信エラーの発生した車載装置数を考慮することができるので、攻撃の有無をより正しく判断することができる。
[0205]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、短監視間隔期間STにおける合計としきい値Th1との比較結果Rst1およびエラーID数としきい値Th2との比較結果Rst2、ならびに複数の短監視間隔期間STからなる長監視間隔期間LTにおける合計としきい値Th3との比較結果Rst3およびエラーID数の平均としきい値Th4との比較結果Rst4の少なくともいずれか一方に基づいて車載ネットワーク12における攻撃を検知する。
[0206]
 このような構成により、たとえば、短監視間隔期間STにおける合計がしきい値Th1より大きい場合においても、エラーID数がしきい値Th2以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、短監視間隔期間STにおける合計がしきい値Th1より大きく、かつエラーID数がしきい値Th2より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。また、長監視間隔期間LTにおける合計がしきい値Th3より大きい場合においても、エラーID数の平均がしきい値Th4以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、長監視間隔期間LTにおける合計がしきい値Th3より大きく、かつエラーID数の平均がしきい値Th4より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。
[0207]
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst1、比較結果Rst2およびエラーID数としきい値Th2より大きいしきい値Th5との比較結果、ならびに比較結果Rst3、比較結果Rst4およびエラーID数の平均としきい値Th4より大きいしきい値Th6との比較結果の少なくともいずれか一方に基づいて車載ネットワーク12における攻撃を検知する。
[0208]
 たとえば、短監視間隔期間STにおけるエラーID数、および長監視間隔期間LTにおけるエラーID数の平均の少なくともいずれか一方が極端に大きい場合、車載ネットワーク12における多数の車載装置に対して攻撃が行われていると考えられる。上記の構成により、車載ネットワーク12における各車載装置に対する一斉攻撃をより精度よく検知することができる。
[0209]
 上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
[0210]
 以上の説明は、以下に付記する特徴を含む。
[0211]
 [付記1]
 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、
 前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
 前記バスにおける通信エラーを監視する監視部と、
 前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
 前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備え、
 前記検知装置は車両に搭載され、前記フレームを中継するゲートウェイ装置、または車載ECU(Electronic Control Unit)であり、
 前記識別情報は、CAN-ID(Controller Area Network-Identifier)であり、
 前記車載ネットワークは、前記車両に搭載されるTCU(Telematics Communication Unit)、自動運転ECU、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェースまたはカメラを含み、
 前記フレームは、CAN、FlexRay、MOST(Media Oriented Systems Transport)、イーサネットまたはLIN(Local Interconnect Network)の通信規格に従って前記車載ネットワークにおいて伝送され、
 前記集計部は、前記監視部の監視結果に基づいて、前記CAN-IDごとのプロトコルエラー発生回数を集計する、検知装置。

符号の説明

[0212]
 1 車両
 12 車載ネットワーク
 13 バス
 51 送受信部(監視部)
 52 中継部
 54 集計部
 55 検知部
 56 記憶部
 101 ゲートウェイ装置
 121 車載ECU
 122 トランシーバ
 123 攻撃デバイス
 301 車載通信システム

請求の範囲

[請求項1]
 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、
 前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
 前記バスにおける通信エラーを監視する監視部と、
 前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
 前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える、検知装置。
[請求項2]
 前記検知部は、前記集計結果における各前記識別情報間での通信エラーの発生状況の偏りに基づいて前記攻撃を検知する、請求項1に記載の検知装置。
[請求項3]
 前記検知部は、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する、請求項1または請求項2に記載の検知装置。
[請求項4]
 前記検知部は、第1の監視間隔における前記合計と第1のしきい値との第1の比較結果および前記エラーID数と第2のしきい値との第2の比較結果、ならびに複数の前記第1の監視間隔からなる第2の監視間隔における前記合計と第3のしきい値との第3の比較結果および前記エラーID数の平均と第4のしきい値との第4の比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する、請求項3に記載の検知装置。
[請求項5]
 前記検知部は、前記第1の比較結果、前記第2の比較結果および前記エラーID数と前記第2のしきい値より大きい第5のしきい値との比較結果、ならびに前記第3の比較結果、前記第4の比較結果および前記平均と前記第4のしきい値より大きい第6のしきい値との比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する、請求項4に記載の検知装置。
[請求項6]
 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、
 前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
 前記バスにおける通信エラーを監視するステップと、
 監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、
 集計結果に基づいて前記攻撃を検知するステップとを含む、検知方法。
[請求項7]
 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、
 前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
 コンピュータを、
 前記バスにおける通信エラーを監視する監視部と、
 前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
 前記集計部の集計結果に基づいて前記攻撃を検知する検知部、
として機能させるための、検知プログラム。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]