ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

ESCAR Europe 2015参加報告

会議名  ESCAR Europe 2015
日時    2015年11月11日~12日
場所    Dorint Hotel am Heumarkt Cologne(ドイツ,ヴェストファーレン州)
主催    ISITS(International School of IT Security AG), escrypt
参加者  約220名
報告者  松本研究員

[ESCAR Europe 2015概要]

ESCAR Europeは自動車セキュリティに関する学会であり,毎年11月にドイツ国内の都市で開催される.今回で第13回目にあたり,ケルンでの開催は2003年に続き2回目である.参加者は200名以上となった.

[プログラム概要]

会期は2日間であり,投稿数は38件に対し発表は14件(他に招待講演が5件).採択率は37%となった.昨年は投稿数18件に対し発表は13件であり,採択率は約半分となっている.プログラム上は5つのセッション(Security Engineering, On-Board Communication I/II, Security Lifecycle, Connected Vehicles)に分かれるが,3セッションは車内/外ネットワークに関するものである.自動車のネットワーク化の進展に伴うセキュリティに対する要求の高まりを感じたが,似通ったテーマに発表が集中している感があった.

 

[主な発表の紹介]

■(Security Engineeringセッション)Designing and Optimizing a Security Requirements Engineering Methodology with the Security Engineering System Model Core, Hendrik Decke(Volkswagen AG)ら

既存のセキュリティ要件に関する手法の問題として,問題のスコープとのミスマッチ(余りにも広い反面,余りにも狭い)を挙げ,自動車セキュリティにfitした要件手法の必要性を主張し,SESMC(Security Engineering System Model Core)と呼ぶ手法を提案し,SESMCにおける開発プロセスとプロセスにおける成果物を述べている.また保護グループ(protection group),自動脅威インスタンシエーション(automatic hreat instantiation)と呼ぶ概念により要求エンジニアリングプロセスを改善していく方法を導入している.

 

■Don’t Fuss about Fuzzing: Fuzzing In-Vehicular Networks, Stephanie Bayer(ESCRYPT, Germany)ら

 

自動車システムのセキュリティに関しては,要件定義に使用できる概念,技術のpoorさが懸案である状況から,効率性/自動性を実現する手法としてファジング(fuzzing)を提案している.発表では,ファジングの概念の説明に続きファジング環境(Fuzzer)の設計と実装について説明している.

 

■A Method for Disabling Malicious CAN Messages by Using a Centralized Monitoring and Interceptor ECU, Yoshihiro Ujiie(Panasonic)ら

本発表では,CANネットワークのセキュリティ対策について,CMI-ECU(Centralized Monitoring and Interceptor ECU)を提案している.当該ECUは,悪意あるCANメッセージを検出し他ECUに受信されるのを防ぐ.悪意あるCANメッセージの検出アルゴリズムとしてはパターンマッチングとアノマリ検知(周期的メッセージ,非周期的メッセージの頻度,ペイロード異常)の併用である.プロトタイプを用い応答時間などの評価を行った後,OBD-II経由で実車に接続しての評価も行っていた.

 

■CAN traffic modeling: Applying Machine Learning for Anomaly Detection in CAN bus networks, Harel Cain(Cisco)

異常なCANメッセージの検出に機械学習を用いる手法についての研究.自動車における異常検知に関してはリアルタイムの対応が必要である点,メモリ制約が厳しい点,CPU処理能力が制約を受ける点などの課題が挙げられた.またCAN固有の問題として,周期的メッセージと非周期的メッセージは性質が異なる点,非周期的メッセージが送信されるのは稀である点(学習データの収集が困難),診断データの通信などはより上位の抽象化が必要などの点が挙げられた.

 

■Field Classification, Modeling and Anomaly Detection in Unknown CAN Bus Networks, Moti Markovitz(Tel Aviv University)ら

CANメッセージの異常検出に関する研究だが,当該研究ではメッセージ内のフィールドを4種類に分類している.即ち,constant/multi-value/counter/sensorである.constantは不変なフィールド,multi-valueは複数の値を取るフィールド,counterは最小値と最大値の間で周期的に変化するフィールド,最後は何らかの物理量の測定値と目されるフィールドである.発表ではこれらの分離アルゴリズムを示すとともに,異常検出にTCAM(Ternary Content-Addressable Memory)を用いたモデルを示している.

 

■SecGW – Secure Gateway for In-Vehicle Networks, Ryo Kurachi(名古屋大)ら

CANにおける悪意あるメッセージをdropさせるための,集中監視を行うモニタノードとして機能するCaCAN (Centralized Authentication in CAN)の方式と評価についての発表.DoS攻撃やマルウェアの検出を行い,結果判明した悪意あるメッセージをdropさせるためにエラーメッセージを用いて打ち消す(撃ち落とす?)方法を用いる.ルネサスマイコンとFPGAを使い,性能などについて評価実験を行っている.

 

■招待講演: Tom Winterhalter(FBI)

講演ではサイバーセキュリティを端緒にセキュリティについて説明が進められた.外交とサイバーセキュリティとの関係などについても語られたが,自動車セキュリティも含めて我々が(一般市民が)何をできるか(ネットワークのセキュリティを怠らないこと,情報共有と障害復旧計画の準備に努めること)などが語られた.

 

■Approaches for Secure and Efficient In-Vehicle Key Management, Takeshi Sugashima(デンソー), Dennis Kengo Oka(ETAS)ら

車内ネットワークのセキュア化のための暗号化には,鍵管理が当然必要となる.この鍵管理のための方法として,セキュリティを重視したSHE(Secure H/W Extension)ベース方式と,応答時間を重視した生成方式を提案している.どちらも車内の中央ゲイトウェイECUがKey Masterとして機能する.両方式についてFreescaleマイコンを使って,時間,メモリサイズ等の性能について評価を行っている.

 

■Common Security Flaws in Connected Cars Systems, Yaron Galula(ARGUS)

 

自動車ファームウェアのリバースエンジニアリング手法についての研究.リバースエンジニアリングのためのファームウェア抽出方法として(公表されていない)JTAG I/F経由,ATコマンドのパースに関する脆弱性経由,プロプライエタリなexploitによるものが紹介され,プロプライエタリなexploitとしては(組込OSである) QNX上でのコードインジェクションなどが紹介された.

 

[会期を通じて]

 

会期中,名古屋大の倉地先生,(一社)重要生活機器連携セキュリティ協議会の伊藤氏,トヨタの小熊氏,マツダの細貝氏,濱田氏,Denso DeutschlandのFrank氏,Takanashi氏,デンソーのSugashima氏,パナソニックの氏家氏,Hagiwara Electric Europeの西村氏らとお会いすることができた(順不同).

 

会場となったDorint Hotel(ケルン, ホイマルクト)

会場となったDorint Hotel(ケルン, ホイマルクト)