360: 2019 インテリジェント コネクテッド ビークル情報セキュリティ年次レポート

本レポートでは、インテリジェント コネクテッド ビークルのネットワーク セキュリティ開発動向、新たな攻撃手法、自動車セキュリティ攻撃インシデント、自動車安全リスク概要、セキュリティ構築推奨事項の観点から、2019 年のインテリジェント コネクテッド ビークルの情報セキュリティの発展状況をレビューします。

2019年、自動車のインターネットに2つの新しいタイプの攻撃が発生し、ほとんどの自動車メーカーが失敗するでしょう。デジタル自動車キーの脆弱性は、自動車セキュリティのパンドラの箱を開けることにもなりました。車載ネットワークセキュリティの黄金分割ポイントは、サプライヤーのセキュリティ管理にあります。 「報告書」では、自動車のインターネットのセキュリティについては、プラス面とマイナス面の両方から検討し、積極的な防御を講じるべきであると勧告している。

報告書は、通信モジュールが大量車両制御の根本的な原因であると指摘している。自動車メーカーは、これから導入される一連の自動車ネットワーク セキュリティ標準に従い、厳格なサプライ チェーン管理メカニズムを実装し、定期的に侵入テストを実施し、ネットワーク セキュリティ リスクを継続的に監視する必要があります。

インテリジェントコネクテッドビークルは多様な開発に向かっている

2019年のわが国の自動車生産台数と販売台数はそれぞれ2,572万1,000台と2,576万9,000台で、前年比7.5%と8.2%の減少となったが、業界全体の減少幅は縮小した。自動車産業もまた、発展方式の転換、産業構造の最適化、高速成長から高品質発展への転換という重要な時期を迎えています。 「電動化、知能化、ネットワーク化、シェアリング」を軸とした自動車の「新4大トレンド」は、政府、自動車メーカー、自動車部品サプライヤー、テクノロジー企業、消費者の間で合意事項となっている。

「新四大近代化」の継続的な進展に伴い、自動車の元々の数千、数万の機械部品は、モーターと電子制御装置、動力電池、車両制御装置を含む「三電」システムに徐々に置き換えられてきました。同時に、新しいビジネス シナリオにより、自動車の T ボックスやデジタル自動車キーなどの電子部品や電気部品が生まれ、一連の新しいネットワーク セキュリティ リスクが発生しています。このレポートでは、新世代の E/E アーキテクチャが直面する新しいセキュリティ上の課題と、自動運転アルゴリズムおよびセンサーが直面するセキュリティ上の課題について包括的な分析を提供します。

2020年には、自動車のサイバーセキュリティに関する規格が国内外で全面展開される予定。一般的に言えば、自動運転やV2Xなどのアプリケーションシナリオを対象とし、自動車産業チェーンがコンセプト、開発、生産、運用、保守などのさまざまな段階でサイバーセキュリティ活動を実行するようにガイドします。

2019年以来、多くの自動車企業がインターネット企業と手を組み、戦略的協力や共同実験室の構築を通じて、ネットワークセキュリティ問題の解決に取り組んでいます。これは、「新4つの近代化」が自動車分野を超えて、水平的かつ多様な開発空間へと移行していることを意味します。

車両インターネットにおける新たな攻撃手法はほぼ普遍的である

2019 年、車両のインターネットでは、車両通信モジュールの情報漏洩に基づくリモート コントロール ハイジャック攻撃と、生成的敵対ネットワークに基づく自動運転アルゴリズムへの攻撃という 2 つの新しいタイプの攻撃が発生しました。これら 2 つの新しいタイプの攻撃は、ほとんどの自動車会社に影響を及ぼす可能性があります。

360は、2018年には早くも、通信モジュールをクラッキングし、プライベートAPNを利用して自動車会社のTSPプラットフォームに侵入することで、車両の一括遠隔制御を実現する攻撃手法を模索していた。 2019 年 12 月、360 とメルセデス・ベンツは共同で、路上の 200 万台以上の車両に影響を与える 6 件の CVE 脆弱性を含む、このような攻撃の原因となる 19 件の脆弱性を発見し、修正しました。両者はRSAカンファレンスで脆弱性研究の結果について共同で講演した。通信モジュールは、車両を外部ネットワークに接続するための第一防衛線です。ハッカーに解読されれば、遠隔操作でドアや窓の開閉、エンジンの始動・停止などの車両制御操作が可能となり、ユーザーの生命や財産の安全が脅かされることになる。徹底的な調査の結果、このような脆弱性は自動車会社の車載ネットワークシステムに広く存在しており、自動車会社の注意を早急に喚起する必要があることが判明しました。

生成的敵対ネットワークに基づく自動運転アルゴリズムに対する攻撃は、主に、ディープラーニング モデルのトレーニング中に敵対的サンプルなどの特別なトレーニング データが不足していることに起因します。ディープラーニングはテクノロジーの将来の方向性を表していますが、現在の実際のアプリケーションでは、研究者は実験を通じて、特定のアルゴリズムを通じて対応する敵対的サンプルを生成し、画像認識システムを直接攻撃できることを実証しています。ニューラル ネットワーク アルゴリズムには依然として一定のセキュリティ リスクがあり、注意が必要です。

2019 年のコネクテッド カーに関連するセキュリティ インシデント トップ 10

2019年には、通信モジュールに基づくリモートコントロールハイジャック攻撃、生成的敵対ネットワーク（GAN）に基づく自動運転アルゴリズムへの攻撃、テスラのPKESシステムへのリレー攻撃の脅威、テスラモデルS/X WiFiプロトコルのキャッシュオーバーフロー脆弱性、共有カーアプリの脆弱性、LIDARに基づく自動運転システムのセキュリティの疑問、Uberのアカウントハイジャック脆弱性、アフターマーケットの自動車盗難防止システムの脆弱性、トヨタの自動車サーバーへの侵入、BMWへのAPT攻撃など、インテリジェントコネクテッドビークルの分野で世界中で10件の重大なセキュリティインシデントが発生しました。

この報告書では、典型的なセキュリティインシデントの分析を通じて、現在の自動車の安全性に対する4つの主要なリスクをまとめています。自動車攻撃インシデントは急速に増加しており、攻撃方法は次々と登場しています。スマートコネクテッドビークルには異常検出機能と能動的な防御機構が欠けている。デジタルキーは、幅広い注目を集める新たな攻撃対象となっています。自動運転アルゴリズムとV2Xシステムは新たな攻撃の標的となるでしょう。

デジタル自動車キーの脆弱性により、自動車セキュリティのパンドラの箱が開かれる。デジタル自動車キーは、リモート呼び出しや自動駐車などの新しいアプリケーション シナリオで使用できます。この多様化したアプリケーション シナリオにより、デジタル キーは攻撃に対しても脆弱になります。デジタル自動車キーの「ショートボード効果」は顕著です。 ID 認証、暗号化アルゴリズム、キーの保存、データ パケットの送信などのリンクのいずれかがハッキングされると、デジタル自動車キーのセキュリティ システム全体が崩壊します。現在、最も一般的な攻撃方法は、リレー攻撃を通じてデジタル自動車キーの信号を増幅し、それによって車両を盗むというものです。

2019年、欧州と米国では、特に英国でリレーアタックによる高級ブランド車の盗難事件が相次いで発生した。 2019年の最初の10か月間だけでも、PKESシステムを狙った盗難は14,000件を超えており、これは38分ごとに1件の盗難事件に相当します。窃盗犯が犯罪を犯すのに通常 30 秒もかかりません。また、リレー デバイスや攻撃チュートリアルなどの使用されるツールはオンラインで購入することもできるため、個人や財産の安全に大きな損害を与える可能性があります。

インテリジェントコネクテッドカーの安全構築に関する5つの提案

このレポートでは、スマートコネクテッドカーが直面する安全上のリスクと隠れた危険に関して、5 つの主要な安全推奨事項を提示しています。

まず、サプライヤーの主要リンクに対するセキュリティ責任システムを確立します。自動車ネットワークセキュリティの黄金比はサプライヤーのセキュリティ管理にあると言えます。 「新4つの近代化」により、一次サプライヤーによる新製品の開発が加速される。その時、新たな一次サプライヤーもOEM調達システムに加わり、従来のサプライチェーン構造が再構築されることになる。サプライチェーン管理は、自動車ネットワーク セキュリティにおける新たな問題点となります。 OEM は、品質システム、技術力、管理レベルなど、複数の側面からサプライヤーを総合的に評価する必要があります。

第二に、安全基準を推進し、安全のための強固な基盤を築きます。 2020 年は自動車のサイバーセキュリティ標準が完全に導入される年になるでしょう。 ISO21434などのサイバーセキュリティ規格に基づき、コンセプト、開発、生産、運用、保守、破壊の各段階でサイバーセキュリティ業務を総合的に計画し、自動車生産・製造のライフサイクル全体にリスク評価を統合し、健全なサプライチェーン管理メカニズムを確立し、電子・電気部品のサイバーセキュリティ規格を参照し、定期的に侵入テストを実施し、サイバーセキュリティデータを継続的に監視し、脅威インテリジェンスと組み合わせてセキュリティ分析を実施し、状況認識を実施することで、セキュリティリスクを効果的に管理します。

第三に、多次元のセキュリティ保護システムを構築し、セキュリティ監視措置を強化します。パッシブ防御ソリューションでは、新たなネットワーク セキュリティ攻撃方法に対処できません。そのため、攻撃行為を積極的に検知し、早期警告を発して適時にブロックするためには、車両側にセキュア通信モジュールやセキュアカーゲートウェイなどの新たなセキュリティ保護製品を導入する必要があります。マルチノードの連携により、ポイントからサーフェスまで階層的かつ綿密な防御システムが構築されます。

4 番目に、脅威インテリジェンスとセキュリティ ビッグ データを活用して、セキュリティ運用機能を向上させます。サイバーセキュリティ環境は急速に変化しています。高品質の脅威インテリジェンスと継続的に蓄積されるセキュリティビッグデータにより、自動車メーカーは比較的低コストでセキュリティ運用能力を最大限に高め、予測不可能なサイバーセキュリティの課題に対処することができます。

第五に、良好な自動車安全エコシステムの構築は誠実な協力にかかっています。どの職業にも独自の専門知識があります。インターネット企業やセキュリティ企業は、伝統的な IT 分野における技術の蓄積と蓄積に依存し、自動車ネットワーク セキュリティの急速な発展に対応し、関連する自動車電子電気製品とソリューションに対する独自の研究と洞察力を持っています。産業チェーンの上流と下流の企業が共同の力を形成して初めて、自動車ネットワークのセキュリティを「積極的な徹底防御」という新たなレベルに共同で引き上げ、「新たな4つの現代化」の成熟した実施を保護することができます。

360 Automotive Security Brain が 35,000 件の攻撃を阻止し、スマート コネクテッド カーを保護

360 社は、ユーザーのネットワーク セキュリティと旅行の安全を保護することに尽力しています。 360 Security Brain と Intelligent Connected Vehicle Security Brain は、どちらも工業情報化部により「新世代人工知能産業イノベーション重点任務最終候補企業」に選出されました。現在までに、360 Automotive Security Brain は 35,000 件の攻撃を阻止し、自動車メーカーにセキュリティ評価を提供し、450 万台のスマートカーに影響を与える車両インターネットにおける 500 件以上のセキュリティ問題を発見しました。

現在、360は中国の主流自動車メーカーの80％と提携しており、路上の50万台以上の車が360 Car Safety Brainに接続され、リアルタイムで保護されています。さらに、360は中国初の自動車情報セキュリティ国際標準であるITU-T X.mdcv（ビッグデータ分析に基づくコネクテッドカーの異常動作に対するセキュリティ検出メカニズム）の策定にも主導的役割を果たし、ISO、自動車標準委員会、情報セキュリティ標準委員会、通信標準委員会などによる10以上の自動車ネットワークセキュリティ標準の策定に参加し、自動車ネットワークセキュリティに関する30以上の特許を申請し、スマートコネクテッドカーの安全性を全面的に保護しています。