Apache Log4j Java ベースのログ ライブラリは、メッセージをログ ファイルまたはデータベースに記録することにより、アプリケーション、Web サイト、消費者および企業サービスがスムーズに実行できるように世界中で使用されています。

2021年12月9日にログ 4 シェルゼロデイ脆弱性が GitHub でリリースされました。このエクスプロイトにより、認証されていないリモート攻撃者が影響を受けるシステムを制御できる可能性があります。

それらのシステムの中には車両が含まれる可能性があります。車両は、収集されたデータを共有するために相手先ブランド製造業者 (OEM) のバックエンド サーバーとの接続がますます増加しており、また、特に電気自動車など、動作するソフトウェアへの依存度も高まっています。研究者は、自動車分野で Log4j がどのように使用されているかを調査し、ヨーロッパの電気自動車の充電器と送電網 (V2G) システムが危険にさらされていることを発見しました。

「V2G システムを使用すると、車のバッテリーに蓄えられたエネルギーをグリッド上で再分配できるようになり、生産レベルに関する需要のバランスをとることができます。」と Upstream Security 社は述べています。「さらに、複雑なオペレーティング システムを使用する自動車の [車載インフォテインメント] システムも侵害される可能性があることがわかりました。研究者らは、Log4j の脆弱性を悪用することで、自動車とその接続インフラストラクチャに対して攻撃を実行できることを示しました。」

シリコンバレーのテクノロジー企業と自動車製造大手は、自動運転車の開発計画を進めている。しかし、世界はそこから遠く離れています。自動運転車の革命。

2022 年 1 月に発表されたビクトリア州交通政策研究所の調査によると、運転手なしで走行できるレベル 5 の自動運転車は、今年 10 年代後半までに一部の地域で市販され、公道走行が合法になる可能性がありますが、その場合はコストが高く、性能も限られています。

「車を運転しない裕福な人々のための自立型モビリティなどの恩恵は、2030年代に始まる可能性があるが、交通渋滞や駐車渋滞の減少、低所得者向けの自立型モビリティ（したがって公共交通機関の必要性の減少）、安全性の向上、省エネ、汚染削減などのほとんどの効果は、おそらく2040年代から2060年代に自動運転車が一般的で手頃な価格になったときにのみ重要になるだろう…」によると

コネクテッドカーは、2025 年までに世界の自動車市場のほぼ 86% を占めるでしょう。

自動車業界は、セキュリティに大きな影響を与えるコネクテッド ビークル変革の最中にあります。そのでアップストリーム セキュリティは、コネクテッド ビークルが 2025 年までに世界の自動車市場のほぼ 86% を占めるようになるだろうと予測しました。同社は 2022 年のレポートで、この新たなダイナミックな脅威のより包括的な全体像を構築するために、公的に報告された数百件のコネクテッド ビークル侵害インシデント (その多くは車両に物理的にアクセスせずに実行されました) を倍加して分析しました。

攻撃方法

元々、電動車両はソフトウェアを使用して機能したり、所有者に問題を警告したりしていませんでした。車が 2 速に入らない理由を知りたければ、あなたか整備士が手を汚す必要があります。

今日ではそうではありません。最新の車両のほとんどにはセンサーが搭載されています。データを収集して送信OEM に送信するか、車両がサービス センターの診断システムに接続されているときに整備士と共有します。この情報は、技術者が問題を特定し、それを解決するための潜在的な解決策を特定するのに役立ちます。さらに、センサーは走行データを収集し、車線アシスト、ブレーキ アシスト、位置データなどを通じて車両の安全運転を実現します。

これにより、車両と車両を操作する行為は物理的に安全になりましたが、これらのセンサー、接続ポイント、車内エンターテイメント システムはすべてソフトウェアに依存して機能します。

「残念ながら、接続性の裏側では、ハッカーが新たな攻撃ベクトルを見つけてあらゆる欠陥を悪用できる攻撃面が広がり、車両、ネットワーク、バックエンド サーバーが脆弱なままになるということです。」

オイル交換やタイヤの交換と同じように、ソフトウェアにもパッチやアップデートの形でメンテナンスが必要です。これにより、ハッカーが悪用する脆弱性を作らずに車両が動作し続けることができます。ハッカーはこれをほぼ毎日行っていると、アップストリーム社のサイバー脅威研究者兼主席アナリストであるトマー・ポラット氏は言います。

過去 1 年間、ポラット氏と彼のチームは、2010 年から 2021 年の間に公的に報告された 900 件を超える車両サイバー インシデントを分析し、ディープ ウェブとダーク ウェブ上のウェブ フォーラムを監視して、アップストリームの 2022 年のレポートをまとめました。彼らの研究の顕著な側面の 1 つは、事件の多様性であったとポラット氏は言います。

たとえば、ある事件では、ハッカーが車両の操作に成功しましたパワートレインやステアリング機能を制御する ECU など、車両の電気サブシステムを制御し、操作または停止する組み込みシステム。

「それは驚くべきことでした」とポラット氏は言い、研究者らが 1 つの ECU にアクセスし、横に移動して他の ECU をシャットダウンすることで、車両内のほぼあらゆるものを侵害できることが示されたと付け加えました。

それは個人の乗り物だけではありません。アップストリーム チームが分析した別のインシデントには、OEM が使用しているオペレーティング システムの脆弱性をハッカーが暴露したことが関係していました。農業、which allowed malicious actors to manipulate machinery and take it out of service.

これらの手法は、攻撃者が車両に物理的にアクセスすることなく車両を侵害している様子も示しています。たとえば、2021 年には、アップストリームが分析したインシデントの 85% がリモートで実行されました。

「リモート アクセス インシデントの数は年々増加しています。85 パーセントはリモート アクセスのみを必要としており、これは憂慮すべきことであり、大きな問題です」とポラット氏は付け加えました。特に、より多くの車両とインフラが接続されているためです。 「悪用するのに適した脆弱性が見つかると、ハッカーがそれを実行します。それは、誰かを傷つけようとする、または純粋な意図なしに何かをしようとする国家支援の攻撃者または悪意のある攻撃者である可能性があります。」

規制

OEM レベルでサイバーセキュリティに対処するために、2022 年に行動が必要となる一連の規制と基準が発効しました。

最初に 2 つあります(UNECE) 規制—- OEM は、開発から生産後まで車両のライフサイクルをカバーするサイバーセキュリティ管理システムを作成する必要があります。 OEM サプライヤーも規制のセキュリティ対策を満たす必要があります。

車両のハッキングはもはや理論上のものではありません。それは起こっているので、私たちはそれに対する解決策を見つける必要があります。

R155 は、「製造業者が実施するサイバー セキュリティ対策の堅牢性、および製造業者とそのサプライヤーがサイバーセキュリティ関連のリスクを軽減できる方法の評価を可能にする監査関連規定、ならびにリスク評価を実施し最新の状態に保つ義務」を導入しています。「また、インシデントを監視し報告する義務など、多くの要件も課されます。」

さらに、R156 は、無線手順を含む、車両のソフトウェア更新に関するセキュリティ要件を作成します。多くの新しい車両にはOEM がサービス センターで手動でパッチを適用する代わりに、ソフトウェア アップデートをワイヤレスで車両にプッシュできるようにするアップデート テクノロジー。 OTA の使用は便利ですが、車両が OTA システムを侵害することによる攻撃に対して脆弱であることが研究者らによって判明しているため、リスクも伴います。

「2019 年 3 月、研究者らは、北米の OEM の車両が GPS スプーフィング攻撃に対して脆弱であることを示しました。試乗中、段階的な攻撃により車が速度を落とし、予想外に幹線道路から逸脱した」とアップストリームの 2022 年のレポートは述べています。 「2018 年 5 月、ハッカーは、北米の IoT ソフトウェア アプリケーションおよびテレマティクス製品とサービスのプロバイダーが運営する、構成が間違っているバックエンド サーバーの脆弱性を発見しました。これにより、ハッカーは、車両の位置、ユーザー情報、さらにはリモートでエンジンを停止するために必要なものを追跡する重要なデータベースに直接アクセスできるようになりました。」

すべての国が国連規則の実施を選択しているわけではありません。しかし、ポラット氏は、米国や—は、次のような内部機関によって監督されている同様の措置を採用しています。

「規制が施行されており、2022 年は OEM やサプライヤーが遵守しなければならない非常に重要な年になるでしょう。」とポラット氏は付け加えました。 「車両のハッキングはもはや理論上のものではなく、実際に起こっており、私たちはその解決策を見つける必要があります。」

それらの解決策の 1 つは、最近発行された国際標準を採用するメーカーである可能性があります。道路車両 - サイバーセキュリティ エンジニアリング、 OEM とサプライヤーがリスクを計算し、脆弱性の緊急性を優先するための方法論を作成します。

この規格は、「製造業者がテクノロジーやサイバー攻撃手法の変化に遅れないようにするのに役立ち、サプライ チェーンを通じて共通の理解を得るためにサイバーセキュリティ エンジニアリングに関連する用語、目的、要件、ガイドラインを定義します。」 aISO による説明。

さらに、Upstream 2022 レポートによると、この規格は「構想段階から廃止措置に至る車両のライフサイクル全体を通じてエンジニアリングの不可欠な要素としてサイバーセキュリティを確立する、構造化されたサイバーセキュリティ フレームワーク」を提供します。

たとえば、OEM はサプライヤーのサイバー履歴を把握し、サプライヤーが部品のリスク脆弱性と管理を実施していることを知ることが求められます。この規格では、開発方法にサイバーセキュリティ インターフェース契約を使用するなど、サイバーセキュリティの責任が共有されることも規定されています。(RASIC) フレームワーク。

行動を起こす

製造業者は、規制の強化と、サイバーインシデントが自社と顧客の収益に大きな影響を与えるという認識により、注目を集めています。 Upstream の分析によると、自動車業界はサイバー攻撃の結果、2024 年までに 5,000 億ドル以上の損失を被る可能性があります。 

アップストリームは、2022年のレポートで、メーカーが車両に対してセキュリティ オペレーション センター アプローチ (VSOC) を採用し、「エコシステム内の OEM、Tier-1、テレマティクス サービス プロバイダー、その他の関係者間のより安全な階層構造を構築し、脅威を最小限に抑え、攻撃を防止する。これには、車載セキュリティ、IT ネットワーク セキュリティ、および自動車クラウド セキュリティの評価が含まれる。」

メーカーも車両の安全を確保するために講じている措置についての詳細を共有している。 2020 年の RSA カンファレンスで、ゼネラル モーターズの CEO メアリー バーラは、同社が構築しているサイバーセキュリティ プログラムについて語りました。

「私たちはサイバーセキュリティを、競争上の優位性としてではなく、業界の体系的な懸念として投資する分野だと考えています」と彼女は基調講演で述べました。

ケビン ティアニー、GM のサイバーセキュリティ チームの責任者であり、当時の議長GM が 500 人近くを雇用し、プログラムを実施したことを共有しました研究コミュニティとより緊密に連携するため。そのパートナーシップは最終的に、 に発展しました。バグ報奨金プログラムサイバーセキュリティへの取り組みを強化するためだとティアニー氏は言いました。

悪用できる脆弱性が見つかると、ハッカーがそれを実行します。

そので2021 年に発表されたこの記事では、GM が製品、製造、企業のサイバーセキュリティ機能を網羅するために、リスクとサイバーセキュリティのフレームワークを自社の業務にどのように導入しているかをさらに共有しました。

「次世代のバッテリー電気技術、予防安全、インフォテインメント、接続機能を組み込んだ車両には、帯域幅とコンピューティング能力の向上が必要になります」と GM は書いています。 「これらのニーズを満たすために、GM はソフトウェアとハ​​ードウェアで構成されるまったく新しい電気アーキテクチャを導入しました。これにより、すべての先進的な車載テクノロジーがシームレスに相互に連携して実行できるようになります。このプラットフォームは 2019 年に量産開始され、2023 年までに GM の世界的なラインナップのほとんどの車両に展開される予定です。」

欧州では、フォルクスワーゲン グループ (フォルクスワーゲン、フォルクスワーゲン商用車、シュコダ、セアト、クプラ、アウディ、ランボルギーニ、ベントレー、ポルシェ、ドゥカティ) が、UNECE 規制に沿った自動車サイバー セキュリティ管理システムのフレームワークの作成など、事故防止とセキュリティの基準を導入しています。

「フォルクスワーゲンは、これまでグループ内でサイバーセキュリティ対策を導入してきました」と同社は「たとえば、当社はすべての地域およびグループ ブランドにわたって独立したサイバーセキュリティ ネットワークを設置し、潜在的なサイバー リスクを監視しています。これにより、潜在的な脅威が発生したときに迅速に行動できるようになります。」

OEM 以外にも、BlackBerry の最高技術責任者 Charles Eagan が好んで呼んでいる「車輪付きサーバー」のセキュリティ上の懸念への対処に、OEM 各社も関与しています。 BlackBerry は、Amazon Web Services (AWS) と共同開発したインテリジェント車両データ プラットフォーム BlackBerry IVY を CES 2022 で発表しました。

これは、車両に対するソフトウェアとセキュリティの脅威の増加にどのように対処するかを検討している会社のポートフォリオの一部です。 BlackBerry IVY は、コネクテッド車両からデータを収集して OEM と共有し、そのデータから学習して乗員にとってより快適な運転体験を実現します。

「認証やゼロトラストなどの優れたセキュリティ慣行をソリューションに適用するにはどうすればよいでしょうか?」イーガンは尋ねます。 「なぜなら、車両内のソフトウェアが増えるほど、[Log4Shell] のようなものが人々を驚かせる可能性が高まるからです。」

OEM は車両によって収集されるデータを完全に制御できるようになり、BlackBerry Ivy がそのデータを安全かつ確実に共有するためのパイプ役として機能するようになる、とイーガン氏は言います。

「私たちはセキュリティ業界から学んでいます」とイーガン氏は言います。 「コネクテッド車両とその車両上で実行されるソフトウェアの量は、今後もこの急カーブを進むことになるため、防御策を構築する方法を見つける必要があります。」

また、個人のセキュリティ担当者、特に個人の輸送やパトロール用車両の管理を担当する人は、車のサイバーセキュリティも念頭に置く必要があります。

「車両はもちろん、重要な人々を地点 A から地点 B に運ぶために使用されますが、将来的には、物理的な方法だけでなく、人々がどのように標的にされる可能性があり、その移動手段が影響を受ける可能性があることがわかります。」とポラット氏は言います。

「セキュリティの観点から、ある場所から別の場所へ人を輸送する責任を負う人々は、自動車や輸送車両が次の攻撃対象となる可能性があるため、それらのセキュリティと防御を確保する必要があることを考慮する必要があります。」と彼は付け加えた。 「彼らは、遠方から輸送が危害を受けたり、中断されたり、あるいはさらに悪いことが起こる可能性に対して概念的に準備を整え、備えなければならないだろう。」

ミーガン・ゲイツはの編集長ですセキュリティ技術。次のアドレスに連絡してください。[email protected].Twitter で彼女をフォローしてください: