攻撃者の視点でシステムへの侵入を試みる「ペネトレーションテスト(侵入テスト)」をクルマのサイバーセキュリティー対策に生かす動きが広がっている(関連記事)。そのテスターとして約18年の経験を持つハンガリー・デロイト(Deloitte) Cyber Intelligence Centre Partnerのラズロ・トース(Laszlo Toth)氏に話を聞いた。
侵入テストをクルマづくりに生かす動きが広がっていると聞く。
もともと侵入テストはIT分野で古くから活用されてきた。最近では通信機能を備えたコネクテッドカーが増えたことで、クルマにも侵入テストを利用する動きが活発化している。コネクテッドカーの登場により、クルマは複雑なネットワークを構成する一要素になった。クルマ単体ではなく、ネットワークシステム全体を対象にサイバーセキュリティー対策を施すことが重要になっている。もちろん、侵入テストだけで十分なわけではない。リスク評価(アセスメント)や開発手法の改善など、総合的な取り組みが必要になる。
どのような手法でクルマに攻撃を仕掛けるのか。
具体的な方法は「キルチェーン」と呼ばれ、さまざまな手法がある。例えば、インフォテインメントシステムの脆弱性を利用してシステムの高い権限を取得し、そこから各ECUに不正なCANメッセージを送るといった手法がある。この場合はサーバー側は影響を受けない。逆にサーバー側に攻撃を仕掛け、クルマのECUが正常に動いているにもかかわらず、不正な挙動を起こすこともできる。
最も攻撃を受けやすい部分はどこか。
現時点では、やはりインフォテインメントシステムが最も狙われやすいだろう。インフォテインメントシステムにはさまざまなOSがあり、アプリやセキュリティーの仕組みも多種多様だ。こうした多様性を考慮してセキュリティーを高めることは難しい。
Linuxベースの「AGL」や「Android」はセキュリティーが低く、「QNX」はセキュリティーが高いという指摘があるが、テスターから見るとどうなのか。
ケースバイケースだが、テスターとしての経験から言うと、どのOSでもそれほどセキュリティーに違いはない。OSレベルのセキュリティーは、システムの構成や設定のあり方に大きく依存するからだ。ただ、テスターがそのOSに対して習熟している、またはそのOSに対する攻撃手法の情報が広く出回っている、といった場合はハッキングに成功しやすいかもしれない。
Linuxは脆弱性の情報が広く公開されているが。
確かにそうだが、逆に情報が多い分、それだけセキュリティーを向上させやすいという面もあるため、なかなか一概には言えない。テスターとしては、どのOSかということよりも、どのようにシステムが実装されているかの方がより重要だ。
